Microsoft Defender 入口網站中的事件回應
Microsoft Defender 入口網站中的事件是相關警示和相關聯數據的集合,這些數據構成攻擊的故事。 這也是您的SOC可用來調查該攻擊並管理、實作及記錄其回應的案例檔案。
Microsoft Sentinel 和 Microsoft Defender 服務會在偵測到可疑或惡意事件或活動時建立警示。 個別警示提供已完成或進行中攻擊的寶貴證據。 不過,日益普遍且複雜的攻擊通常會針對不同類型的資產實體運用各種技術和向量,例如裝置、使用者和信箱。 結果是數字資產中多個資產實體有多個來自多個來源的警示。
因為個別警示都只說明本文的一部分,而且手動將個別警示分組在一起以深入了解攻擊可能既具挑戰性又耗時,因此統一安全性作業平臺會自動識別與 Microsoft Sentinel 和 Microsoft Defender 全面偵測回應 相關的警示,並將它們及其相關聯的信息匯總到事件中。
將相關警示分組至事件可讓您全面檢視攻擊。 例如,您可以:
- 攻擊開始的位置。
- 使用了哪些策略。
- 攻擊進入數字資產的程度。
- 攻擊的範圍,例如有多少裝置、使用者和信箱受到影響。
- 與攻擊相關聯的所有數據。
Microsoft Defender 入口網站中的統一安全性作業平臺包含自動化和協助事件分級、調查和解決的方法。
Defender 中的 Microsoft Copilot 會利用 AI 來支援具有複雜且耗時之每日工作流程的分析師,包括端對端事件調查和回應,其中包含清楚描述的攻擊案例、可採取動作的逐步補救指引和事件活動摘要報告、自然語言 KQL 搜捕,以及專家程式代碼分析—優化 Microsoft Sentinel 和 Defender 全面偵測回應 數據的 SOC 效率。
這項功能是除了 Microsoft Sentinel 在使用者和實體行為分析、異常偵測、多階段威脅偵測等領域中,提供給統一平臺的其他 AI 型功能。
自動化攻擊中斷會使用從 Microsoft Defender 全面偵測回應 和 Microsoft Sentinel 收集的高信賴度訊號,在計算機速度自動中斷作用中的攻擊,其中包含威脅並限制影響。
如果啟用,Microsoft Defender 全面偵測回應 可以透過自動化和人工智慧自動調查和解決來自 Microsoft 365 和 Entra ID 來源的警示。 您也可以執行其他補救步驟來解決攻擊。
Microsoft Sentinel 自動化規則 可以自動分級、指派和管理事件,而不論事件的來源為何。 他們可以根據其內容將標記套用至事件、隱藏雜訊 (誤判) 事件,以及關閉符合適當準則的已解決事件、指定原因並新增批註。
重要事項
Microsoft Sentinel 可作為 Microsoft Defender 入口網站中統一安全性作業平臺公開預覽的一部分。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
Microsoft Defender 入口網站中的事件和警示
提示
在 2024 年 1 月的有限時間內,當您流覽 [事件 ] 頁面時,會出現 Defender Boxed。 Defender Boxed 強調貴組織在 2023 年的安全性成功、改進和響應動作。 若要重新開啟 Defender Boxed,請在 Microsoft Defender 入口網站中移至 [事件],然後選取 [您的 Defender Boxed]。
您可以在 Microsoft Defender 入口網站快速啟動時,從調查 & 回應>事件 & 警示>事件管理事件。 以下為範例:
選取事件名稱會顯示事件頁面,從事件的整個 攻擊案例 開始,包括:
事件內的警示頁面:與事件相關的警示範圍及其在相同索引卷標上的資訊。
圖形:攻擊的可視化表示法,可將屬於攻擊一部分的不同可疑實體與構成攻擊目標的資產實體連接,例如使用者、裝置、應用程式和信箱。
您可以直接從圖表檢視資產和其他實體詳細數據,並使用回應選項來處理它們,例如停用帳戶、刪除檔案或隔離裝置。
事件頁面包含下列索引標籤:
攻擊故事
如上所述,此索引卷標包含攻擊的時間軸,包括所有警示、資產實體和採取的補救動作。
提醒
與事件相關的所有警示、其來源和資訊。
資產
所有資產 (受保護的實體,例如已識別為事件一部分或與事件相關聯的裝置、使用者、信箱、應用程式和雲端資源) 。
調查
事件中警示所觸發的所有 自動化調查 ,包括調查狀態及其結果。
辨識項和回應
