受管理的偵測和回應
適用於:
透過自動化與人類專業知識的組合,Microsoft Defender XDR 專家分級 Microsoft Defender 全面偵測回應 事件、代表您排定其優先順序、篩選出雜訊、執行詳細調查,以及為安全性作業中心 (SOC) 小組提供可採取動作的受控回應。
事件更新
一旦我們的專家開始調查事件,事件的 [ 指派給 ] 和 [ 狀態] 字 段會分別更新為 [Defender 專家 ] 和 [ 進行中]。
當我們的專家結束調查事件時,事件的 [ 分類 ] 字段會根據專家的結果更新為下列其中一項:
- True 正數
- 誤判
- 信息、預期的活動
對應至每個分類的 [ 判斷 ] 字段也會更新,以提供更多有關結果的深入解析,以引導我們的專家判斷上述分類。
如果事件分類為 False Positive 或 Informational、 Expected Activity,則事件的 [ 狀態] 字 段會更新為 [ 已解決]。 我們的專家接著會結束此事件的工作,並將 [ 指派給] 字段更新為 [未指派]。 我們的專家可能會在解決事件時分享其調查和結論的更新。 這些更新會張貼在事件的 [ 批注和歷程記錄 ] 飛出視窗面板中。
注意事項
事件批註是單向文章。 Defender 專家無法回應您在 [批注 和歷程記錄 ] 面板中新增的任何批注或問題。 如需如何與我們的專家對應的詳細資訊,請參閱與 XDR Microsoft Defender 專家服務中的專家通訊。
否則,如果事件分類為 True Positive,我們的專家就會識別需要執行的必要回應動作。 執行動作的方法取決於您提供給適用於 XDR 的 Defender 專家服務的許可權和存取層級。 深入瞭解如何將許可權授與我們的專家。
如果您已將建議的安全性操作員訪問許可權授與適用於 XDR 的 Defender 專家,我們的專家可以代表您對事件執行必要的回應動作。 這些動作以及調查摘要會顯示在事件的 [Managed 回應] 飛出視窗面板中,供您或您的SOC小組檢閱 Microsoft Defender入口網站中。 適用於 XDR 的 Defender 專家完成的所有動作都會出現在 [ 已完成的動作 ] 區段下。 任何需要您或您的 SOC 小組完成的擱置動作都會列在 [ 擱置動作 ] 區段下。 如需詳細資訊,請參閱 動作一 節。 一旦我們的專家對事件採取所有必要的動作,其 [ 狀態] 欄位 就會更新為 [ 已解決 ],而 [ 指派給 ] 字段會更新為 [未指派]。
如果您已授與適用於 XDR 的 Defender 專家預設安全性讀取者存取權,則必要的回應動作以及調查摘要會顯示在事件的 [受控回應] 飛出視窗面板中,位於您 Microsoft Defender 入口網站的 [擱置動作] 區段下,供您或您的 SOC 小組執行。 如需詳細資訊,請參閱 動作一 節。 為了識別此事件,事件的 [ 狀態] 欄 位會更新為 [ 等待客戶動作] ,並將 [ 指派給 ] 字段更新為 [客戶]。
您可以在 Microsoft Defender 首頁頂端的 [Defender 專家] 橫幅中,檢查需要您採取動作的事件數目。
若要檢視我們的專家已調查或正在調查的事件,請使用Defender專家標籤,在Microsoft Defender入口網站中篩選事件佇列。
如何在 Microsoft Defender 全面偵測回應 中使用受控回應
在 Microsoft Defender 入口網站中,需要您注意使用受控回應的事件會將 [狀態] 字段設定為 [等候客戶動作]、[指派給] 字段設定為 [客戶],並在 [事件] 窗格上方設定工作卡片。 您指定的事件聯繫人也會收到對應的電子郵件通知,其中包含可檢視事件的 Defender 入口網站連結。 深入瞭解通知聯繫人。 您也會收到 Teams 通知,通知您有關更新的資訊。 深入瞭解設定Teams
選取工作卡片或入口網站頁面頂端的 [ 檢視 受控回應], ([受控 回應 ] 索引卷標) 開啟飛出視窗面板,您可以在其中閱讀專家的調查摘要、完成專家所識別的擱置動作,或透過聊天與其互動。
調查摘要
[ 調查摘要 ] 區段提供我們專家所分析之事件的詳細內容,讓您瞭解其嚴重性和潛在影響,如果無法立即解決。 其中可能包含裝置時程表、攻擊指標,以及觀察到的IOC (入侵指標) ,以及其他詳細數據。
動作
[ 動作] 索 引標籤會顯示工作卡片,其中包含我們的專家建議的回應動作。
適用於 XDR 的 Defender 專家目前支援下列單鍵受控回應動作:
動作 | 描述 |
---|---|
隔離裝置 | 隔離裝置,有助於防止攻擊者控制裝置,並執行進一步的活動,例如數據外泄和橫向移動。 隔離的裝置仍會連線到 適用於端點的 Microsoft Defender。 |
隔離的檔案 | 停止執行中的進程、隔離檔案,以及刪除持續性數據,例如登錄機碼。 |
限制應用程式執行 | 限制潛在惡意程序的執行,並鎖定裝置以防止進一步的嘗試。 |
從隔離釋放 | 復原裝置的隔離。 |
移除應用程式限制 | 復原隔離釋放。 |
除了這些單鍵動作之外,您也可以從我們的專家收到您需要手動執行的受控回應。
注意事項
執行任何建議的受控回應動作之前,請確定自動化調查和回應組態尚未解決這些動作。 深入瞭解 Microsoft Defender 全面偵測回應 中的自動化調查和回應功能。
若要檢視和執行 Managed 回應動作:
- 選取動作卡片中的箭號按鈕加以展開,並閱讀必要動作的詳細資訊。
- 針對具有單鍵回應動作的卡片,選取必要的動作。 視動作的結果而定,卡片中的 [ 動作] 狀態 會變更為 [ 進行中],然後變更為 [ 失敗 ] 或 [ 已完成]。
- 針對需要手動執行之必要動作的卡片,選取 [ 我已在執行後完成此動作 ],然後選取 [ 是,我已 在出現的確認] 對話框中完成。
- 如果您不想立即完成必要的動作,請選取 [ 略過],然後在出現的確認對話框中選取 [ 是,略過此動作 ]。
重要事項
如果您注意到動作卡片上的任何按鈕都呈現灰色,則可能表示您沒有執行動作的必要許可權。 請確定您已使用適當的許可權登入 Microsoft Defender 全面偵測回應 入口網站。 大部分的受控回應動作都需要您至少具有安全性操作員存取權。 如果您仍然遇到此問題,即使具有適當的許可權,請流覽至 [檢視裝置詳細數據 ],然後從該處完成步驟。
在 SIEM 或 ITSM 應用程式中查看 Defender 專家調查
當適用於 XDR 的 Defender 專家調查事件並提出補救動作時,您可以在安全性資訊和事件管理 (SIEM) 和 IT 服務管理 (ITSM) 應用程式中查看其事件工作,包括現成可用的應用程式。
Microsoft Sentinel
您可以開啟其現成的 Microsoft Defender 全面偵測回應 數據連接器,在 Microsoft Sentinel 中取得事件可見度。 深入了解。
開啟連接器之後,Defender 專家在 Sentinel 中對應的 [狀態]、[擁有者] 和 [關閉原因] 字段中會顯示 Microsoft Defender 全面偵測回應 [狀態]、[指派給]、[分類] 和 [判斷] 字段的更新。
注意事項
Defender 專家在 Microsoft Defender 全面偵測回應 中調查的事件狀態通常會從 [作用中] 轉換為 [進行中] 到 [等待客戶動作] 轉換為 [已解決],而在 Sentinel 中,則會遵循 [新增到作用中] 到 [已解決] 路徑。 Microsoft Defender 全面偵測回應 狀態等待客戶動作在 Sentinel 中沒有對等的欄位;相反地,它會在 Sentinel 中顯示為事件中的標籤。
下一節說明我們專家所處理的事件在 Sentinel 中如何隨著調查旅程的進行而更新:
- 我們的專家所調查的事件會將 [狀態 ] 列為 [ 作用 中],而 [擁有者] 則列為 [Defender 專家]。
- 我們的專家確認為確判的事件,在 Microsoft Defender 全面偵測回應 中張貼了受控回應,而等待客戶動作的標籤和擁有者則列為客戶。 您必須根據提供的受控回應來處理事件。
- 一旦我們的專家完成調查,並以「誤判」或「預期活動」的方式關閉事件,事件的狀態會更新為 「已解決」、「擁有者」會更新為「未指派」,並提供關閉的原因。
其他應用程式
您可以使用 Sentinel 中的 Microsoft Defender 全面偵測回應 API 或連接器,來查看 SIEM 或 ITSM 應用程式中的事件。
設定連接器之後,根據欄位對應的實作方式,Defender 專家可同步處理 Microsoft Defender 全面偵測回應 中事件狀態、指派給、分類和判斷字段的更新。 為了說明,您可以查看 可從 Sentinel 到 ServiceNow 的連接器。
另請參閱
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:Microsoft Defender 全面偵測回應 技術社群。
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應