Reakce na první incident v Microsoft Defender XDR
Platí pro:
- Microsoft Defender XDR
Tato příručka obsahuje seznam prostředků Microsoftu pro nové Microsoft Defender XDR uživatele, kteří mohou s jistotou provádět každodenní úlohy reakce na incidenty při používání portálu. Zamýšlené výsledky použití této příručky jsou:
- Rychle se naučíte používat Microsoft Defender XDR k reakci na incidenty a výstrahy.
- Funkce portálu, které vám pomůžou s vyšetřováním a nápravou incidentů, se dozvíte prostřednictvím videí a kurzů.
Microsoft Defender XDR umožňuje zobrazit relevantní události hrozeb napříč všemi prostředky (zařízení, identity, poštovní schránky, cloudové aplikace a další). Portál konsoliduje signály ze sady ochrany Defenderu, Microsoft Sentinel a dalších integrovaných řešení pro správu událostí a informací o zabezpečení (SIEM). Korelované informace o útoku s úplným kontextem v jediném podokně umožňují úspěšně bránit a chránit vaši organizaci.
Tato příručka má tři hlavní části:
- Principy incidentů: přístup k incidentům, jejich třídění a správa na portálu
- Analýza útoků: kolekce videí a kurzů o tom, jak prozkoumat konkrétní útoky pomocí funkcí portálu.
- Náprava útoků: Obsahuje seznam automatizovaných a ručních akcí, které jsou k dispozici na portálu k nápravě hrozeb. Tato část obsahuje odkazy na videa a kurzy.
Principy incidentů
Incident je řetězec vytvořených procesů, příkazů a akcí, které se nemusí shodovat. Incident poskytuje ucelený obraz a kontext podezřelých nebo škodlivých aktivit. Jeden incident vám poskytne úplný kontext útoku, místo abyste hodnotily stovky výstrah z více služeb.
Microsoft Defender XDR má mnoho funkcí, které můžete použít k reakci na incident. Mezi incidenty se můžete pohybovat výběrem možnosti Zobrazit všechny incidenty na kartě Aktivní incidenty na domovské stránce nebo v části Incidenty & výstrahy v levém navigačním podokně.
Obrázek 1. Karta Aktivní incidenty na domovské stránce Microsoft Defender XDR
Obrázek 2. Fronta incidentů
Každý incident obsahuje automaticky korelovaná upozornění z různých zdrojů detekce a může zahrnovat různé koncové body, identity nebo cloudové aplikace.
Posouzení incidentů
Stanovení priority incidentů se liší podle respondéru, týmu zabezpečení a organizace. Prioritu incidentů můžou nařídit plány reakcí na incidenty a směr bezpečnostních týmů.
Microsoft Defender XDR má různé indikátory, jako je závažnost incidentu, typy uživatelů nebo typy hrozeb, pro určení priorit incidentů a jejich prioritu. Můžete použít libovolnou kombinaci těchto indikátorů, které jsou snadno dostupné prostřednictvím filtrů fronty incidentů .
Příkladem určení priority incidentu je kombinace následujících faktorů incidentu:
- Incident má vysokou závažnost.
- Stav šetření automatizace selhal.
- Existuje 5 ovlivněných prostředků, u kterých jsou dva z těchto prostředků označeny citlivostí vysoce důvěrných dat.
- Stav incidentu je nový.
- Incident se nepřiřadí žádnému členu týmu k prošetření.
Incidentu můžete přiřadit vysokou prioritu pomocí výše uvedených informací. Jakmile určíte prioritu, můžete zahájit šetření incidentu.
Poznámka
Microsoft Defender XDR automaticky určuje filtry, jako je závažnost, stavy šetření, ovlivněné prostředky a stavy incidentů. Tyto informace jsou založené na síťových aktivitách vaší organizace, které jsou kontextované s informačními kanály analýzy hrozeb a použitými automatizovanými nápravnými akcemi.
Správa incidentů
K efektivitě správy incidentů můžete přispět poskytnutím základních informací v incidentech a výstrahách. Když do následujících filtrů přidáte informace z toho, jak provádíte třídění a analýzu jednotlivých incidentů, poskytnete k tomuto incidentu další kontext, který můžou využít ostatní respondující:
- Klasifikace incidentů a výstrah
- Pojmenování incidentů
- Přidávání značek
- Poskytování komentářů
Naučte se klasifikovat incidenty a upozornění prostřednictvím tohoto videa:
Tip
Defender Boxed, série karet ukazující úspěchy, vylepšení a reakce vaší organizace za posledních šest měsíců/rok, se v lednu a červenci každého roku zobrazuje po omezenou dobu. Přečtěte si, jak můžete sdílet hlavní body programu Defender Boxed .
Další kroky
- Analýza prvního incidentu
- Náprava prvního incidentu
- Podívejte se na ukázky a nový vývoj portálu v akci v Microsoft Defender XDR Virtual Ninja Training
Viz také
- Integrace Microsoft Defender XDR do operací zabezpečení
- Reakce na běžné útoky pomocí playbooků reakcí na incidenty
- Seznamte se s funkcemi portálu prostřednictvím školení Microsoft Defender XDR Ninja.
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.