Reakce na incident pomocí Služby Microsoft Sentinel na webu Azure Portal pomocí XDR v programu Microsoft Defender

• Platí pro:

  Microsoft Sentinel in the Azure portal

Tento článek vysvětluje, jak řešit incidenty zabezpečení pomocí služby Microsoft Sentinel na webu Azure Portal a VYDR v programu Microsoft Defender. Přečtěte si podrobné pokyny k třídění, vyšetřování a řešení, abyste zajistili rychlou reakci na incidenty.

• Aktualizace životního cyklu (stav, vlastník, klasifikace) jsou sdíleny mezi produkty.
• Důkazy shromážděné během vyšetřování se zobrazují v incidentu Microsoft Sentinelu.

Další informace o integraci programu Microsoft Defender s Microsoft Sentinelem najdete v tématu integrace XDR v programu Microsoft Defender se službou Microsoft Sentinel. Tato interaktivní příručka vás provede detekcí moderních útoků a reagováním na ně pomocí jednotných bezpečnostních informací a správy událostí (SIEM) a rozšířených možností detekce a reakce (XDR).

Třídění incidentů

Začněte se tříděním na webu Azure Portal s Microsoft Sentinelem, abyste mohli zkontrolovat podrobnosti incidentu a provést okamžitou akci. Na stránce Incidenty vyhledejte podezřelý incident a aktualizujte podrobnosti, jako je jméno vlastníka, stav a závažnost, nebo přidejte komentáře. Pokud chcete pokračovat v šetření, přejděte k podrobnostem.

Další informace najdete v tématu Navigace, třídění a správa incidentů Služby Microsoft Sentinel na webu Azure Portal

Vyšetřování incidentů

Jako primární nástroj pro reakce na incidenty použijte Azure Portal a pak přejděte na portál Defender, kde najdete podrobnější šetření.

Například:

Portál	Úkoly
na webu Azure Portal	Použijte Microsoft Sentinel na webu Azure Portal ke korelaci incidentu s procesy zabezpečení, zásadami a postupy (3P). Na stránce s podrobnostmi o incidentu vyberte Prozkoumat v Microsoft Defender XDR a otevřete tentýž incident na portálu Defender.
na portálu Defender	Prozkoumejte podrobnosti, jako je rozsah incidentu, časová osa prostředků a čekající akce na samoopravení. Možná budete také muset ručně opravit objekty, provést okamžitou reakci a přidat preventivní opatření. Na stránce s podrobnostmi o incidentu na kartě Příběh útoku: – Prohlédněte si příběh útoku incidentu, abyste porozuměli jeho rozsahu, závažnosti, zdroji detekce a tomu, jaké entity jsou ovlivněny. – Analyzujte výstrahy incidentu, abyste porozuměli jejich původu, rozsahu a závažnosti pomocí scénáře výstrahy v rámci incidentu. – Podle potřeby shromážděte v grafu informace o ovlivněných zařízeních, uživatelích a poštovních schránkách. Výběrem libovolné entity otevřete vyskakovací okno se všemi podrobnostmi. – Podívejte se, jak XDR v programu Microsoft Defender automaticky vyřešil některé výstrahy na kartě vyšetřování. – Podle potřeby použijte informace v datovém souboru k incidentu z karty Důkazy a Odpovědi.
na portálu Azure	Vraťte se na Azure portal a proveďte další akce související s incidenty, například: - Provádění 3P automatizovaných vyšetřování a nápravných akcí - Vytváření vlastních playbooků pro orchestraci zabezpečení, automatizaci a odezvu (SOAR) - Zaznamenávání důkazů pro řízení incidentů, jako jsou komentáře k zaznamenání vašich akcí a výsledků analýzy. – Přidání vlastních měr.

Další informace najdete tady:

• podrobné zkoumání incidentů služby Microsoft Sentinel na webu Azure Portal
• Správa incidentů v programu Microsoft Defender

Automatizace s využitím Microsoft Sentinelu

Využijte funkce playbooku a pravidel automatizace v Microsoft Sentinelu:

• Playbook je kolekce akcí vyšetřování a náprav, které spouštíte z portálu Microsoft Sentinel jako rutinní postup. Playbooky pomáhají automatizovat a orchestrovat reakci na hrozby. Spouští se ručně u incidentů, entit nebo upozornění nebo automaticky při aktivaci pravidlem automatizace. Další informace najdete v tématu Automatizace reakcí na hrozby pomocí playbooků.

• pravidla automatizace umožňují centrálně spravovat automatizaci v Microsoft Sentinelu definováním a koordinací malé sady pravidel, která se vztahují v různých scénářích. Další informace najdete v tématu Automatizace reakcí na hrozby v Microsoft Sentinelu pomocí pravidel automatizace.

Řešení incidentů

Když vyšetřování skončí a incident jste opravili na portálech, vyřešte ho. Další informace najdete v tématu Uzavření incidentu na webu Azure Portal.

Ohlaste incident svému vedoucímu týmu pro reakci na incidenty, aby mohl zvážit potenciální následné kroky. Například:

• Informujte analytiky zabezpečení vrstvy 1, aby lépe detekují útok včas.
• Prozkoumejte útok v Microsoft Defender XDR Threat Analytics a bezpečnostní komunitě pro trend útoků na zabezpečení.
• Poznamenejte si pracovní postup použitý k vyřešení incidentu a aktualizujte standardní pracovní postupy, procesy, zásady a playbooky.
• Určete, jestli jsou potřeba změny v konfiguraci zabezpečení, a implementujte je.
• Vytvořte playbook orchestrace, který automatizuje reakci na hrozby pro podobná rizika. Další informace najdete v tématu Automatizace reakcí na hrozby pomocí playbooků v Microsoft Sentinelu.

Související obsah

Další informace najdete tady:

• Integrace Microsoft Defender XDR se službou Microsoft Sentinel
• Interaktivní průvodce možnostmi sjednoceného systému SIEM a XDR
• analýzy hrozeb XDR v programu Microsoft Defender