Tapaukset ja hälytykset Microsoft Defender portaalissa
Microsoft Defender portaali kokoaa yhteen yhtenäisen suojauspalvelujoukon, jonka avulla voit vähentää suojausuhille altistumista, parantaa organisaation suojausasentoja, tunnistaa suojausuhkia sekä tutkia rikkomuksia ja vastata niihin. Nämä palvelut keräävät ja tuottavat signaaleja, jotka näytetään portaalissa. Signaalien kaksi päätyyppiä ovat:
Hälytykset: Signaalit, jotka johtuvat erilaisista uhkien havaitsemistoiminnoista. Nämä signaalit ilmaisevat haitallisia tai epäilyttäviä tapahtumia ympäristössäsi.
Tapaukset: Säilöt, jotka sisältävät kokoelmia liittyvistä hälytyksistä ja kertovat hyökkäyksen koko tarinan. Yksittäisen tapauksen hälytykset voivat olla peräisin kaikista Microsoftin tietoturva- ja yhteensopivuusratkaisuista sekä laajasta määrästä ulkoisia ratkaisuja, jotka on kerätty Microsoft Sentinel ja Microsoft Defender kautta Cloudille.
Korrelaatiota ja tutkintaa koskevat tapaukset
Vaikka voit tutkia ja lieventää uhkia, jotka yksittäiset hälytykset tuovat tietoihisi, nämä uhat ovat yksittäisiä esiintymiä, jotka eivät kerro sinulle mitään laajemmasta, monimutkaisesta hyökkäystarinasta. Voit etsiä, tutkia, tutkia ja korreloida hälytysryhmiä, jotka kuuluvat yhteen hyökkäystarinaan, mutta jotka maksavat sinulle paljon aikaa, vaivaa ja energiaa.
Sen sijaan Microsoft Defender-portaalin korrelaatiomoottorit ja algoritmit koostavat ja korreloivat liittyvät hälytykset automaattisesti yhteen muodostaakseen tapauksia, jotka edustavat näitä suurempia hyökkäystarinoita. Defender tunnistaa useita signaaleja samaan hyökkäystarinaan kuuluvaksi tekoälyn avulla valvomaan jatkuvasti telemetrialähteitään ja lisäämään todisteita jo avoimiin tapauksiin. Tapaukset sisältävät kaikki hälytykset, joiden katsotaan liittyvän toisiinsa ja yleiseen hyökkäystarinaan, ja esittävät tarinan eri muodoissa:
- Ilmoitusten aikajanat ja raakatapahtumat, joihin ne perustuvat
- Luettelo käytetyistä taktiikoista
- Lists kaikista käyttäjistä, laitteista ja muista resursseista, joihin tämä vaikuttaa
- Visuaalinen esitys siitä, miten kaikki tarinan soittimet ovat vuorovaikutuksessa
- Automaattisten tutkimus- ja vastausprosessien lokit, jotka Defender XDR aloitettu ja suoritettu
- Hyökkäystarinaa tukevia näyttökokoelmia: huonojen toimijoiden käyttäjätilit ja laitetiedot ja osoite, haitalliset tiedostot ja prosessit, asiaankuuluvat uhkatiedot ja niin edelleen
- Tekstiyhteenveto hyökkäystarinasta
Tapaukset tarjoavat myös puitteet tutkimusten hallintaan ja dokumentointiin sekä uhkiin vastaamiseen. Lisätietoja tapausten toiminnoista on kohdassa Tapausten hallinta Microsoft Defender.
Ilmoituslähteet ja uhkien tunnistaminen
Microsoft Defender portaalin ilmoitukset ovat peräisin useista lähteistä. Näihin lähteisiin kuuluvat monet palvelut, jotka ovat osa Microsoft Defender XDR, sekä muita palveluita, jotka on integroitu eriasteisesti Microsoft Defender-portaaliin.
Kun esimerkiksi Microsoft Sentinel on otettu käyttöön Microsoft Defender-portaalissa, Defender-portaalin korrelaatiomoduulilla on pääsy kaikkiin Microsoft Sentinel keräämiin raakatietoihin, jotka löytyvät Defenderin lisämetsästystaulukoista.
