Badanie alertów w usłudze Microsoft Defender XDR
Dotyczy:
- Microsoft Defender XDR
Uwaga
W tym artykule opisano alerty zabezpieczeń w usłudze Microsoft Defender XDR. Można jednak używać alertów aktywności do wysyłania powiadomień e-mail do siebie lub innych administratorów, gdy użytkownicy wykonują określone działania na platformie Microsoft 365. Aby uzyskać więcej informacji, zobacz Tworzenie alertów dotyczących działań — Microsoft Purview | Microsoft Docs.
Alerty są podstawą wszystkich zdarzeń i wskazują wystąpienie złośliwych lub podejrzanych zdarzeń w środowisku. Alerty są zazwyczaj częścią szerszego ataku i dostarczają wskazówek dotyczących zdarzenia.
W usłudze Microsoft Defender XDR powiązane alerty są agregowane razem w celu utworzenia zdarzeń. Incydenty zawsze zapewniają szerszy kontekst ataku, jednak analizowanie alertów może być przydatne, gdy wymagana jest dokładniejsza analiza.
W kolejce Alerty jest wyświetlany bieżący zestaw alertów. Do kolejki alertów można dostać się z obszaru Zdarzenia & alerty alertów > podczas szybkiego uruchamiania portalu usługi Microsoft Defender.
Alerty z różnych rozwiązań zabezpieczeń firmy Microsoft, takich jak Microsoft Defender for Endpoint, Defender for Office 365, Microsoft Sentinel, Defender for Cloud, Defender for Identity, Defender for Cloud Apps, Defender XDR, App Governance, Microsoft Entra ID Protection i Microsoft Data Loss Prevention pojawiają się tutaj.
Domyślnie kolejka alertów w portalu usługi Microsoft Defender wyświetla nowe i w toku alerty z ostatnich siedmiu dni. Najnowszy alert znajduje się w górnej części listy, więc możesz go najpierw zobaczyć.
W domyślnej kolejce alertów możesz wybrać pozycję Filtr , aby wyświetlić okienko Filtr , z którego można określić podzestaw alertów. Oto przykład.
Alerty można filtrować zgodnie z następującymi kryteriami:
- Waga
- Stan
- Kategorie
- Źródła usługi/wykrywania
- Tagi
- Polityka
- Jednostki (zasoby, których dotyczy problem)
- Stan zautomatyzowanego badania
- Identyfikatory subskrypcji alertów
Uwaga
Klienci XDR usługi Microsoft Defender mogą teraz filtrować zdarzenia za pomocą alertów, w przypadku których urządzenie z naruszonymi zabezpieczeniami komunikuje się z urządzeniami z technologią operacyjną (OT) połączonymi z siecią przedsiębiorstwa za pośrednictwem integracji odnajdywania urządzeń w usługach Microsoft Defender for IoT i Microsoft Defender for Endpoint. Aby filtrować te zdarzenia, wybierz pozycję Dowolne w źródłach usługi/wykrywania, a następnie wybierz pozycję Microsoft Defender for IoT w polu Nazwa produktu lub zobacz Badanie zdarzeń i alertów w usłudze Microsoft Defender for IoT w portalu usługi Defender. Możesz również użyć grup urządzeń do filtrowania pod kątem alertów specyficznych dla lokacji. Aby uzyskać więcej informacji na temat wymagań wstępnych usługi Defender for IoT, zobacz Wprowadzenie do monitorowania IoT w przedsiębiorstwie w usłudze Microsoft Defender XDR.
Alert może zawierać tagi systemowe i/lub tagi niestandardowe z określonymi kolorami tła. Tagi niestandardowe używają białego tła, podczas gdy tagi systemowe zwykle używają kolorów czerwonego lub czarnego tła. Tagi systemowe identyfikują następujące elementy w zdarzeniu:
- Typ ataku, taki jak wymuszanie okupu lub wyłudzanie informacji o poświadczeniach
- Automatyczne akcje, takie jak automatyczne badanie i reagowanie na ataki oraz automatyczne zakłócenia ataku
- Eksperci usługi Defender zajmujący się zdarzeniem
- Krytyczne zasoby biorące udział w zdarzeniu
Porada
Usługa Security Exposure Management firmy Microsoft oparta na wstępnie zdefiniowanych klasyfikacjach automatycznie oznacza urządzenia, tożsamości i zasoby w chmurze jako element zawartości o krytycznym znaczeniu. Ta wbudowana funkcja zapewnia ochronę cennych i najważniejszych zasobów organizacji. Pomaga również zespołom ds. operacji zabezpieczeń w ustalaniu priorytetów badania i korygowania. Dowiedz się więcej o krytycznym zarządzaniu zasobami.
