Microsoft Defender 入口網站會呈現所有資產相關警示、資產、調查資料,以及針對事件的證據,讓你全面了解攻擊的全貌。
在事件中,你分析警示,理解其意義,並整合證據,以便制定有效的修復計畫。
初步調查
在深入細節之前,先看看這些房產以及整個事件的攻擊經過。
你可以先選擇事件列,但不要選擇事件名稱。 摘要面板會以事件關鍵資訊開頭,包括優先權評估、影響優先權分數的因素、事件細節、建議行動及相關威脅。 使用面板頂端的上下箭頭,導航到事件佇列中上一次或下一次事件。
從這裡,你可以選擇 「開啟事件頁面」。 這會開啟事件的主頁,裡面有完整的攻擊故事資訊,以及警示、裝置、使用者、調查和證據等分頁。 你也可以從事件佇列中選擇事件名稱,開啟事件的主頁。
注意事項
擁有 Microsoft Security Copilot 配置權限的使用者,當他們開啟事件時,會看到螢幕右側的 Copilot 面板。 Copilot 提供即時洞察與建議,協助您調查並回應事件。 欲了解更多資訊,請參閱 Microsoft Defender 中的 Microsoft Copilot。
攻擊故事
攻擊故事幫助你在同一分頁查看攻擊的完整故事時,快速檢視、調查並修復攻擊事件。它也讓你能檢視實體細節並採取修復行動,例如刪除檔案或隔離裝置,且不會失去上下文。
以下影片簡要描述了攻擊事件。
在攻擊故事中,你可以找到警報頁面和事件圖表。
事件警報頁面包含以下部分:
警示故事,內容包括:
- 發生了什麼事
- 採取的動作
- 相關活動
右側窗格的提醒屬性 (狀態、細節、描述等)
並非每個警報都有警報 故事 部分列出的所有子章節。
圖表顯示攻擊的全貌、攻擊如何隨時間在你的網路中擴散、起點,以及攻擊者移動的距離。 它將參與攻擊的不同可疑實體與其相關資產(如使用者、裝置和信箱)連結起來。
從圖表中,你可以:
播放圖表上的警報和節點,了解攻擊的時間順序。
打開實體窗格,讓您檢視實體細節並執行修復行動,例如刪除檔案或隔離裝置。
根據與該實體相關的通知標示。
搜尋裝置、檔案、IP 位址、URL、使用者、電子郵件、信箱或雲端資源的實體資訊。
開始搜補
搜尋行動利用進階搜尋功能來尋找關於實體的相關資訊。 搜尋查詢會檢查相關的結構表,看看是否有涉及你調查的特定實體的事件或警示。 您可以選擇任一選項來尋找該實體的相關資訊:
- 查看所有可用查詢——該選項會回傳您正在調查實體類型的所有可用查詢。
- 所有活動 – 查詢會回傳與某實體相關的所有活動,讓您全面了解事件的背景。
- 相關警示 – 查詢會搜尋並回傳所有涉及特定實體的安全警示,確保你不會遺漏任何資訊。
- 所有用戶異常 (預覽) ——查詢會回傳過去30天內與該使用者相關的所有異常,協助你辨識可能與事件相關的異常行為。 僅提供給使用者實體,前提是你已啟用 UEBA) (使用者與實體行為分析Microsoft Sentinel。
產生的日誌或警示可透過選擇結果並選擇 「連結至事件」來連結至事件。
如果事件或相關警示是你設定的分析規則所產生,你也可以選擇 「執行查詢 」以查看其他相關結果。
重要事項
本文部分資訊涉及預售產品,該產品在商業發行前可能會經過大幅修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。
爆炸半徑分析
爆炸半徑分析是一種整合於事故調查經驗中的進階圖形視覺化技術。 它建立在 Microsoft Sentinel 資料湖與圖形基礎架構之上,產生互動式圖,顯示從所選節點到預設關鍵目標的可能傳播路徑,這些目標可由使用者權限範圍使用。
注意事項
爆炸半徑分析延伸並取代了攻擊路徑分析。
爆炸半徑圖提供事件頁面上入侵前後資訊的獨特統一視圖。 在事件調查過程中,分析師可以在一個整合的圖表中看到資安事件的當前影響及可能的未來影響。 由於整合於事件圖表中,爆炸半徑圖幫助安全團隊更快了解安全事件的範圍,並強化防禦措施,以降低大規模損害的可能性。 爆炸半徑分析幫助分析師更好地評估對高度受推崇目標的風險,並理解其業務影響。
