Automatisoitu tutkinta ja reagointi Microsoft Defender XDR
Koskee seuraavia:
- Microsoft Defender XDR
Jos organisaatiosi käyttää Microsoft Defender XDR, suojaustoimintaryhmäsi saa ilmoituksen Microsoft Defender-portaalissa aina, kun havaitaan haitallista tai epäilyttävää toimintaa tai artefaktia. Kun otetaan huomioon uhkien loputon virta, joka voi tulla sisään, tietoturvatiimit kohtaavat usein haasteen vastata suurten hälytysten määrään. Onneksi Microsoft Defender XDR sisältää automatisoituja tutkimus- ja reagointiominaisuuksia, joiden avulla suojaustoimintaryhmäsi voi vastata uhkiin tehokkaammin ja tehokkaammin.
Tässä artikkelissa on yleiskatsaus AIR-hakemistoon ja linkkejä seuraaviin vaiheisiin ja lisäresursseihin.
Miten automatisoitu tutkimus ja itsekorjautuminen toimivat
Suojaushälytysten käynnistyessä suojaustoimintaryhmäsi voi tutkia näitä ilmoituksia ja ryhtyä toimiin organisaatiosi suojaamiseksi. Hälytysten priorisointi ja tutkiminen voi olla hyvin aikaa vievää, varsinkin kun uusia ilmoituksia tulee jatkuvasti tutkinnan aikana. Suojaustiimit voivat tuntea olevansa hukkuneet siihen uhkien määrään, jota heidän on valvottava ja suojattava. Automatisoidut tutkimus- ja vastausominaisuudet, jotka parantavat Microsoft Defender XDR, voivat auttaa.
Katso seuraavasta videosta, miten itsekorjautuminen toimii:
Microsoft Defender XDR automatisoitu tutkimus ja reagointi itsekorjautuvia ominaisuuksia hyödyntäen toimii kaikissa laitteissa, sähköpostin & sisällössä ja käyttäjällisyyksissä.
Vihje
Tässä artikkelissa kuvataan, miten automatisoitu tutkinta ja reagointi toimivat. Lisätietoja näiden ominaisuuksien määrittämisestä on artikkelissa Automatisoidun tutkinnan ja vastausominaisuuksien määrittäminen Microsoft Defender XDR.
Oma virtuaalinen analyytikko
Kuvittele, että sinulla on virtuaalinen analyytikko tason 1 tai tason 2 suojaustiimissäsi. Virtuaalinen analyytikko jäljittelee ihanteellisia vaiheita, joita suojaustoiminnot ryhtyisivät uhkien tutkimiseen ja korjaamiseen. Virtuaalinen analyytikko voisi työskennellä 24x7 rajoittamattomalla kapasiteetilla ja saada merkittävän määrän tutkimuksia ja uhkien korjaamista. Tällainen virtuaalinen analyytikko voi lyhentää merkittävästi reagointiaikaa vapauttamalla suojaustoimintaryhmäsi muita tärkeitä uhkia tai strategisia projekteja varten. Jos tämä skenaario kuulostaa tieteiskirjallisuudelta, se ei ole! Tällainen virtuaalinen analyytikko on osa Microsoft Defender XDR ohjelmistoa, ja sen nimi on automatisoitu tutkimus ja vastaus.
Automatisoitujen tutkimus- ja reagointiominaisuuksien avulla suojaustoimintatiimisi voi merkittävästi lisätä organisaatiosi kykyä käsitellä suojaushälytyksiä ja -tapauksia. Automatisoidulla tutkimuksella ja reagoinnilla voit pienentää tutkimus- ja vastaustoimintojen käsittelykustannuksia ja saada kaiken irti uhkien suojausohjelmistostasi. Automatisoidut tutkinta- ja vastaustoiminnot auttavat suojaustiimiäsi toimimalla osittamalla:
- Sen määrittäminen, edellyttääkö uhka toimia.
- Toteuttaa (tai suosittelee) tarvittavia korjaustoimia.
- Sen selvittäminen, mitä muita tutkimuksia tulisi tehdä ja mitä muita tutkimuksia tulisi tehdä.
