Vyšetřování incidentů

  • 4 min

Na stránce incidentu najdete následující informace a navigační odkazy.

Přehled incidentu

Na stránce s přehledem se můžete podívat na přehled hlavních věcí, které si můžete všimnout incidentu.

Screenshot of the Incident overview pane.

Kategorie útoku poskytují vizuální a číselný přehled o tom, jak pokročilý útok pokročil proti řetězci kill. Stejně jako u jiných produktů zabezpečení Microsoftu je XDR v programu Microsoft Defender sladěný s architekturou MITRE ATT&CK™.

Oddíl rozsahu obsahuje seznam hlavních ovlivněných prostředků, které jsou součástí tohoto incidentu. Pokud existují konkrétní informace týkající se tohoto prostředku, jako je úroveň rizika, priorita šetření a jakékoli označování prostředků, zobrazí se také v této části.

Časová osa výstrah poskytuje přehled o chronologickém pořadí, ve kterém k výstrahám došlo, a důvodům, proč tyto výstrahy souvisejí s tímto incidentem.

A nakonec – část důkazu obsahuje souhrn toho, kolik různých artefaktů bylo zahrnuto v incidentu a jejich stavu nápravy, abyste mohli okamžitě zjistit, jestli je na vaší straně potřeba nějaká akce.

Tento přehled může pomoct počátečnímu určení priorit incidentu tím, že poskytne přehled o hlavních charakteristikách incidentu, o které byste měli vědět.

Výstrahy

Můžete zobrazit všechny výstrahy související s incidentem a další informace o nich, jako jsou závažnost, entity, které byly součástí výstrahy, zdroj výstrah (Microsoft Defender for Identity, Microsoft Defender for Endpoint, Microsoft Defender pro Office 365) a důvod jejich propojení.

Ve výchozím nastavení jsou výstrahy seřazené chronologicky, abyste si mohli nejprve prohlédnout, jak se útok v průběhu času hrál. Kliknutím na každou výstrahu přejdete na příslušnou stránku upozornění, kde můžete provést podrobné šetření tohoto upozornění.

Zařízení

Na kartě Zařízení jsou uvedena všechna zařízení, na kterých se zobrazují výstrahy související s incidentem.

Kliknutím na odkaz na název počítače, na kterém byl útok proveden, přejdete na stránku zařízení. Na stránce Zařízení můžete zobrazit výstrahy, které se na něm aktivovaly, a související události, které vám umožní usnadnit šetření.

Uživatelé

Podívejte se na uživatele, kteří byli identifikováni jako součást daného incidentu nebo související s ním.

Kliknutím na uživatelské jméno přejdete na stránku Microsoft Defenderu pro Cloud Apps uživatele, kde je možné provést další šetření.

Poštovní schránky

Prozkoumejte poštovní schránky, které byly identifikovány jako součást incidentu nebo které souvisejí s incidentem.

Aplikace

Prozkoumejte aplikace, které byly identifikovány jako součást incidentu nebo které souvisí s incidentem.

Vyšetřování

Výběrem možnosti Vyšetřování zobrazíte všechna automatizovaná šetření aktivovaná výstrahami v tomto incidentu. Vyšetřování provede nápravné akce nebo počká na schválení akcí analytika.

Výběrem šetření přejděte na stránku podrobností šetření a získejte úplné informace o stavu šetření a nápravy. Pokud některé akce čekají na schválení v rámci šetření, zobrazí se na kartě Čekající akce.

Důkazy a odpovědi

XDR v programu Microsoft Defender automaticky prošetřuje všechny události podporované incidenty a podezřelé entity v výstrahách, poskytuje automatické odpovědi a informace o důležitých souborech, procesech, službách, e-mailech a dalších událostech. To pomáhá rychle rozpoznat a blokovat potenciální hrozby v incidentu.

Každá analyzovaná entita bude označena verdiktem (škodlivý, podezřelý, čistý) a stavem nápravy. Pomůže vám to pochopit stav nápravy celého incidentu a další kroky pro další nápravu.

Graf

Graf vizualizuje související informace o kybernetických hrozbách do incidentu, abyste viděli vzory a korelace přicházející z různých datových bodů. Tuto korelaci můžete zobrazit prostřednictvím grafu incidentů.

Graph vypráví příběh útoku na kybernetickou bezpečnost. Zobrazuje například vstupní bod, který indikátor ohrožení nebo aktivity byl zjištěn na kterém zařízení atd.

Pomocí kruhů v grafu incidentů můžete zobrazit podrobnosti o škodlivých souborech, souvisejících detekcích souborů, kolik instancí bylo po celém světě, jestli se v organizaci zaznamenalo, pokud ano, kolik instancí.