Zkoumání výstrah zabezpečení služby Defender for Identity ve službě Microsoft Defender XDR

Poznámka

Defender for Identity není navržený tak, aby sloužil jako řešení auditování nebo protokolování, které zaznamenává všechny operace nebo aktivity na serverech, na kterých je senzor nainstalovaný. Zachytává pouze data potřebná pro mechanismy detekce a doporučení.

Tento článek vysvětluje základy práce s Microsoft Defender for Identity výstrahami zabezpečení v Microsoft Defender XDR.

Výstrahy Defenderu for Identity jsou nativně integrované do Microsoft Defender XDR s vyhrazeným formátem stránky upozornění identity.

Stránka Upozornění na identitu poskytuje Microsoft Defender for Identity zákazníkům lepší rozšiřování signálů mezi doménami a nové funkce automatizované reakce identit. Zajišťuje, že jste v bezpečí, a pomáhá zlepšit efektivitu operací zabezpečení.

Jednou z výhod zkoumání výstrah prostřednictvím Microsoft Defender XDR je, že Microsoft Defender for Identity výstrahy jsou dále v korelaci s informacemi získanými z jednotlivých produktů v sadě. Tato rozšířená upozornění jsou konzistentní s ostatními formáty upozornění Microsoft Defender XDR pocházejícími z Microsoft Defender pro Office 365 a Microsoft Defender for Endpoint. Nová stránka efektivně eliminuje nutnost přejít na jiný portál produktu a prošetřit výstrahy spojené s identitou.

Výstrahy pocházející z Defenderu for Identity teď můžou aktivovat funkce Microsoft Defender XDR automatizovaného vyšetřování a reakce (AIR), včetně automatické nápravy výstrah a zmírnění rizik nástrojů a procesů, které můžou přispívat k podezřelé aktivitě.

Důležité

V rámci konvergence s Microsoft Defender XDR se na portálu Defender for Identity změnily některé možnosti a podrobnosti z jejich umístění. Pokud chcete zjistit, kde najdete známé i nové funkce, přečtěte si následující podrobnosti.

Kontrola výstrah zabezpečení

K upozorněním je možné přistupovat z několika míst, včetně stránky Výstrahy , stránky Incidenty , stránek jednotlivých zařízení a ze stránky Rozšířené proaktivní vyhledávání . V tomto příkladu si projdeme stránku Upozornění.

V Microsoft Defender XDR přejděte na Incidenty & výstrahy a pak na Výstrahy.

Pokud chcete zobrazit upozornění z Defenderu for Identity, vyberte vpravo nahoře Filtr a pak v části Zdroje služeb vyberte Microsoft Defender for Identity a vyberte Použít:

Upozornění se zobrazují s informacemi v následujících sloupcích: Název upozornění, Značky, Závažnost, Stav šetření, Stav, Kategorie, Zdroj detekce, Ovlivněné prostředky, První aktivita a Poslední aktivita.

Kategorie výstrah zabezpečení

Výstrahy zabezpečení Defenderu for Identity jsou rozdělené do následujících kategorií nebo fází, jako jsou fáze, které se zobrazují v typickém řetězci útoků kyberútokům.

• Upozornění na rekognoskaci
• Upozornění na ohrožení zabezpečení přihlašovacích údajů
• Upozornění na laterální pohyb
• Upozornění na dominanci v doméně
• Upozornění na exfiltraci

Správa upozornění

Pokud u některého z upozornění vyberete název výstrahy , přejdete na stránku s podrobnostmi o upozornění. V levém podokně uvidíte souhrn toho, co se stalo:

Nad polem Co se stalo jsou tlačítka pro účty, cílový hostitel a zdrojový hostitel výstrahy. U jiných výstrah se můžou zobrazit tlačítka s podrobnostmi o dalších hostitelích, účtech, IP adresách, doménách a skupinách zabezpečení. Vyberte některou z nich a získejte další podrobnosti o zúčastněných entitách.

V pravém podokně uvidíte podrobnosti výstrahy. Tady si můžete prohlédnout další podrobnosti a provést několik úloh:

• Klasifikovat toto upozornění – tady můžete tuto výstrahu označit jako výstrahu True nebo False.

  

• Stav výstrahy – V části Nastavit klasifikaci můžete výstrahu klasifikovat jako True nebo False. V části Přiřazeno k můžete výstrahu přiřadit sami sobě nebo zrušit jeho přiřazení.

  

• Podrobnosti o upozornění – v části Podrobnosti výstrahy můžete najít další informace o konkrétním upozornění, můžete použít odkaz na dokumentaci k typu upozornění, zjistit, ke kterému incidentu je výstraha přidružená, zkontrolovat všechna automatizovaná šetření spojená s tímto typem výstrahy a zobrazit ovlivněná zařízení a uživatele.

  

• Komentáře & historii – tady můžete přidat komentáře k upozornění a zobrazit historii všech akcí přidružených k upozornění.

  

• Spravovat upozornění – Pokud vyberete Spravovat upozornění, přejdete do podokna, které vám umožní upravit:

  • Stav – můžete zvolit Nový, Vyřešeno nebo Probíhá.

  • Klasifikace – Můžete zvolit výstrahu Pravda nebo Nepravdivá výstraha.

  • Komentář – Můžete přidat komentář k upozornění.

  • Pokud vyberete tři tečky vedle možnosti Spravovat výstrahu, můžete propojit výstrahu s jiným incidentem, Vytvořit pravidlo potlačení (dostupné jenom pro zákazníky verze Preview) nebo Zeptat se expertů programu Defender.

    

    Upozornění můžete také exportovat do excelového souboru. Uděláte to tak, že vyberete Exportovat.

    Poznámka

    V excelovém souboru teď máte k dispozici dva odkazy: Zobrazit v Microsoft Defender for Identity a Zobrazit v Microsoft Defender XDR. Každý odkaz vás přenese na příslušný portál a poskytne informace o upozornění.

Ladění upozornění

Vylaďte upozornění tak, abyste je upravili a optimalizovali a snížili počet falešně pozitivních výsledků. Ladění výstrah umožňuje týmům SOC soustředit se na výstrahy s vysokou prioritou a zlepšit pokrytí detekce hrozeb v celém systému. V Microsoft Defender XDR vytvořte podmínky pravidla založené na typech důkazů a pak pravidlo použijte pro jakýkoli typ pravidla, který odpovídá vašim podmínkám.

Další informace najdete v tématu Ladění upozornění.

Viz také

• výstrahy zabezpečení Microsoft Defender for Identity

Další informace

• Vyzkoušejte našeho interaktivního průvodce: Detekce podezřelých aktivit a potenciálních útoků pomocí Microsoft Defender for Identity