使用爆炸半徑圖需具備以下先決條件:
- 您必須已加入 Microsoft Sentinel 資料湖。 欲了解更多資訊,請參閱 Microsoft Sentinel 資料湖與圖表的導入。
- 暴露管理 (讀取) 權限或更高權限。 欲了解更多資訊,請參閱 RBAC) Microsoft Defender 全面偵測回應 統一角色基礎存取控制管理權限 (。
重要事項
攻擊路徑與爆炸半徑特徵是根據組織可用的環境資料計算出來的。 隨著可計算資料的增加,圖中的數值會增加。 如果沒有啟用更多工作負載或關鍵資產尚未完全定義,爆炸半徑圖將無法完全反映你的環境風險。 欲了解更多關於關鍵資產定義的資訊,請參閱 「審查與分類關鍵資產」。
下表總結了不同使用者角色的爆炸半徑分析應用案例:
| 使用者角色 | 使用案例 |
|---|---|
| 證券分析師 | 使用爆炸半徑分析來調查事件。 立即看到圖中心的被入侵元件及通往潛在被入侵目標的路徑。 圖表提供直觀的視覺化事件理解,幫助你快速了解潛在的違規範圍。 根據目標和路徑,你可以升級並觸發行動,以干擾、隔離並控制沿路徑節點的事件。 |
| IT 管理員與 SOC 工程師 | 利用爆炸半徑分析,根據業務影響及潛在損害估算動員資源。 工程師可以優先處理最關鍵、需要立即處理的漏洞。 工程師可根據爆炸半徑,主動分配所需資源,透過檢查地圖上標示漏洞的多個節點,對組織中關鍵目標的覆蓋範圍。 工程師能清楚傳達哪些內容受到保護,哪些受到影響,並規劃及優先處理額外的防禦與網路分段,以減少未來潛在攻擊的進一步影響。 |
| 事件應變小組 | 快速判斷事件範圍,並利用動態視覺事件地圖,讓他們能針對圖表上顯示的系統採取針對性行動。 |
| CISO 或資安領導者 | 使用爆炸半徑功能顯示當前狀態,設定目標與指標指標,並用於合規報告與稽核。 此功能可用來追蹤防禦行動及防護措施投資的進度。 |
查看爆炸半徑圖
在 事件頁面選擇 事件清單後,會顯示一個圖表,顯示事件中涉及的實體與資產。
選擇節點開啟右鍵選單,然後選擇 「檢視爆炸半徑」。 要查看群組中單一節點的爆炸半徑,請使用格子上方的 「ungroup 切換」來顯示所有節點。
一個新的圖表顯示了 8 條評價最高的攻擊路徑。 在圖表上方選擇「 查看完整爆炸半徑清單 」時,右側面板可以看到完整的路徑清單。 從可達目標清單中,你可以選擇其中一個目標進一步探索路徑。 右側面板顯示從入口點到目標的潛在路徑。 有些節點可能沒有路徑連結。
關於爆炸半徑圖中節點與邊所使用的圖示說明,請參閱「理解 Microsoft Defender 中的圖表與視覺化」。
選擇 「檢視爆炸半徑清單 」以查看目標資產清單。 從列表中選擇目標資產,查看其詳細資料及潛在攻擊路徑。 選擇連結徽章可顯示更多連結細節。
當路徑通往相同類型的群組目標時,若要查看離散路徑,請選擇群組圖示。 右側面板打開,顯示該組所有目標。 選擇左側的勾選框並點選頂部 的展開 按鈕,會分別顯示每個目標及其路徑。
選擇節點並選擇 隱藏爆炸半徑圖,並返回原始入射圖。
限制
以下限制適用於爆炸半徑圖:
路徑長度限制 (分析範圍) : 爆炸半徑圖長度計算可限制在距離來源節點最多 7 跳。 爆炸半徑是對完整攻擊範圍的近似值。 最大跳數取決於環境:
- 雲層 5 跳
- 本地部署的 5 跳
- 混合動力的三跳
資料新鮮度: 組織環境變化與爆炸半徑圖反映變化之間可能存在延遲。 在此期間,模型可能尚未完整。
可能的路徑: 爆炸半徑圖顯示可能的路徑。 它並不保證攻擊者會走所有顯示的路徑。
已知攻擊途徑: 該圖依賴已知的攻擊向量。 如果攻擊者發現了尚未建模的新橫向移動或新技術,爆炸半徑圖中不會顯示。