Microsoft Defender XDR luo myös ilmoituksia. Defender XDR ainutlaatuiset korrelaatio-ominaisuudet tarjoavat toisen tietoanalyysi- ja uhkien tunnistamisen tason kaikille muille kuin Microsoft-ratkaisuille digitaalisessa tilassasi. Nämä tunnistamiset tuottavat Defender XDR hälytyksiä Microsoft Sentinel analytiikkasääntöjen jo antamien ilmoitusten lisäksi.
Jokaisessa näistä lähteistä on yksi tai useampi uhkien havaitsemismekanismi, joka tuottaa hälytyksiä kussakin mekanismissa määritettyjen sääntöjen perusteella.
Esimerkiksi Microsoft Sentinel on vähintään neljä eri moottoria, jotka tuottavat erityyppisiä hälytyksiä, joista jokaisella on omat sääntönsä.
Tutkimus- ja reagointityökalut ja -menetelmät
Microsoft Defender portaali sisältää työkaluja ja menetelmiä, joilla voit automatisoida tai muuten auttaa tapahtumien lajittelemisessa, tutkinnassa ja ratkaisussa. Nämä työkalut esitetään seuraavassa taulukossa:
| Työkalu tai menetelmä | Kuvaus |
|---|---|
| Tapausten hallinta ja tutkiminen | Varmista, että priorisoit tapaukset vakavuuden mukaan ja käsittelet ne sitten tutkiaksesi niitä. Kehittyneen metsästyksen avulla voit etsiä uhkia ja päästä uusien uhkien edelle uhka-analytiikan avulla. |
| Ilmoitusten automaattinen tutkiminen ja ratkaiseminen | Jos tämä on käytössä, Microsoft Defender XDR voivat automaattisesti tutkia ja ratkaista Microsoft 365- ja Entra ID -lähteiden hälytyksiä automaation ja tekoälyn avulla. |
| Automaattisten hyökkäyshäiriöiden toimintojen määrittäminen | Käytä Microsoft Defender XDR ja Microsoft Sentinel kerättyjä erittäin luotettavuussignaaleja, jotta voit automaattisesti häiritä aktiivisia hyökkäyksiä konenopeudella, sisältää uhan ja rajoittaa vaikutusta. |
| Microsoft Sentinel automaatiosääntöjen määrittäminen | Automatisointisääntöjen avulla voit automatisoida tapahtumien triageja, määritystä ja hallintaa niiden lähteestä riippumatta. Auta tiimisi tehokkuutta entisestään määrittämällä säännöt, jotka koskevat tunnisteiden soveltamista tapahtumiin niiden sisällön perusteella, estämällä meluisia (vääriä positiivisia) tapauksia ja sulkemalla ratkaistut tapaukset, jotka täyttävät asianmukaiset ehdot, määrittämällä syyn ja lisäämällä kommentteja. |
| Ennakoiva metsästys kehittyneellä metsästyksellä | Kusto Query Languagen (KQL) avulla voit ennakoivasti tarkastaa verkkosi tapahtumat tekemällä kyselyjä Defender-portaalissa kerätyistä lokeista. Kehittynyt metsästys tukee ohjattua tilaa käyttäjille, jotka etsivät kyselyn muodostimen mukavuutta. |
| Tekoälyn hyödyntäminen Microsoft Copilot suojauksessa | Lisää tekoäly tukemaan analyytikoita monimutkaisissa ja aikaa vievässä päivittäisissä työnkuluissa. Esimerkiksi Microsoft Copilot for Security voi auttaa päästä päähän -tapaustutkinnassa ja -vastauksessa tarjoamalla selkeästi kuvattuja hyökkäystarinoita, vaiheittaisia toiminnallisia korjausohjeita ja tapahtumatoimintojen yhteenvetoraportteja, luonnollisen kielen KQL-metsästystä ja asiantuntijakoodianalyysia – optimoimalla SOC-tehokkuutta kaikkien lähteiden tietojen avulla. Tämä ominaisuus on muiden tekoälypohjaisten toimintojen lisäksi, joita Microsoft Sentinel tuo yhtenäiseen ympäristöön käyttäjän ja entiteetin käyttäytymisanalytiikan, poikkeamien tunnistamisen, monivaiheisen uhkien tunnistamisen ja muiden alojen osalta. |
Liittyvät kohteet
Lisätietoja hälytysten korrelaatiosta ja tapausten yhdistämisestä Defender-portaalissa on artikkelissa ilmoitukset, tapaukset ja korrelaatio Microsoft Defender XDR