Tutki Defender for Identityn suojaushälytyksiä Microsoft Defender XDR

Huomautus

Defender for Identityä ei ole suunniteltu toimimaan valvonta- tai kirjausratkaisuna, joka tallentaa jokaisen toiminnon tai toiminnon palvelimilla, joihin tunnistin on asennettu. Se tallentaa vain tiedot, joita tarvitaan sen havaitsemis- ja suositusmekanismeihin.

Tässä artikkelissa kerrotaan Microsoft Defender for Identity suojaushälytysten käytön perusteista Microsoft Defender XDR.

Defender for Identity -hälytykset integroidaan suoraan Microsoft Defender XDR erillisessä Käyttäjätietoilmoitus-sivumuodossa.

Käyttäjätietojen ilmoitussivulla Microsoft Defender for Identity asiakkaat voivat parantaa toimialueiden välisen signaalien rikastusta ja uusia automatisoituja käyttäjätietojen vastausominaisuuksia. Se varmistaa suojauksen ja auttaa parantamaan suojaustoimintojasi.

Yksi hälytysten tutkimisen eduista Microsoft Defender XDR kautta on se, että Microsoft Defender for Identity hälytykset korreloivat edelleen ohjelmistopaketin muista tuotteista saatujen tietojen kanssa. Nämä parannetut ilmoitukset ovat yhdenmukaisia muiden Microsoft Defender XDR ilmoitusmuotojen kanssa, jotka ovat peräisin Microsoft Defender for Office 365 ja Microsoft Defender for Endpoint. Uusi sivu poistaa tehokkaasti tarpeen siirtyä toiseen tuoteportaaliin käyttäjätietoihin liittyvien ilmoitusten tutkimista varten.

Defender for Identityltä peräisin olevat hälytykset voivat nyt käynnistää Microsoft Defender XDR automaattisen tutkinnan ja vastauksen (AIR) ominaisuudet, mukaan lukien hälytysten automaattinen korjaaminen sekä epäilyttävään toimintaan mahdollisesti vaikuttavat työkalut ja prosessit.

Tärkeää

Osana Microsoft Defender XDR lähentymistä jotkin vaihtoehdot ja yksityiskohdat ovat muuttuneet sijainnistaan Defender for Identity -portaalissa. Lue alla olevat tiedot ja selvitä, mistä löydät sekä tutut että uudet ominaisuudet.

Suojausilmoitusten tarkistaminen

Ilmoituksia voi käyttää useista sijainneista, kuten Hälytykset-sivulta , Vaaratilanteet-sivulta , yksittäisten laitteiden sivuilta ja Kehittyneen metsästyksen sivulta. Tässä esimerkissä tarkastelemme Ilmoitukset-sivua.

Siirry Microsoft Defender XDRkohtaan Tapaukset & hälytykset ja valitse sitten Hälytykset.

Näet Defender for Identityn hälytykset valitsemalla oikeasta yläkulmasta Suodatin ja valitsemalla sitten Palvelulähteet-kohdastaMicrosoft Defender for Identity ja sitten Käytä:

Ilmoitukset näkyvät seuraavissa sarakkeissa: Ilmoituksen nimi, Tunnisteet, Vakavuus, Tutkinnan tila, Tila, Luokka, Tunnistuslähde, Vaikutuskohteet, Ensimmäinen toiminto ja Viimeinen toiminto.

Suojaushälytysluokat

Defender for Identityn suojaushälytykset on jaettu seuraaviin luokkiin tai vaiheisiin, kuten tyypillisen kyberhyökkäyksen tappoketjun vaiheisiin.