使用者範圍: 顯示的圖表是根據觀看使用者允許的範圍來呈現的。 圖中僅顯示根據定義的 RBAC 與作用範圍設定為使用者範圍的節點與邊。 包含範圍外節點或邊的路徑則不可見。
島嶼節點: 由於資料收集與爆炸半徑計算之間可能發生變化,圖上會出現未連接節點。
事件詳細資料
您可以在事件頁面的右側窗格查看事件的詳細資訊。 事件細節包括事件分配、識別碼、分類、類別,以及首次和最後一次活動的日期與時間。 同時包含事件描述、受影響資產、現行警報,以及在適用時相關的威脅、建議、中斷摘要與影響。 這裡有一個事件細節的例子,事件描述會被標示出來。
事件描述提供了事件的簡要概述。 在某些情況下,事件中的第一個警報會被用作事件描述。 在這種情況下,描述只會顯示在入口網站,不會儲存在活動日誌、進階狩獵表或 Azure 入口網站的 Microsoft Sentinel 中。
提示
Microsoft Sentinel 客戶也可以透過 API 或自動化設定事件描述,在 Azure 入口網站中查看並覆寫相同的事件描述。
警示
在 「警報 」標籤中,您可以查看與事件相關的警報隊列,以及以下相關資訊:
- 警報的嚴重程度。
- 參與警報的實體。
- Office 365、Defender for Cloud Apps和應用程式的警報來源 (適用於身分識別的 Microsoft Defender、適用於端點的 Microsoft Defender、Microsoft Defender治理附加) 。
- 他們被連結在一起的原因。
預設情況下,警報會按時間順序排列,讓你能看到攻擊事件隨時間的變化。 當您在事件中選擇警示時,Microsoft Defender 全面偵測回應會顯示針對整體事件情境的警示資訊。
您可以查看警報事件、其他觸發警報導致該警報的事件,以及所有受影響的實體與活動,包括裝置、檔案、使用者、雲端應用程式和信箱。
學習如何在 調查警報中使用警報佇列和警報頁面。
注意事項
如果您已配置 Microsoft Purview 內部風險管理權限,您可以在 Microsoft Defender 入口網站查看和管理內部風險管理警示,並搜尋內部風險管理事件。 欲了解更多資訊,請參閱 Microsoft Defender 入口網站中的「調查內部風險威脅」。
活動
活動標籤顯示事件中所有手動與自動化行動的統一時間軸。 你可以依 來源、 類別、 提供者、 觸發器、 活動狀態、 政策狀態、 類型、 目標名稱、 目標類型或 執行者來篩選。 你也可以在 活動紀錄的側邊面板中存取這些資訊。
透過活動分頁,分析師可以對事件進行分流與調查。 這包括辨識人工與自動化系統採取的關鍵步驟、驗證近期變更 (如標籤、合併、嚴重度更新) 、審查評論與交接,以及檢查側面板中的詳細元資料,並遵循自動化規則、操作手冊或代理啟動的自動化工作流程。
資產
透過 資產 標籤,您可以輕鬆在同一處查看和管理所有資產。此統一視圖包含裝置、使用者、信箱與應用程式。
資產分頁會顯示資產名稱旁的資產總數。 選擇資產分頁時會顯示不同類別及其內資產數量的清單。
裝置
裝置檢視會列出所有與事件相關的裝置。
從列表中選擇裝置會開啟一個欄位,讓你管理所選裝置。 你可以快速匯出、管理標籤、啟動自動化調查等功能。
你可以勾選裝置的勾選標記,以查看該裝置的詳細資訊、目錄資料、活躍的警示以及已登入的使用者。 選擇裝置名稱即可在 Defender for Endpoint 裝置清單中查看裝置詳細資料。
從裝置頁面,你可以收集更多關於該裝置的資訊,例如所有警示、時間軸及安全建議。 例如,從 時間軸 分頁,你可以捲動裝置時間軸,並依時間順序查看機器上觀察到的所有事件與行為,並穿插警示。
使用者
使用者檢視列出所有已被識別為事件參與者或相關的使用者。
你可以勾選使用者的勾選標記,以查看使用者帳號威脅、暴露資訊及聯絡資訊的詳細資訊。 選擇使用者名稱以查看更多使用者帳號詳細資訊。