- Prosessin toistaminen muiden ilmoitusten mukaan.
Automatisoitu tutkimusprosessi
Hälytys luo tapauksen, joka voi aloittaa automatisoidun tutkimuksen. Automaattinen tutkimus johtaa tuomioon jokaisesta todisteesta. Tuomiot voivat olla:
- Haittaohjelmien
- Epäilyttäviä
- Uhkia ei löytynyt
Vahingollisten tai epäilyttävien entiteettien korjaustoimet tunnistetaan. Korjaustoimia ovat esimerkiksi seuraavat:
- Tiedoston lähettäminen karanteeniin
- Prosessin lopettaminen
- Laitteen eristäminen
- URL-osoitteen estäminen
- Muut toiminnot
Lisätietoja on artikkelissa Microsoft Defender XDR korjaustoiminnot.
Sen mukaan , miten automatisoidut tutkimus- ja vastaustoiminnot on määritetty organisaatiollesi, korjaustoimet suoritetaan automaattisesti tai vain suojaustoimintaryhmäsi hyväksynnän jälkeen. Kaikki toiminnot, olivatpa ne sitten odottavia tai valmiita, luetellaan toimintokeskuksessa.
Kun tutkimus on käynnissä, kaikki muut liittyvät hälytykset, jotka syntyvät, lisätään tutkintaan, kunnes se on valmis. Jos kyseessä oleva entiteetti näkyy muualla, automatisoitu tutkimus laajentaa sen vaikutusaluetta kyseiseen entiteettiin, ja tutkimusprosessi toistuu.
Microsoft Defender XDR jokainen automatisoitu tutkimus korreloi signaaleja Microsoft Defender for Identity, Microsoft Defender for Endpoint ja Microsoft Defender for Office 365 seuraavassa taulukossa esitetyllä tavalla:
Yhteisöt | Uhkien suojauspalvelut |
---|---|
laitteet (joita kutsutaan myös päätepisteiksi tai koneiksi) | Defender for Endpoint |
Paikalliset Active Directory -käyttäjät, entiteetin toiminta ja toiminnot | Defender for Identity |
Sähköpostisisältö (sähköpostiviestit, jotka voivat sisältää tiedostoja ja URL-osoitteita) | Defender for Office 365 |
Huomautus
Kaikki hälytykset eivät käynnistä automatisoitua tutkimusta, eivätkä kaikki tutkimukset sisällä automaattisia korjaustoimia. Se riippuu siitä, miten automatisoitu tutkimus ja vastaus on määritetty organisaatiollesi. Katso Automaattisen tutkinnan ja vastausominaisuuksien määrittäminen.
Tutkimusluettelon tarkasteleminen
Jos haluat tarkastella tutkimuksia, siirry Tapaukset-sivulle . Valitse tapaus ja valitse sitten Tutkimukset-välilehti . Lisätietoja on artikkelissa Automaattisen tutkimuksen tiedot ja tulokset.
Automatisoitu tutkimus & vastauskortti
Uusi automatisoitu tutkinta & vastauskortti on saatavilla Microsoft Defender -portaalissa (https://security.microsoft.com). Tämä uuden kortin näkyvyys käytettävissä olevien korjaustoimintojen kokonaismäärään. Kortti antaa myös yleiskatsauksen kaikista ilmoituksista ja kunkin ilmoituksen vaaditusta hyväksyntäajasta.
Käyttämällä automatisoidun tutkinnan & vastauskorttia suojaustoimintaryhmäsi voi nopeasti siirtyä toimintokeskukseen valitsemalla Hyväksy toimintokeskuksessa - linkin ja tekemällä sitten tarvittavat toimet. Kortin avulla suojaustoimintatiimi voi hallita tehokkaammin toimia, jotka odottavat hyväksyntää.
Seuraavat vaiheet
- Tutustu automatisoidun tutkinnan ja vastausten edellytyksiin
- Automatisoidun tutkinnan ja vastauksen määrittäminen organisaatiotasi varten
- Lisätietoja toimintokeskuksesta
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.