Správa a zkoumání výstrah

  • 10 min

Správa prošetřovat výstrahy

Výstrahy můžete spravovat tak, že vyberete výstrahu ve frontě Výstrahy nebo na kartě Upozornění na stránce Zařízení pro jednotlivá zařízení. Výběrem výstrahy na některém z těchto míst se zobrazí podokno Správa výstrah.

Screenshot of the Microsoft Defender XDR Alerts Queue page.

Správa výstrah

Můžete zobrazit a nastavit metadata o stránce s náhledem upozornění nebo podrobnostmi výstrahy.

Screenshot of the Microsoft Defender XDR Alert details page.

Pole metadat zahrnují a akce:

Závažnost

  • Vysoká (červená) – výstrahy běžně používané s pokročilými trvalými hrozbami (APT). Tato upozornění značí vysoké riziko z důvodu závažnosti poškození, které mohou způsobit na zařízeních. Mezi příklady patří aktivity nástrojů pro krádež přihlašovacích údajů, aktivity ransomwaru, které nejsou spojené s žádnou skupinou, manipulování se senzory zabezpečení nebo jakékoli škodlivé aktivity indikující lidskou nežádoucí osobu.

  • Medium (Orange) – Výstrahy z detekce a reakce u koncových bodů chování po porušení zabezpečení, které mohou být součástí pokročilé trvalé hrozby (APT). To zahrnuje pozorované chování typické pro fáze útoku, neobvyklou změnu registru, spouštění podezřelých souborů atd. I když některé můžou být součástí interního testování zabezpečení, vyžaduje šetření, protože může být také součástí pokročilého útoku.

  • Nízká (žlutá) – Výstrahy na hrozby spojené s předvalentním malwarem. Například hack-tools, nemalwarové hack tools, jako je spouštění příkazů pro zkoumání, vymazání protokolů atd. Často neoznačují pokročilou hrozbu, která cílí na organizaci. Může také pocházet z izolovaného nástroje zabezpečení, který testuje uživatel ve vaší organizaci.

  • Informační (šedá) – Upozornění, která nemusí být považována za škodlivou pro síť, ale mohou zvýšit povědomí organizace o zabezpečení potenciálních problémů se zabezpečením.

závažnosti výstrah Antivirová ochrana v programu Microsoft Defender (AV v programu Microsoft Defender) a Defender for Endpoint se liší, protože představují různé obory. Závažnost hrozby AV v programu Microsoft Defender představuje absolutní závažnost zjištěné hrozby (malwaru) a je přiřazena na základě potenciálního rizika pro jednotlivá zařízení, pokud je napadeno.

Závažnost výstrahy Defenderu pro koncový bod představuje závažnost zjištěného chování, skutečné riziko pro zařízení a především potenciální riziko pro organizaci.

Například:

  • Závažnost výstrahy defenderu pro koncový bod týkající se zjištěné hrozby av v programu Microsoft Defender, která byla zjištěna a nenakazila zařízení, je kategorizována jako informační, protože nedošlo k žádnému skutečnému poškození.

  • Během provádění, ale zablokovaný a nápravný program v programu Microsoft Defender AV, byl zjištěn výstraha týkající se komerčního malwaru, je kategorizována jako Nízká, protože mohla způsobit nějaké škody na jednotlivých zařízeních, ale nepředstavuje žádnou organizační hrozbu.

  • Upozornění na malware zjištěných při provádění, které může představovat hrozbu nejen pro jednotlivá zařízení, ale i pro organizaci, bez ohledu na to, jestli byl nakonec zablokován, může být zařazen jako "Střední" nebo "Vysoká".

  • Podezřelá upozornění na chování, která nebyla blokována nebo napravena, budou seřazena jako Nízká, Střední nebo Vysoká podle stejných aspektů ohrožení organizace.

Kategorie

Kategorie výstrah úzce odpovídají taktikám a technikám útoku v matici MITRE ATT&CK Enterprise.

Poznámka:

Kategorie upozornění zahrnují také položky (například Unwanted Software), které nejsou součástí matic ATT&CK.

Kategorie:

  • Shromažďování – Vyhledání a shromažďování dat pro exfiltraci

  • Příkazy a řízení – Připojení síťové infrastruktury řízené útočníkem pro předávání dat nebo přijímání příkazů

  • Přístup k přihlašovacím údajům – Získání platných přihlašovacích údajů pro rozšíření kontroly nad zařízeními a dalšími prostředky v síti

  • Úniky před obranou – zabránění bezpečnostním prvkům, například vypnutím bezpečnostních aplikací, odstraňováním implantátů a spouštěním rootkitů

  • Zjišťování – Shromažďování informací o důležitých zařízeních a prostředcích, jako jsou počítače správce, řadiče domény a souborové servery

  • Spuštění – spuštění nástrojů útočníka a škodlivého kódu, včetně RAT a zadních vrátek

  • Exfiltrace – extrahování dat ze sítě do externího umístění řízeného útočníkem

  • Zneužití – zneužití kódu a možné aktivity zneužití

  • Počáteční přístup – Získání počáteční položky do cílové sítě, obvykle zahrnující odhad hesla, zneužití nebo phishingové e-maily

  • Laterální pohyb – Přesun mezi zařízeními v cílové síti za účelem dosažení kritických prostředků nebo získání trvalosti sítě

  • Malware – zadní vrátka, trojské koně a další typy škodlivého kódu

  • Trvalost – Vytváření bodů rozšiřitelnosti automatického startu (ASEPs), které zůstanou aktivní a přežijí restartování systému

  • Eskalace oprávnění – Získání vyšších úrovní oprávnění pro kód spuštěním v kontextu privilegovaného procesu nebo účtu

  • Ransomware – Malware, který šifruje soubory a vyděsí platbu za účelem obnovení přístupu

  • Podezřelá aktivita – atypická aktivita , která může být aktivita malwaru nebo součást útoku

  • Nežádoucí software – aplikace s nízkou reputací a aplikace, které mají vliv na produktivitu a uživatelské prostředí; zjistily se jako potenciálně nežádoucí aplikace (PUA)

Můžete vytvořit nový incident z výstrahy nebo propojit s existujícím incidentem.