Wymagane role dla alertów usługi Defender dla usługi Office 365
Aby uzyskać dostęp do alertów usługi Microsoft Defender dla usługi Office 365, musisz mieć dowolną z następujących ról:
W przypadku ról globalnych usługi Microsoft Entra:
- Administrator globalny
- Administrator zabezpieczeń
- Operator zabezpieczeń
- Czytelnik globalny
- Czytelnik zabezpieczeń
Grupy ról zgodności & zabezpieczeń usługi Office 365
- Administrator zgodności
- Zarządzanie organizacją
Uwaga
Firma Microsoft zaleca używanie ról z mniejszą liczbą uprawnień w celu uzyskania lepszych zabezpieczeń. Rola administratora globalnego, która ma wiele uprawnień, powinna być używana tylko w sytuacjach awaryjnych, gdy nie pasuje żadna inna rola.
Analizowanie alertu
Aby wyświetlić główną stronę alertu, wybierz nazwę alertu. Oto przykład.
Możesz również wybrać akcję Otwórz główną stronę alertu w okienku Zarządzanie alertami .
Strona alertu składa się z następujących sekcji:
- Historia alertów, czyli łańcuch zdarzeń i alertów związanych z tym alertem w kolejności chronologicznej
- Szczegóły podsumowania
Na stronie alertu możesz wybrać wielokropek (...) obok dowolnej jednostki, aby wyświetlić dostępne akcje, takie jak łączenie alertu z innym incydentem. Lista dostępnych akcji zależy od typu alertu.
Źródła alertów
Alerty XDR usługi Microsoft Defender pochodzą z takich rozwiązań jak Microsoft Defender for Endpoint, Defender for Office 365, Defender for Identity, Defender for Cloud Apps, dodatek do zarządzania aplikacjami dla usługi Microsoft Defender for Cloud Apps, ochrona identyfikatorów microsoft Entra i ochrona przed utratą danych firmy Microsoft. Możesz zauważyć alerty z przedpłaconymi znakami w alercie. Poniższa tabela zawiera wskazówki ułatwiające zrozumienie mapowania źródeł alertów na podstawie wstępnie utworzonego znaku alertu.
Uwaga
- Przedpłacone identyfikatory GUID są specyficzne tylko dla ujednoliconych środowisk, takich jak ujednolicona kolejka alertów, strona ujednoliconych alertów, ujednolicone badanie i ujednolicone zdarzenie.
- Znak przedprodukowany nie zmienia identyfikatora GUID alertu. Jedyną zmianą identyfikatora GUID jest składnik przedprodukowany.
Źródło alertu | Identyfikator alertu z przedpłaconymi znakami |
---|---|
Microsoft Defender XDR | ra{GUID} ta{GUID} dla alertów od ThreatExpertsea{GUID} dla alertów z wykrywania niestandardowego |
Ochrona usługi Office 365 w usłudze Microsoft Defender | fa{GUID} Przykład: fa123a456b-c789-1d2e-12f1g33h445h6i |
Ochrona punktu końcowego w usłudze Microsoft Defender | da{GUID} ed{GUID} dla alertów z wykrywania niestandardowego |
Microsoft Defender for Identity | aa{GUID} Przykład: aa123a456b-c789-1d2e-12f1g33h445h6i |
Microsoft Defender for Cloud Apps | ca{GUID} Przykład: ca123a456b-c789-1d2e-12f1g33h445h6i |
Microsoft Entra ID Protection | ad{GUID} |
Zarządzanie aplikacjami | ma{GUID} |
Ochrona przed utratą danych firmy Microsoft | dl{GUID} |
Microsoft Defender for Cloud | dc{GUID} |
Microsoft Sentinel | sn{GUID} |
Konfigurowanie usługi alertów ip usługi Microsoft Entra
Przejdź do portalu usługi Microsoft Defender (security.microsoft.com), wybierz pozycję Ustawienia>Usługi Microsoft Defender XDR.
Z listy wybierz pozycję Ustawienia usługi alertów, a następnie skonfiguruj usługę alertów usługi Microsoft Entra ID Protection .
