Sdílet prostřednictvím


Incidenty a výstrahy na portálu Microsoft Defender

Portál Microsoft Defender spojuje jednotnou sadu bezpečnostních služeb, které snižují riziko ohrožení zabezpečení, zlepšují stav zabezpečení vaší organizace, detekují bezpečnostní hrozby a prošetřují porušení zabezpečení a reagují na ně. Tyto služby shromažďují a vytvářejí signály, které se zobrazují na portálu. Dva hlavní druhy signálů jsou:

Výstrahy: Signály, které jsou výsledkem různých aktivit detekce hrozeb. Tyto signály označují výskyt škodlivých nebo podezřelých událostí ve vašem prostředí.

Incidenty: Kontejnery, které obsahují kolekce souvisejících výstrah a vyprávějí celý příběh útoku. Výstrahy v jednom incidentu můžou pocházet ze všech řešení microsoftu pro zabezpečení a dodržování předpisů a také z obrovského počtu externích řešení shromážděných prostřednictvím Microsoft Sentinel a Microsoft Defender for Cloud.

Incidenty pro korelaci a šetření

I když můžete prošetřit a zmírnit hrozby, na které vás jednotlivé výstrahy upozorňují, samy o sobě jsou tyto hrozby izolovanými výskyty, které vám nic neřeknou o širším a komplexním scénáři útoku. Můžete vyhledávat, zkoumat, zkoumat a korelovat skupiny výstrah, které patří do jednoho příběhu útoku, ale to vás bude stát spoustu času, úsilí a energie.

Místo toho moduly korelace a algoritmy na portálu Microsoft Defender automaticky agregují a korelují související výstrahy, aby vytvořily incidenty, které představují tyto rozsáhlejší scénáře útoku. Defender identifikuje několik signálů, které patří do stejného scénáře útoku, a používá AI k průběžnému monitorování zdrojů telemetrie a přidávání dalších důkazů k již otevřeným incidentům. Incidenty obsahují všechna upozornění považovaná za vzájemně související a s celkovým příběhem útoku a prezentují příběh v různých podobách:

  • Časové osy upozornění a nezpracovaných událostí, na kterých jsou založeny
  • Seznam použitých taktik
  • Seznamy všech zapojených a ovlivněných uživatelů, zařízení a dalších prostředků
  • Vizuální znázornění interakce všech hráčů v příběhu
  • Protokoly automatických procesů šetření a reakcí, které Defender XDR iniciované a dokončené
  • Sbírky důkazů podporujících příběh útoku: uživatelské účty a informace o zařízení a adresy špatných účastníků, škodlivé soubory a procesy, relevantní analýza hrozeb atd.
  • Textový souhrn příběhu útoku

Incidenty také poskytují architekturu pro správu a dokumentaci vyšetřování a reakce na hrozby. Další informace o funkcích incidentů v tomto ohledu najdete v tématu Správa incidentů v Microsoft Defender.

Zdroje výstrah a detekce hrozeb

Výstrahy na portálu Microsoft Defender pocházejí z mnoha zdrojů. Mezi tyto zdroje patří mnoho služeb, které jsou součástí Microsoft Defender XDR, a také další služby s různou mírou integrace s portálem Microsoft Defender.

Když se například Microsoft Sentinel připojí na portál Microsoft Defender, modul korelace na portálu Defenderu má přístup ke všem nezpracovaným datům přijatým Microsoft Sentinel, která najdete v tabulkách rozšířeného proaktivního vyhledávání Defenderu.

Microsoft Defender XDR sám také vytváří výstrahy. jedinečné možnosti korelace Defender XDR poskytují další vrstvu analýzy dat a detekce hrozeb pro všechna řešení od jiných společností než Microsoft ve vašich digitálních aktivech. Tyto detekce vytvářejí Defender XDR výstrahy a také výstrahy, které už poskytují analytická pravidla Microsoft Sentinel.

V každém z těchto zdrojů existuje jeden nebo více mechanismů detekce hrozeb, které vytvářejí výstrahy na základě pravidel definovaných v jednotlivých mechanismech.

Například Microsoft Sentinel má aspoň čtyři různé moduly, které vytvářejí různé typy upozornění, z nichž každý má vlastní pravidla.

Nástroje a metody pro šetření a reakci

Portál Microsoft Defender obsahuje nástroje a metody pro automatizaci nebo jinou pomoc při třídění, vyšetřování a řešení incidentů. Tyto nástroje jsou uvedeny v následující tabulce:

Nástroj/metoda Popis
Správa a vyšetřování incidentů Ujistěte se, že upřednostňujete incidenty podle závažnosti, a pak je prošetřete. Pomocí rozšířeného proaktivního proaktivního vyhledávání můžete vyhledávat hrozby a získat náskok před nově vznikajícími hrozbami pomocí analýzy hrozeb.
Automatické prověřování a řešení výstrah Pokud je to povolené, může Microsoft Defender XDR automaticky zkoumat a řešit výstrahy ze zdrojů Microsoft 365 a Entra ID prostřednictvím automatizace a umělé inteligence.
Konfigurace akcí automatického přerušení útoku Používejte vysoce důvěryhodné signály shromážděné z Microsoft Defender XDR a Microsoft Sentinel k automatickému přerušení aktivních útoků při rychlosti počítače, které obsahují hrozbu a omezují dopad.
Konfigurace pravidel automatizace Microsoft Sentinel Pomocí pravidel automatizace můžete automatizovat třídění, přiřazování a správu incidentů bez ohledu na jejich zdroj. Pomozte svému týmu ještě více efektivity tím, že nakonfigurujete pravidla pro použití značek na incidenty na základě jejich obsahu, potlačíte hlučné (falešně pozitivní) incidenty a uzavřete vyřešené incidenty, které splňují příslušná kritéria, zadáním důvodu a přidáním komentářů.
Proaktivní lov s pokročilým vyhledáváním Pomocí dotazovací jazyk Kusto (KQL) můžete proaktivně kontrolovat události ve vaší síti dotazováním protokolů shromážděných na portálu Defender. Rozšířené proaktivní vyhledávání podporuje režim s asistencí pro uživatele, kteří hledají pohodlí tvůrce dotazů.
Využití AI s Microsoft Copilot pro zabezpečení Přidejte AI pro podporu analytiků se složitými a časově náročnými denními pracovními postupy. Například Microsoft Copilot for Security může pomoct s komplexním vyšetřováním incidentů a reakcí tím, že poskytuje jasně popsané scénáře útoku, podrobné pokyny k nápravě a souhrnné sestavy aktivit incidentů, proaktivní vyhledávání KQL v přirozeném jazyce a analýzu expertního kódu – optimalizace efektivity SOC napříč daty ze všech zdrojů.

Tato funkce doplňuje další funkce založené na umělé inteligenci, které Microsoft Sentinel přináší do sjednocené platformy, a to v oblastech analýzy chování uživatelů a entit, detekce anomálií, detekce vícefázových hrozeb a dalších.

Další informace o korelaci výstrah a slučování incidentů na portálu Defender najdete v tématu Výstrahy, incidenty a korelace v Microsoft Defender XDR