Del via


Undersøg sikkerhedsbeskeder fra Defender for Identity i Microsoft Defender XDR

Bemærk!

Defender for Identity er ikke designet til at fungere som en overvågnings- eller logføringsløsning, der registrerer hver enkelt handling eller aktivitet på de servere, hvor sensoren er installeret. Den registrerer kun de data, der kræves til registrerings- og anbefalingsmekanismerne.

I denne artikel forklares det grundlæggende om, hvordan du arbejder med Microsoft Defender for Identity sikkerhedsbeskeder i Microsoft Defender XDR.

Defender for Identity-beskeder er indbygget integreret i Microsoft Defender XDR med et dedikeret sideformat for identitetsbeskeder.

Beskedsiden Identitet giver Microsoft Defender for Identity kunder bedre signalforbedring på tværs af domæner og nye automatiserede funktioner til identitetssvar. Det sikrer, at du forbliver sikker og hjælper med at forbedre effektiviteten af dine sikkerhedshandlinger.

En af fordelene ved at undersøge beskeder via Microsoft Defender XDR er, at Microsoft Defender for Identity beskeder er yderligere korreleret med oplysninger, der hentes fra hvert af de andre produkter i pakken. Disse forbedrede beskeder er i overensstemmelse med de andre Microsoft Defender XDR beskedformater, der stammer fra Microsoft Defender for Office 365 og Microsoft Defender for Endpoint. Den nye side fjerner effektivt behovet for at navigere til en anden produktportal for at undersøge beskeder, der er knyttet til identiteten.

Beskeder, der stammer fra Defender for Identity, kan nu udløse funktionerne til Microsoft Defender XDR automatiseret undersøgelse og svar ( AIR), herunder automatisk afhjælpning af beskeder og afhjælpning af værktøjer og processer, der kan bidrage til den mistænkelige aktivitet.

Vigtigt!

Som en del af konvergensen med Microsoft Defender XDR er nogle muligheder og detaljer blevet ændret fra deres placering i Defender for Identity-portalen. Læs oplysningerne nedenfor for at finde ud af, hvor du kan finde både de velkendte og nye funktioner.

Gennemse sikkerhedsbeskeder

Beskeder kan tilgås fra flere placeringer, herunder siden Beskeder , siden Hændelser , siderne på de enkelte enheder og fra siden Avanceret jagt . I dette eksempel gennemgår vi siden Beskeder.

I Microsoft Defender XDR skal du gå til Hændelser & beskeder og derefter til Beskeder.

Menupunktet Beskeder

Hvis du vil se beskeder fra Defender for Identity, skal du vælge Filter øverst til højre og derefter vælge Microsoft Defender for Identity under Tjenestekilder og vælge Anvend:

Filteret for Defender for Identity-hændelser

Beskederne vises med oplysninger i følgende kolonner: Navn på besked, Mærker, Alvorsgrad, Undersøgelsestilstand, Status, Kategori, Registreringskilde, Påvirkede aktiver, Første aktivitet og Sidste aktivitet.

Defender for Identity-hændelser

Kategorier for sikkerhedsbeskeder

Sikkerhedsbeskeder fra Defender for Identity er opdelt i følgende kategorier eller faser, f.eks. de faser, der ses i en typisk dræberkæde for cyberangreb.

Administrer beskeder

Hvis du vælger beskednavnet for en af beskederne, skal du gå til siden med oplysninger om beskeden. I venstre rude kan du se en oversigt over , hvad der skete:

Ruden Hvad skete der?

Over feltet Hvad skete der er knapperne for beskedens Konti, Destinationsvært og Kildevært . For andre beskeder kan du se knapper for at få oplysninger om yderligere værter, konti, IP-adresser, domæner og sikkerhedsgrupper. Vælg en af dem for at få flere oplysninger om de involverede enheder.

I ruden til højre kan du se oplysningerne om beskeder. Her kan du se flere detaljer og udføre flere opgaver:

  • Klassificer denne besked – Her kan du angive denne besked som en sand besked eller falsk besked

    Den side, hvor du kan klassificere en besked

  • Beskedtilstand – I Angiv klassificering kan du klassificere beskeden som Sand eller Falsk. I Tildelt til kan du tildele beskeden til dig selv eller fjerne tildelingen af den.

    Ruden Beskedtilstand

  • Beskedoplysninger – Under Beskedoplysninger kan du finde flere oplysninger om den specifikke besked, følge et link til dokumentation om typen af besked, se, hvilken hændelse beskeden er knyttet til, gennemse eventuelle automatiserede undersøgelser, der er knyttet til denne beskedtype, og se de berørte enheder og brugere.

    Siden Beskedoplysninger

  • Kommentarer & oversigt – Her kan du føje dine kommentarer til beskeden og se oversigten over alle de handlinger, der er knyttet til beskeden.

    Siden Kommentarer & oversigt

  • Administrer besked – Hvis du vælger Administrer besked, skal du gå til en rude, der giver dig mulighed for at redigere:

    • Status – Du kan vælge Ny, Løst eller Igangværende.

    • Klassificering – Du kan vælge Sand besked eller Falsk besked.

    • Kommentar – Du kan tilføje en kommentar om beskeden.

    • Hvis du vælger de tre prikker ud for Administrer besked, kan du linke besked til en anden hændelse, oprette undertrykkelsesregel (kun tilgængelig for prøveversionskunder) eller Ask Defender Experts.

      Indstillingen Administrer besked

      Du kan også eksportere beskeden til en Excel-fil. Det gør du ved at vælge Eksportér.

      Bemærk!

      I Excel-filen har du nu to tilgængelige links: Vis i Microsoft Defender for Identity og Vis i Microsoft Defender XDR. Hvert link fører dig til den relevante portal og giver oplysninger om beskeden der.

Finjustering af beskeder

Juster dine beskeder for at justere og optimere dem, hvilket reducerer falske positiver. Beskedjustering gør det muligt for dine SOC-teams at fokusere på vigtige beskeder og forbedre dækningen af trusselsregistrering på tværs af dit system. I Microsoft Defender XDR skal du oprette regelbetingelser baseret på bevistyper og derefter anvende din regel på en hvilken som helst regeltype, der stemmer overens med dine betingelser.

Du kan få flere oplysninger under Juster en besked.

Se også

Lær mere