了解如何查看更多使用者資訊並管理事件使用者,請使用 調查使用者。
信箱
信箱檢視會列出所有已確認與事件有關或相關或參與的信箱。
您可以勾選信箱的勾選,以查看有效警報清單。 選擇信箱名稱,即可在 Defender for Office 365 的總管頁面查看更多信箱詳情。
應用程式
應用程式檢視會列出所有被識別為事件相關或相關事件的應用程式。
你可以勾選應用程式的勾選,以查看活躍警報清單。 選擇應用程式名稱,即可在 Defender for Cloud Apps 的檔案總管頁面查看更多細節。
雲端資源
雲端資源檢視列出所有被識別為事件一部分或相關的雲端資源。
你可以勾選雲端資源的勾選,查看該資源的詳細資訊及活躍警報清單。 選擇開放雲端資源頁面,可查看更多細節並在 Microsoft Defender for Cloud 中查看完整細節。
調查
調查 標籤列出 了本事件中所有由警報觸發的 自動調查 。 自動化調查會執行修復行動,或等待分析師批准行動,取決於你如何設定自動化調查在 Defender for Endpoint 和 Defender for Office 365 中執行。
選擇調查以導航至其詳情頁面,以了解調查及整治狀態的完整資訊。 如果調查中有待審核的行動,會出現在 「待處理」 分頁中。採取行動作為事故修復的一部分。
此外還有一個 調查圖表 分頁,顯示:
- 將警示連結到你組織中受影響的資產。
- 哪些實體與哪些警報有關,以及它們如何成為攻擊故事的一部分。
- 事件警報。
調查圖表能幫助你快速了解攻擊的全貌,將參與攻擊的不同可疑實體與其相關資產(如用戶、裝置和信箱)連結起來。
欲了解更多資訊,請參閱 Microsoft Defender 全面偵測回應中的自動調查與回應。
證據與回應
證據與回應標籤顯示事件中所有被支持的事件及可疑實體。
Microsoft Defender 全面偵測回應會自動調查所有事件中支援的事件及警示中的可疑實體,並提供重要電子郵件、檔案、程序、服務、IP 位址等資訊。 這有助於你快速偵測並阻擋事件中的潛在威脅。
每個被分析的實體都被標記為惡意、可疑、潔淨) (,並具備修復狀態。 這有助於您了解整個事件的修復狀態,以及接下來可以採取的步驟。
批准或拒絕整治行動
對於處於 待核准狀態的整治事件,你可以在「證據與回應」標籤中核准或拒絕補救行動,在 Explorer 開啟,或在「證據與回應」標籤中搜尋。
摘要
請使用 摘要 頁面評估事件的相對重要性,並快速存取相關的警示及受影響實體。 摘要頁面會讓你快速瀏覽事件中最值得注意的重點。
資訊在這些章節中組織。
| 區段 | 描述 |
|---|---|
| 警示與分類 | 以視覺與數字呈現攻擊對擊殺鏈的進展程度。 與其他Microsoft安全產品一樣,Microsoft Defender 全面偵測回應 與 MITRE ATT&CK™ 框架保持一致。 警報時間軸顯示警報發生的時間順序,以及每項警報的狀態與名稱。 |
| 範圍 | 顯示受影響的裝置、使用者及信箱數量,並依風險等級及調查優先順序列出實體。 |
| 警示 | 顯示事件相關的警示。 |
| 證據 | 顯示受事件影響的實體數量。 |
| 事故資訊 | 顯示事件的屬性,如標籤、狀態及嚴重性。 |
類似事件
有些事件可能會在 類似事件 頁面列出類似事件。 本區塊顯示具有類似警示、實體及其他屬性的事件。 這有助於你了解攻擊範圍,並識別可能相關的其他事件。
提示
Defender Boxed 是一系列卡片,展示您組織在過去六個月/一年中的安全成功、改進及應對行動,於每年一月和七月限時推出。 了解如何分享你的 Defender Boxed 精華片段。
後續步驟
視需要:
另請參閱
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。