Domyślnie włączone są tylko najbardziej odpowiednie alerty dla centrum operacji zabezpieczeń. Jeśli chcesz uzyskać wszystkie wykrycia ryzyka adresów IP usługi Microsoft Entra, możesz je zmienić w sekcji Ustawienia usługi alertów .
Dostęp do ustawień usługi Alert można również uzyskać bezpośrednio ze strony Zdarzenia w portalu usługi Microsoft Defender.
Ważna
Niektóre informacje odnoszą się do wstępnie wydanego produktu, który może zostać znacząco zmodyfikowany przed jego komercyjną premierą. Firma Microsoft nie udziela żadnych gwarancji, wyraźnych ani dorozumianych, w odniesieniu do podanych tutaj informacji.
Analizowanie zasobów, których dotyczy problem
Sekcja Podjęte akcje zawiera listę elementów zawartości, których dotyczy problem, takich jak skrzynki pocztowe, urządzenia i użytkownicy, których dotyczy ten alert.
Możesz również wybrać pozycję Widok w centrum akcji , aby wyświetlić kartę Historiacentrum akcji w portalu usługi Microsoft Defender.
Śledzenie roli alertu w historii alertu
W scenariuszu alertu zostaną wyświetlone wszystkie zasoby lub jednostki związane z alertem w widoku drzewa procesów. Alert w tytule jest tym, który koncentruje się po pierwszym wylądowaniu na stronie wybranego alertu. Zasoby w wątku alertu można rozszerzać i klikać. Udostępniają one dodatkowe informacje i przyspieszają reagowanie, umożliwiając podjęcie akcji bezpośrednio w kontekście strony alertu.
Uwaga
Sekcja dotycząca alertów może zawierać więcej niż jeden alert z dodatkowymi alertami dotyczącymi tego samego drzewa wykonywania wyświetlanymi przed wybranym alertem lub po nim.
Wyświetl więcej informacji o alertach na stronie szczegółów
Na stronie szczegółów są wyświetlane szczegóły wybranego alertu ze szczegółami i powiązanymi z nim akcjami. Jeśli wybierzesz dowolny z elementów zawartości lub jednostek, których dotyczy problem, w wątku alertu strona szczegółów zmieni się, aby udostępnić informacje kontekstowe i akcje dla wybranego obiektu.
Po wybraniu interesującej jednostki strona szczegółów zmienia się, aby wyświetlić informacje o wybranym typie jednostki, informacje historyczne, gdy są dostępne, oraz opcje podejmowania działań na tej jednostce bezpośrednio ze strony alertu.
Zarządzaj alertami
Aby zarządzać alertem, wybierz pozycję Zarządzaj alertem w sekcji szczegóły podsumowania na stronie alertu. W przypadku pojedynczego alertu oto przykład okienka Zarządzanie alertami .
Okienko Zarządzanie alertami umożliwia wyświetlanie lub określanie:
- Stan alertu (Nowy, Rozwiązany, W toku).
- Konto użytkownika, do których przypisano alert.
- Klasyfikacja alertu:
- Nie ustawiono (wartość domyślna).
- Wartość prawdziwie dodatnia z typem zagrożenia. Użyj tej klasyfikacji dla alertów, które dokładnie wskazują rzeczywiste zagrożenie. Określenie tego typu zagrożeń powoduje, że zespół ds. zabezpieczeń widzi wzorce zagrożeń i działa w celu ochrony organizacji przed nimi.
- Działanie informacyjne, oczekiwane z typem działania. Użyj tej opcji w przypadku alertów, które są technicznie dokładne, ale reprezentują normalne zachowanie lub symulowane działanie zagrożeń. Zazwyczaj chcesz zignorować te alerty, ale spodziewaj się ich podobnych działań w przyszłości, w których działania są wyzwalane przez rzeczywiste osoby atakujące lub złośliwe oprogramowanie. Użyj opcji w tej kategorii, aby sklasyfikować alerty dla testów zabezpieczeń, działania czerwonego zespołu i oczekiwanego nietypowego zachowania zaufanych aplikacji i użytkowników.
- Wynik fałszywie dodatni dla typów alertów, które zostały utworzone nawet wtedy, gdy nie ma złośliwego działania lub fałszywego alarmu. Użyj opcji w tej kategorii, aby sklasyfikować alerty, które zostały błędnie zidentyfikowane jako normalne zdarzenia lub działania jako złośliwe lub podejrzane. W przeciwieństwie do alertów dotyczących "działania informacyjnego, oczekiwanego", które może być również przydatne do wykrywania rzeczywistych zagrożeń, zazwyczaj nie chcesz ponownie wyświetlać tych alertów. Klasyfikowanie alertów jako fałszywie dodatnich pomaga usłudze Microsoft Defender XDR poprawić jakość wykrywania.
