Undersøk sikkerhetsvarsler for Defender for identitet i Microsoft Defender XDR

Obs!

Defender for Identity er ikke utformet for å fungere som en overvåkings- eller loggingsløsning som registrerer hver eneste operasjon eller aktivitet på serverne der sensoren er installert. Den registrerer bare dataene som kreves for gjenkjennings- og anbefalingsmekanismene.

Denne artikkelen forklarer det grunnleggende om hvordan du arbeider med Microsoft Defender for identitet sikkerhetsvarsler i Microsoft Defender XDR.

Defender for Identity-varsler integreres opprinnelig i Microsoft Defender XDR med et dedikert format for identitetsvarselside.

Identitetsvarselsiden gir Microsoft Defender for identitet kunder bedre signalberikelse på tvers av domener og nye funksjoner for automatisert identitetssvar. Det sikrer at du holder deg sikker og bidrar til å forbedre effektiviteten til sikkerhetsoperasjonene dine.

En av fordelene med å undersøke varsler gjennom Microsoft Defender XDR er at Microsoft Defender for identitet varsler er ytterligere korrelert med informasjon hentet fra hvert av de andre produktene i serien. Disse forbedrede varslene samsvarer med de andre Microsoft Defender XDR varslingsformatene som kommer fra Microsoft Defender for Office 365 og Microsoft Defender for endepunkt. Den nye siden eliminerer effektivt behovet for å navigere til en annen produktportal for å undersøke varsler knyttet til identitet.

Varsler som kommer fra Defender for Identity, kan nå utløse Microsoft Defender XDR automatiserte undersøkelses- og responsfunksjoner (AIR), inkludert automatisk utbedring av varsler og reduksjon av verktøy og prosesser som kan bidra til mistenkelig aktivitet.

Viktig

Som en del av konvergensen med Microsoft Defender XDR, har noen alternativer og detaljer endret seg fra plasseringen deres i Defender for Identity-portalen. Les detaljene nedenfor for å finne ut hvor du finner både kjente og nye funksjoner.

Se gjennom sikkerhetsvarsler

Du kan få tilgang til varsler fra flere steder, inkludert Varsler-siden , Hendelser-siden , sidene for individuelle enheter og fra siden Avansert jakt . I dette eksemplet skal vi se gjennom Varsler-siden.

I Microsoft Defender XDR går du til Hendelser & varsler og deretter til Varsler.

Hvis du vil se varsler fra Defender for Identity, velger du Filter øverst til høyre, og deretter velger du Microsoft Defender for identitet under Tjenestekilder, og velger Bruk:

Varslene vises med informasjon i følgende kolonner: Varselnavn, koder,alvorlighetsgrad, undersøkelsestilstand, status, kategori, gjenkjenningskilde, påvirkede ressurser, første aktivitet og siste aktivitet.

Kategorier for sikkerhetsvarsel

Defender for identitetssikkerhetsvarsler er delt inn i følgende kategorier eller faser, for eksempel fasene sett i en typisk kill-kjede for cyberangrep.

• Rekognoseringsvarsler
• Kompromitterte legitimasjonsvarsler
• Varsler om sidebevegelse
• Domenedominansvarsler
• Exfiltration-varsler

Behandle varsler

Hvis du velger varselnavnet for ett av varslene, går du til siden med detaljer om varselet. I den venstre ruten ser du et sammendrag av hva som skjedde:

Over hva som skjedde-boksen er knapper for kontoene, målverten og kildeverten for varselet. For andre varsler kan du se knapper for detaljer om flere verter, kontoer, IP-adresser, domener og sikkerhetsgrupper. Velg en av dem for å få mer informasjon om enhetene som er involvert.

Du ser varseldetaljene i ruten til høyre. Her kan du se flere detaljer og utføre flere oppgaver:

• Klassifiser dette varselet – Her kan du angi dette varselet som et true-varsel eller et usant varsel

  

• Varslingstilstand – I Angi klassifisering kan du klassifisere varselet som Sann eller Usann. I Tilordnet til kan du tilordne varselet til deg selv eller oppheve tilordningen.

  

• Varseldetaljer – Under varseldetaljer kan du finne mer informasjon om det bestemte varselet, følge en kobling til dokumentasjon om typen varsel, se hvilken hendelse varselet er knyttet til, se gjennom eventuelle automatiserte undersøkelser som er knyttet til denne varseltypen, og se de berørte enhetene og brukerne.

  

• Kommentarer & logg – Her kan du legge til kommentarer i varselet og se loggen over alle handlinger som er knyttet til varselet.

  

• Administrer varsel – Hvis du velger Administrer varsel, går du til en rute der du kan redigere:

  • Status – Du kan velge Ny, Løst eller Pågår.

  • Klassifisering – Du kan velge True alert eller False alert.

  • Kommentar – Du kan legge til en kommentar om varselet.

  • Hvis du velger de tre prikkene ved siden av Administrer varsel, kan du koble varsel til en annen hendelse, opprette undertrykkelsesregel (bare tilgjengelig for forhåndsvisningskunder) eller Spørre Defender-eksperter.

    

    Du kan også eksportere varselet til en Excel-fil. Hvis du vil gjøre dette, velger du Eksporter.

    Obs!

    I Excel-filen har du nå to koblinger tilgjengelig: Vis i Microsoft Defender for identitet og Vis i Microsoft Defender XDR. Hver kobling tar deg til den relevante portalen og gir informasjon om varselet der.

Justeringsvarsler

Juster varslene for å justere og optimalisere dem, noe som reduserer falske positiver. Med varslingsjustering kan SOC-teamene fokusere på varsler med høy prioritet og forbedre dekning av trusselregistrering på tvers av systemet. I Microsoft Defender XDR kan du opprette regelbetingelser basert på bevistyper, og deretter bruke regelen på en regeltype som samsvarer med betingelsene dine.

Hvis du vil ha mer informasjon, kan du se Justere et varsel.

Se også

• Microsoft Defender for identitet sikkerhetsvarsler

Mer informasjon

• Prøv vår interaktive veiledning: Oppdag mistenkelige aktiviteter og potensielle angrep med Microsoft Defender for identitet