• Tiedusteluilmoitukset
• Vaarantuneet tunnistetietoilmoitukset
• Sivusuuntaiset liikehälytykset
• Toimialueen määräävän aseman hälytykset
• Suodatusilmoitukset

Hallitse ilmoituksia

Jos valitset jonkin ilmoituksen nimen , siirryt sivulle, jossa on lisätietoja ilmoituksesta. Vasemmassa ruudussa on yhteenveto tapahtuneesta:

Mitä tapahtui -ruudun yläpuolella on hälytyksen Tilit-, Kohdeisäntä- ja Lähdeisännät-painikkeet. Muissa ilmoituksista voit nähdä painikkeita, jotka koskevat muita isäntiä, tilejä, IP-osoitteita, toimialueita ja käyttöoikeusryhmiä. Valitse mikä tahansa näistä, jos haluat lisätietoja kyseessä olevista entiteeteistä.

Oikeanpuoleisessa ruudussa näkyvät Ilmoituksen tiedot. Seuraavassa on lisätietoja ja voit suorittaa useita tehtäviä:

• Luokittele tämä ilmoitus – Tässä voit määrittää tämän ilmoituksen true-ilmoitukseksi tai false-ilmoitukseksi

  

• Ilmoituksen tila : Määritä luokitus -kohdassa voit luokitella ilmoituksen arvoksi Tosi tai Epätosi. Vastuuhenkilö-kohdassa voit määrittää ilmoituksen itsellesi tai poistaa sen määrittämisen.

  

• Ilmoituksen tiedot : Ilmoituksen tiedot -kohdassa on lisätietoja tietystä ilmoituksesta, seuraa linkkiä ilmoitustyypin dokumentaatioon, katso, mihin tapahtumaan ilmoitus liittyy, tarkastele tähän ilmoitustyyppiin linkitettyjä automaattisia tutkimuksia ja tutustu niihin laitteisiin ja käyttäjiin, joihin ilmoitus vaikuttaa.

  

• Kommentit & historia : tässä voit lisätä kommenttisi ilmoituksiin ja tarkastella kaikkien ilmoituksiin liittyvien toimintojen historiaa.

  

• Hallitse ilmoitusta – Jos valitset Hallitse ilmoitusta, siirryt ruutuun, jossa voit muokata seuraavaa:

  • Tila : voit valita Uusi, Ratkaistu tai Käynnissä oleva.

  • Luokitus : voit valita Tosi-ilmoituksen tai Epätosi-ilmoituksen.

  • Kommentti : voit lisätä ilmoituksesta kommentin.

  • Jos valitset kolme pistettä Ilmoitusten hallinta -kohdan viereltä, voit linkittää ilmoituksen toiseen tapaukseen, luoda estyssäännön (käytettävissä vain esikatseluasiakkaille) tai Kysyä defenderin asiantuntijoilta.

    

    Voit myös viedä ilmoituksen Excel-tiedostoon. Voit tehdä tämän valitsemalla Vie.

    Huomautus

    Excel-tiedostossa on nyt kaksi linkkiä: Näytä Microsoft Defender for Identity ja Näytä Microsoft Defender XDR. Jokainen linkki tuo sinut asianmukaiseen portaaliin ja antaa tietoja hälytyksestä siellä.

Säätöilmoitukset

Säädä ja optimoi hälytyksiä säätämällä niitä, mikä vähentää false-positiivisia arvoja. Hälytysten virityksen avulla SOC-tiimisi voivat keskittyä korkean prioriteetin hälytyksiin ja parantaa uhkien tunnistamisen kattavuutta koko järjestelmässäsi. Luo Microsoft Defender XDR sääntöehdot näyttötyyppien perusteella ja sovella sitten sääntöäsi mihin tahansa ehtoasi vastaavaan sääntötyyppiin.

Lisätietoja on kohdassa Ilmoituksen hienosäätäminen.

Tutustu myös seuraaviin ohjeartikkeleihin:

• Microsoft Defender for Identity suojausilmoitukset

Lisätietoja

• Kokeile vuorovaikutteista opastamme: Havaitse epäilyttäviä toimia ja mahdollisia hyökkäyksiä Microsoft Defender for Identity