- Komentarz do alertu.
Uwaga
Około 29 sierpnia 2022 r. wcześniej obsługiwane wartości określania alertów ("Apt" i "SecurityPersonnel") będą przestarzałe i nie będą już dostępne za pośrednictwem interfejsu API.
Uwaga
Jednym ze sposobów zarządzania alertami jest użycie tagów. Możliwość tagowania usługi Microsoft Defender dla usługi Office 365 jest wdrażana przyrostowo i jest obecnie dostępna w wersji zapoznawczej.
Obecnie zmodyfikowane nazwy tagów są stosowane tylko do alertów utworzonych po aktualizacji. Alerty, które zostały wygenerowane przed modyfikacją, nie będą odzwierciedlać zaktualizowanej nazwy tagu.
Aby zarządzać zestawem alertów podobnym do określonego alertu, wybierz pozycję Wyświetl podobne alerty w polu INSIGHT w sekcji szczegóły podsumowania na stronie alertu.
W okienku Zarządzanie alertami można następnie sklasyfikować wszystkie powiązane alerty w tym samym czasie. Oto przykład.
Jeśli podobne alerty zostały już sklasyfikowane w przeszłości, możesz zaoszczędzić czas, korzystając z zaleceń XDR usługi Microsoft Defender, aby dowiedzieć się, jak zostały rozwiązane inne alerty. W sekcji szczegóły podsumowania wybierz pozycję Zalecenia.
Karta Zalecenia zawiera akcje następnego kroku i porady dotyczące badania, korygowania i zapobiegania. Oto przykład.
Dostrajanie alertu
Jako analityk centrum operacji zabezpieczeń (SOC) jednym z najważniejszych problemów jest klasyfikacja ogromnej liczby alertów wyzwalanych codziennie. Czas analityka jest cenny i chce skupić się tylko na alertach o wysokiej ważności i wysokim priorytecie. W międzyczasie analitycy są również zobowiązani do klasyfikowania i rozwiązywania alertów o niższym priorytecie, co zwykle jest procesem ręcznym.
Dostrajanie alertów, wcześniej nazywane pomijaniem alertów, zapewnia możliwość wcześniejszego dostrajania alertów i zarządzania nimi. Usprawnia to kolejkę alertów i oszczędza czas klasyfikacji, ukrywając lub usuwając alerty automatycznie, za każdym razem, gdy wystąpi pewne oczekiwane zachowanie organizacji i zostaną spełnione warunki reguły.
Reguły dostrajania alertów obsługują warunki oparte na typach dowodów , takich jak pliki, procesy, zaplanowane zadania i inne typy dowodów wyzwalających alerty. Po utworzeniu reguły dostrajania alertów zastosuj ją do wybranego alertu lub dowolnego typu alertu spełniającego zdefiniowane warunki w celu dostrojenia alertu.
Dostrajanie alertów jako ogólna dostępność przechwytuje alerty tylko z usługi Defender for Endpoint. Jednak w wersji zapoznawczej dostrajanie alertów jest również rozszerzone na inne usługi Microsoft Defender XDR, w tym Defender dla usługi Office 365, Defender for Identity, Defender for Cloud Apps, Microsoft Entra ID Protection (Microsoft Entra IP) i inne, jeśli są dostępne na platformie i w planie.
Uwaga
Zalecamy używanie dostrajania alertów z ostrożnością w przypadku scenariuszy, w których znane, wewnętrzne aplikacje biznesowe lub testy zabezpieczeń wyzwalają oczekiwane działanie i nie chcesz widzieć alertów.
Tworzenie warunków reguły w celu dostrajania alertów
Utwórz reguły dostrajania alertów w obszarze Ustawienia XDR usługi Microsoft Defender lub na stronie szczegółów alertu. Wybierz jedną z następujących kart, aby kontynuować.
W portalu usługi Microsoft Defender wybierz pozycję Ustawienia > Dostrajanie alertu XDR > usługi Microsoft Defender.
