Hændelser og beskeder på Microsoft Defender-portalen
På Microsoft Defender-portalen samles et samlet sæt sikkerhedstjenester for at reducere din eksponering over for sikkerhedstrusler, forbedre organisationens sikkerhedsholdning, registrere sikkerhedstrusler og undersøge og reagere på brud. Disse tjenester indsamler og producerer signaler, der vises på portalen. De to primære typer signaler er:
Beskeder: Signaler, der stammer fra forskellige aktiviteter til trusselsregistrering. Disse signaler angiver forekomsten af skadelige eller mistænkelige hændelser i dit miljø.
Hændelser: Objektbeholdere, der indeholder samlinger af relaterede beskeder og fortæller hele historien om et angreb. Beskederne i en enkelt hændelse kan stamme fra alle Microsofts løsninger til sikkerhed og overholdelse af angivne standarder samt fra et stort antal eksterne løsninger, der indsamles via Microsoft Sentinel og Microsoft Defender for Cloud.
Hændelser for korrelation og undersøgelse
Selvom du kan undersøge og afhjælpe de trusler, som individuelle beskeder giver dig opmærksomhed, er disse trusler i sig selv isolerede hændelser, der ikke fortæller dig noget om en bredere, kompleks angrebshistorie. Du kan søge efter, undersøge og korrelere grupper af beskeder, der hører sammen i en enkelt angrebshistorie, men det vil koste dig masser af tid, kræfter og energi.
Korrelationsprogrammer og algoritmer på Microsoft Defender portalen samler og korrelerer i stedet automatisk relaterede beskeder for at danne hændelser, der repræsenterer disse større angrebshistorier. Defender identificerer flere signaler som tilhører den samme angrebshistorie ved hjælp af KUNSTIG intelligens til løbende at overvåge sine telemetrikilder og tilføje flere beviser til allerede åbne hændelser. Hændelser indeholder alle de beskeder, der anses for at være relateret til hinanden og til den overordnede angrebshistorie, og præsenterer historien i forskellige former:
- Tidslinjer for beskeder og de rå hændelser, de er baseret på
- En liste over de taktikker, der blev brugt
- Lister af alle de involverede og påvirkede brugere, enheder og andre ressourcer
- En visuel gengivelse af, hvordan alle spillere i historien interagerer
- Logfiler over automatiske undersøgelses- og svarprocesser, der Defender XDR startet og fuldført
- Samlinger af beviser, der understøtter angrebshistorien: dårlige skuespilleres brugerkonti og enhedsoplysninger og -adresse, ondsindede filer og processer, relevant trusselsintelligens osv.
- En tekstoversigt over angrebshistorien
Hændelser giver dig også en struktur til administration og dokumentation af dine undersøgelser og trusselssvar. Du kan få flere oplysninger om hændelsers funktionalitet i denne forbindelse under Administrer hændelser i Microsoft Defender.
Advarselskilder og trusselsregistrering
Beskeder på Microsoft Defender portalen kommer fra mange kilder. Disse kilder omfatter de mange tjenester, der er en del af Microsoft Defender XDR, samt andre tjenester med forskellige grader af integration med Microsoft Defender-portalen.
Når Microsoft Sentinel f.eks. er onboardet på Microsoft Defender-portalen, har korrelationsprogrammet på Defender-portalen adgang til alle de rådata, der indtages af Microsoft Sentinel, hvilket du kan finde i Defenders avancerede jagttabeller.
Microsoft Defender XDR selv opretter også beskeder. Defender XDR unikke korrelationsfunktioner giver endnu et lag af dataanalyse og trusselsregistrering for alle ikke-Microsoft-løsninger i din digitale ejendom. Disse registreringer producerer Defender XDR beskeder ud over de beskeder, der allerede leveres af Microsoft Sentinel analyseregler.
Inden for hver af disse kilder er der en eller flere trusselsregistreringsmekanismer, der opretter beskeder baseret på de regler, der er defineret i hver mekanisme.
Microsoft Sentinel har f.eks. mindst fire forskellige motorer, der producerer forskellige typer beskeder, som hver især har sine egne regler.
Værktøjer og metoder til undersøgelse og svar
Den Microsoft Defender portal indeholder værktøjer og metoder til at automatisere eller på anden måde hjælpe med at triage, undersøge og løse hændelser. Disse værktøjer vises i følgende tabel:
| Værktøj/metode | Beskrivelse |
|---|---|
| Administrer og undersøg hændelser | Sørg for, at du prioriterer dine hændelser i henhold til alvorsgrad og derefter arbejder dig igennem dem for at undersøge dem. Brug avanceret jagt til at søge efter trusler og komme foran nye trusler med trusselsanalyser. |
| Undersøg og løs automatisk beskeder | Hvis det er aktiveret, kan Microsoft Defender XDR automatisk undersøge og løse beskeder fra kilderne Microsoft 365 og Entra ID via automatisering og kunstig intelligens. |
| Konfigurer handlinger for automatiske angrebsafbrydelser | Brug signaler med høj genkendelsessikkerhed, der indsamles fra Microsoft Defender XDR og Microsoft Sentinel til automatisk at afbryde aktive angreb ved maskinhastighed, der indeholder truslen og begrænser indvirkningen. |
| Konfigurer Microsoft Sentinel automatiseringsregler | Brug automatiseringsregler til at automatisere triage, tildeling og administration af hændelser, uanset deres kilde. Hjælp dit teams effektivitet endnu mere ved at konfigurere dine regler til at anvende mærker på hændelser baseret på deres indhold, undertrykke støjende (falske positive) hændelser og lukke løste hændelser, der opfylder de relevante kriterier, angive en årsag og tilføje kommentarer. |
| Proaktiv jagt med avanceret jagt | Brug KQL (Kusto Query Language) til proaktivt at undersøge hændelser i dit netværk ved at forespørge de logge, der indsamles i Defender-portalen. Avanceret jagt understøtter en automatiseret tilstand for brugere, der leder efter bekvemmeligheden i en forespørgselsgenerator. |
| Brug kunstig intelligens med Microsoft Copilot til sikkerhed | Tilføj kunstig intelligens for at understøtte analytikere med komplekse og tidskrævende daglige arbejdsprocesser. Microsoft Copilot til sikkerhed kan f.eks. hjælpe med undersøgelse og svar på hændelser fra ende til anden ved at levere klart beskrevne angrebshistorier, trinvis vejledning til afhjælpning, der kan handles på, og opsummerede rapporter over hændelsesaktivitet, KQL-jagt på naturligt sprog og ekspertkodeanalyse – optimering af SOC-effektivitet på tværs af data fra alle kilder. Denne funktion er ud over de andre AI-baserede funktioner, som Microsoft Sentinel giver den samlede platform, inden for analyse af bruger- og objektadfærd, registrering af uregelmæssigheder, trusselsregistrering i flere faser og meget mere. |
Tip
Defender Boxed, en række kort, der viser din organisations sikkerhedsmæssige succeser, forbedringer og svarhandlinger i løbet af de seneste seks måneder/år, vises i en begrænset periode i januar og juli hvert år. Få mere at vide om, hvordan du kan dele dine Defender Boxed-fremhævninger .
Relaterede elementer
Hvis du vil vide mere om fletning af beskedkorrelation og -hændelser på Defender-portalen, skal du se Beskeder, hændelser og korrelation i Microsoft Defender XDR