事件警示中的所有可疑實體,這些實體構成支持攻擊事件的辨識項。 這些實體可以包含IP位址、檔案、進程、URL、登錄機碼和值等等。
摘要
與警示相關聯之受影響資產的快速概觀。
注意事項
如果您看到 不支援的警示類型警示 狀態,這表示自動化調查功能無法挑選該警示來執行自動化調查。 不過,您可以 手動調查這些警示。
Microsoft Defender 入口網站中的事件回應工作流程範例
以下是使用 Microsoft Defender 入口網站回應 Microsoft 365 中事件的工作流程範例。
請持續找出事件佇列中最高優先順序的事件,以進行分析和解決,並將其備妥以進行回應。 此是以下動作的結合:
您可以使用 Microsoft Sentinel 自動化規則來自動分級和管理 (,甚至回應) 某些事件建立時,移除最簡單處理的事件,使其無法佔用佇列中的空間。
針對您自己的事件回應工作流程,請考慮下列步驟:
階段 | 步驟 |
---|---|
針對每個事件,開始 攻擊和警示調查和分析。 |
|
在分析之後或期間,執行遏制以減少攻擊的任何額外影響和安全性威脅的根除。 | 例如: |
盡可能將租用戶資源還原為事件之前的狀態,以從攻擊中復原。 | |
解決 事件並記錄您的結果。 | 事件後學習需要一些時間來: |
如果您不熟悉安全性分析,請參閱 回應第一個事件的簡介 以取得其他資訊,並逐步執行範例事件。
如需跨 Microsoft 產品的事件回應詳細資訊,請參閱 這篇文章。
整合 Microsoft Defender 入口網站中的安全性作業
以下是在 Microsoft Defender 入口網站中整合安全性作業 (SecOps) 程式的範例。
每日工作可以包括:
- 管理 事件
- 檢閱控制中心內 AIR) 動作 (自動化調查和回應
- 檢閱最新的 威脅分析
- 回應 事件
每月工作可以包括:
- 檢閱 AIR 設定
- 檢閱安全分數和 Microsoft Defender 弱點管理
- 向IT安全性管理鏈結報告
每季的工作可以包括向資訊安全長報告及向資訊安全長介紹資訊安全長, (CISO) 。
年度工作可能包括進行重大事件或缺口練習,以測試您的員工、系統和程式。
每日、每月、每季和年度工作可用來更新或精簡程序、原則和安全性設定。
如需詳細資訊,請參閱將 Microsoft Defender 全面偵測回應 整合到您的安全性作業。
跨 Microsoft 產品的 SecOps 資源
如需有關 Microsoft 產品之 SecOps 的詳細資訊,請參閱下列資源:
透過電子郵件的事件通知
您可以設定 Microsoft Defender 入口網站,以使用有關新事件或現有事件更新的電子郵件通知您的員工。 您可以選擇根據下列專案取得通知:
- 警示嚴重性
- 警示來源
- 裝置群組
若要設定事件的電子郵件通知,請參閱 取得事件的電子郵件通知。
安全性分析師訓練
使用 Microsoft Learn 的此學習課程模組,瞭解如何使用 Microsoft Defender 全面偵測回應 來管理事件和警示。
訓練: | 使用 Microsoft Defender 全面偵測回應 調查事件 |
---|---|
Microsoft Defender 全面偵測回應 將來自多個服務的威脅數據整合,並使用 AI 將它們合併成事件和警示。 了解如何縮短事件與其管理之間的時間長度,以進行後續的回應與解決。 27 分鐘 - 6 單位 |
後續步驟
根據您在安全性小組上的經驗層級或角色,使用列出的步驟。
體驗層級
請遵循下表,瞭解您在安全性分析和事件回應的體驗層級。
層級 | 步驟 |
---|---|
新增 |
|
經歷 |
安全性小組角色
請根據您的安全性小組角色遵循下表。
角色 | 步驟 |
---|---|
第 1 層 (事件回應) | 從 Microsoft Defender 入口網站的 [事件] 頁面開始使用事件佇列。 您可以在這裡: |
第 2 層 (安全性調查人員或分析師) | |
第 3 層 (進階安全性分析師或威脅搜捕人員) |
|
SOC 管理員 | 瞭解如何將 Microsoft Defender 全面偵測回應 整合到資訊安全作業中心 (SOC) 。 |
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:Microsoft Defender 全面偵測回應 技術社群。
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應