Přiřazení výstrah

Pokud upozornění ještě není přiřazené, můžete vybrat Možnost Přiřadit, abyste upozornění přiřadili sami sobě.

Potlačení upozornění

V Centrum zabezpečení v programu Microsoft Defender můžou nastat situace, kdy potřebujete potlačit zobrazování výstrah. Defender for Endpoint umožňuje vytvářet pravidla potlačení pro konkrétní výstrahy, o kterých je známo, že jsou neškodné, jako jsou známé nástroje nebo procesy ve vaší organizaci.

Pravidla potlačení je možné vytvořit z existující výstrahy. V případě potřeby je možné je zakázat a znovu povolit.

Když se pravidlo potlačení vytvoří, projeví se od okamžiku vytvoření pravidla. Pravidlo nebude mít vliv na existující výstrahy, které už jsou ve frontě před vytvořením pravidla. Pravidlo se použije jenom na výstrahy, které splňují podmínky nastavené po vytvoření pravidla.

Existují dva kontexty pravidla potlačení, ze kterého si můžete vybrat:

  • Potlačení upozornění na tomto zařízení

  • Potlačení upozornění v organizaci

Kontext pravidla umožňuje přizpůsobit, co se zobrazí na portálu, a zajistit, aby se na portálu zobrazovaly jenom skutečné výstrahy zabezpečení.

Změna stavu výstrahy

Výstrahy můžete zařadit do kategorií jako Nová, Probíhá nebo Vyřešeno změnou jejich stavu při průběhu vyšetřování. To vám pomůže uspořádat a spravovat způsob reakce vašeho týmu na výstrahy.

Vedoucí týmu může například zkontrolovat všechna nová upozornění a rozhodnout se je přiřadit k probíhající frontě pro další analýzu.

Vedoucí týmu také může výstrahu přiřadit do vyřešené fronty, pokud zjistí, že je výstraha neškodná, pocházející z irelevantního zařízení (například zařízení patřící správci zabezpečení) nebo se zabývá dřívější výstrahou.

Klasifikace výstrah

Můžete se rozhodnout, že klasifikaci nenastavíte, nebo určíte, jestli je výstraha pravdivá nebo nepravdivá výstraha. Je důležité poskytnout klasifikaci pravdivě pozitivních nebo falešně pozitivních výsledků, protože slouží k monitorování kvality výstrah a k lepší přesnosti výstrah. Pole "determinace" definuje extra věrnost pro "pravdivě pozitivní" klasifikaci.

Přidání komentářů a zobrazení historie upozornění

Můžete přidat komentáře a zobrazit historické události výstrahy, abyste viděli předchozí změny provedené v upozornění. Kdykoli se v upozornění provede změna nebo komentář, zaznamená se v části Komentáře a historie. Přidané komentáře se okamžitě zobrazí v podokně.

Šetření výstrah

Prozkoumejte výstrahy, které ovlivňují vaši síť, zjistěte, co znamenají a jak je vyřešit.

Výběrem výstrahy z fronty upozornění přejděte na stránku upozornění. Toto zobrazení obsahuje název výstrahy, ovlivněné prostředky, boční podokno podrobností a scénář upozornění.

Na stránce výstrahy začněte šetření výběrem ovlivněných prostředků nebo libovolné entity v zobrazení stromového stromu upozornění. Podokno podrobností automaticky naplní dalšími informacemi o tom, co jste vybrali.

Zkoumání pomocí scénáře upozornění

Text výstrahy podrobně popisuje, proč se výstraha aktivovala, související události, ke kterým došlo před a po, a další související entity.

Entity se dají kliknout a každá entita, která není výstrahou, se dá rozbalit pomocí ikony rozbalení na pravé straně karty dané entity. Entita v fokusu bude označená modrým pruhem na levé straně karty dané entity s upozorněním v názvu, který je na prvním místě.

Výběrem entity přepnete kontext podokna podrobností na tuto entitu a umožníte vám zkontrolovat další informace a spravovat tuto entitu. Výběr... Napravo od karty entity se zobrazí všechny akce, které jsou pro danou entitu k dispozici. Tyto stejné akce se zobrazí v podokně podrobností, když je tato entita v fokusu.

Provedení akce z podokna podrobností

Jakmile vyberete entitu, která vás zajímá, podokno podrobností se změní tak, aby zobrazoval informace o vybraném typu entity, historické informace, když je k dispozici, a nabízí ovládací prvky, které se mají u této entity provést přímo ze stránky upozornění.

Jakmile dokončíte šetření, vraťte se k upozornění, se kterým jste začali, označte stav výstrahy jako Vyřešeno a klasifikujte ji jako nepravdivé nebo pravdivé upozornění. Klasifikace výstrah pomáhá vyladit tuto funkci tak, aby poskytovala více pravdivějších výstrah a méně falešných výstrah.

Pokud ji klasifikujete jako pravdivou výstrahu, můžete také vybrat rozhodnutí.

Pokud u obchodní aplikace dochází k falešnému upozornění, vytvořte pravidlo potlačení, abyste se tomuto typu upozornění vyhnuli v budoucnu.