Reakce na incident pomocí portálu Defender
Tento článek vysvětluje, jak reagovat na incident pomocí služby Microsoft Sentinel na portálu Defender, který se zabývá tříděním, vyšetřováním a řešením.
Požadavky
Vyšetřování incidentů na portálu Defender:
- Váš pracovní prostor služby Log Analytics používaný pro Microsoft Sentinel musí být onboardovaný na portálu Defender. Další informace najdete v tématu Připojení Služby Microsoft Sentinel k portálu Microsoft Defender.
Proces reakce na incidenty
Při práci na portálu Defender proveďte počáteční třídění, řešení a následné kroky, jak byste jinak udělali. Při zkoumání nezapomeňte:
- Porozumějte incidentu a jeho rozsahu zkoumáním časových os aktiv.
- Zkontrolujte čekající akce samoléčení, ručně opravte entity a proveďte živou reakci.
- Přidejte opatření prevence.
Vložená oblast Microsoft Sentinel v portálu Defender vám pomáhá prohloubit vaše vyšetřování, přičemž zahrnuje:
- Pochopení rozsahu incidentu tím, že ho porovnáte s vašimi procesy zabezpečení, zásadami a postupy (3P).
- Provádění automatizovaných akcí a nápravných akcí 3P a vytváření vlastních playbooků orchestrace zabezpečení, automatizace a reakce (SOAR).
- Zaznamenávání důkazů pro řízení incidentů.
- Přidání vlastních měření
Další informace najdete tady:
- Prošetřete incidenty v Microsoft Defender XDR
- reakce na incidenty pomocí XDR v programu Microsoft Defender
- stránky entit v Microsoft Sentinelu
Automatizace s využitím Microsoft Sentinelu
Ujistěte se, že využíváte funkce playbooku a pravidel automatizace Microsoft Sentinelu:
playbook je kolekce akcí vyšetřování a náprav, které je možné spustit z portálu Microsoftu Sentinel jako rutinní úkol. Scénáře mohou pomoci automatizovat a koordinovat reakci na hrozby. Můžou se spouštět ručně na vyžádání na incidenty, entity a výstrahy nebo je nastavit tak, aby se spouštěly automaticky v reakci na konkrétní výstrahy nebo incidenty, když je aktivuje pravidlo automatizace. Další informace najdete v tématu Automatizace reakcí na hrozby pomocí playbooků.
pravidla automatizace představují způsob, jak centrálně spravovat automatizaci v Microsoft Sentinelu. Díky tomu můžete definovat a koordinovat malou sadu pravidel, která se můžou v různých scénářích používat. Další informace najdete v tématu Automatizace reakcí na hrozby v Microsoft Sentinelu pomocí pravidel automatizace.
Po připojení pracovního prostoru Microsoft Sentinelu k jednotné platformě operací zabezpečení mějte na paměti, že existují rozdíly v tom, jak funkce automatizace v pracovním prostoru fungují. Další informace najdete v tématu Automation s jednotnou platformou provozu zabezpečení.
Reakce po incidentu
Jakmile incident vyřešíte, nahlaste incident vedoucímu reakce na incidenty, abyste mohli zjistit další akce. Například:
- Informujte analytiky zabezpečení vrstvy 1, aby lépe detekují útok včas.
- Prozkoumejte útok v XDR Threat Analytics programu Microsoft Defender a v komunitě zabezpečení, abyste zjistili trend útoků na zabezpečení. Další informace najdete v tématu Analýza hrozeb v programu Microsoft Defender XDR.
- Podle potřeby si poznamenejte pracovní postup, který jste použili k vyřešení incidentu, a aktualizujte standardní pracovní postupy, procesy, zásady a playbooky.
- Určete, jestli jsou potřeba změny v konfiguraci zabezpečení, a implementujte je.
- Vytvořte příručku pro orchestraci, která automatizuje a koordinuje vaši reakci na hrozby v případě podobného rizika v budoucnu. Další informace najdete v tématu Automatizace reakcí na hrozby pomocí playbooků v Microsoft Sentinelu.
Související obsah
Další informace najdete tady: