調查並回應 Microsoft Defender 全面偵測回應
以下是 Microsoft Defender 全面偵測回應 的主要調查和回應工作:
事件回應
Microsoft 365 服務和應用程式會在偵測到可疑或惡意事件或活動時建立警示。 個別警示提供有關已完成或進行中攻擊的寶貴線索。 不過,攻擊通常會對不同類型的實體採用各種技術,例如裝置、使用者和信箱。 結果是租使用者中多個實體的多個警示。 因為將個別警示結合在一起以深入了解攻擊可能既具挑戰性又耗時,Microsoft Defender 全面偵測回應 會自動將警示及其相關聯的信息匯總到事件中。
您必須持續識別事件佇列中最高優先順序的事件,以進行分析和解決,並讓它們準備好進行回應。 此是以下動作的結合:
針對每個事件,請使用您的事件回應工作流程來分析事件及其警示和數據,以包含攻擊、消除威脅、從攻擊中復原,以及從中學習。 如需 Microsoft Defender 全面偵測回應,請參閱此範例。
自動化調查與補救措施
如果您的組織使用 Microsoft Defender 全面偵測回應,每當偵測到惡意或可疑的活動或成品時,您的安全性作業小組就會在 Microsoft Defender 入口網站內收到警示。 考慮到可能出現的無休止的威脅流程,安全性小組經常面臨處理大量警示的挑戰。 幸運的是,Microsoft Defender 全面偵測回應 包含自動化調查和回應 (AIR) 功能,可協助您的安全性作業小組更有效率且更有效率地處理威脅。
自動化調查完成時,對事件的每一個證據都會做出決策。 根據決策,確定補救動作。 在某些情況下,系統會自動採取補救動作;在其他情況下,補救動作會等候 Microsoft Defender 全面偵測回應 控制中心的核准。
如需詳細資訊,請參閱 Microsoft Defender 全面偵測回應 中的自動化調查和回應。
使用進階搜尋威脅
在攻擊發生時回應攻擊並不夠。 對於勒索軟體等延伸的多階段攻擊,您必須主動搜尋進行中攻擊的辨識項,並在完成之前採取動作來停止攻擊。
進階搜捕是 Microsoft Defender 全面偵測回應 中以查詢為基礎的威脅搜捕工具,可讓您探索最多 30 天的原始數據。 您可以主動檢查網路中的事件,以找出威脅指標和實體。 這種對 Microsoft Defender 全面偵測回應 數據的彈性存取,可讓您不受限制地搜捕已知和潛在的威脅。
您可以使用相同的威脅搜捕查詢來建置自定義偵測規則。 這些規則會自動執行以檢查,然後回應可疑的入侵活動、設定錯誤的機器和其他結果。
如需詳細資訊,請參閱在 Microsoft Defender 全面偵測回應 中使用進階搜捕主動搜捕威脅。
使用威脅分析來超越新興威脅
威脅分析是 Microsoft Defender 全面偵測回應 中的威脅情報功能,旨在協助安全性小組在面對新興威脅時盡可能有效率。 其中包含詳細的分析和下列相關信息:
- 作用中 威脅執行者 及其活動
- 熱門和新的攻擊技術
- 嚴重的弱點
- 常見的攻擊面
- 常見的惡意程式碼
威脅分析也包含 Microsoft 365 租使用者內每個已識別威脅的相關事件和受影響資產的相關信息。
每個已識別的威脅都包含分析師報告,這是 Microsoft 安全性研究人員所撰寫之威脅的完整分析,他們位於網路安全性偵測和分析的最前面。 這些報告也可以提供攻擊如何在 Microsoft Defender 全面偵測回應 中顯示的資訊。
如需詳細資訊,請參閱 Microsoft Defender 全面偵測回應 中的威脅分析。
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:Microsoft Defender 全面偵測回應 技術社群。