Wybierz pozycję Dodaj nową regułę , aby dostroić nowy alert, lub wybierz istniejący wiersz reguły, aby wprowadzić zmiany. Wybranie tytułu reguły powoduje otwarcie strony szczegółów reguły, na której można wyświetlić listę skojarzonych alertów, edytować warunki lub włączyć i wyłączyć regułę.
W okienku Alert dostrajania w obszarze Wybierz źródła usług wybierz źródła usług, do których chcesz zastosować regułę. Na liście są wyświetlane tylko usługi, do których masz uprawnienia. Przykład:
W obszarze Warunki dodaj warunek wyzwalaczy alertu. Jeśli na przykład chcesz zapobiec wyzwalaniu alertu podczas tworzenia określonego pliku, zdefiniuj warunek wyzwalacza File:Custom i zdefiniuj szczegóły pliku:
Wyświetlane wyzwalacze różnią się w zależności od wybranych źródeł usług. Wyzwalacze to wszystkie wskaźniki naruszenia zabezpieczeń (IOCs), takie jak pliki, procesy, zaplanowane zadania i inne typy dowodów, które mogą wyzwalać alert, w tym skrypty interfejsu skanowania oprogramowania chroniącego przed złośliwym oprogramowaniem (AMSI), zdarzenia instrumentacji zarządzania windows (WMI) lub zaplanowane zadania.
Aby ustawić wiele warunków reguły, wybierz pozycję Dodaj filtr i użyj opcji AND, OR oraz opcje grupowania, aby zdefiniować relacje między wieloma typami dowodów, które wyzwalają alert. Dalsze właściwości dowodów są automatycznie wypełniane jako nowa podgrupa, w której można zdefiniować wartości warunku. Wartości warunków nie uwzględniają wielkości liter, a niektóre właściwości obsługują symbole wieloznaczne.
W obszarze Akcja okienka alertu Dostrajanie wybierz odpowiednią akcję, którą chcesz wykonać dla reguły, Ukryj alert lub Rozwiąż alert.
Wprowadź znaczącą nazwę alertu i komentarz, aby opisać alert, a następnie wybierz pozycję Zapisz.
Uwaga
Tytuł alertu (nazwa) jest oparty na typie alertu (IoaDefinitionId), który decyduje o tytule alertu. Dwa alerty o tym samym typie alertu mogą zmienić się na inny tytuł alertu.
Rozwiązywanie alertu
Po zakończeniu analizowania alertu i jego rozwiązaniu przejdź do okienka Zarządzanie alertami dla alertu lub podobnych alertów i oznacz stan jako Rozwiązany , a następnie zaklasyfikuj go jako wynik prawdziwie dodatni z typem zagrożenia, działaniem informacyjnym, oczekiwanym z typem działania lub wynikiem fałszywie dodatnim.
Klasyfikowanie alertów pomaga usłudze Microsoft Defender XDR poprawić jakość wykrywania.
Klasyfikowanie alertów przy użyciu usługi Power Automate
Zespoły nowoczesnych operacji zabezpieczeń (SecOps) wymagają automatyzacji, aby efektywnie działać. Aby skupić się na wyszukiwaniu i badaniu rzeczywistych zagrożeń, zespoły SecOps używają usługi Power Automate do klasyfikowania listy alertów i eliminowania tych, które nie są zagrożeniami.
Kryteria rozwiązywania alertów
- Użytkownik ma włączony komunikat poza biurem
- Użytkownik nie jest oznaczony jako wysokiego ryzyka
Jeśli obie te wartości są prawdziwe, usługa SecOps oznacza alert jako legalną podróż i rozwiązuje ten problem. Powiadomienie jest publikowane w usłudze Microsoft Teams po rozwiązaniu alertu.
Łączenie usługi Power Automate z usługą Microsoft Defender for Cloud Apps
Aby utworzyć automatyzację, musisz mieć token interfejsu API, aby można było połączyć usługę Power Automate z usługą Microsoft Defender for Cloud Apps.
Otwórz usługę Microsoft Defender i wybierz pozycję Ustawienia>Token interfejsu APIusługi Cloud Apps>, a następnie wybierz pozycję Dodaj token na karcie Tokeny interfejsu API.
Podaj nazwę tokenu, a następnie wybierz pozycję Generuj. Zapisz token, ponieważ będzie on potrzebny później.
Tworzenie zautomatyzowanego przepływu
Obejrzyj ten krótki film wideo, aby dowiedzieć się, jak automatyzacja działa wydajnie, aby utworzyć płynny przepływ pracy i jak połączyć usługę Power Automate z usługą Defender for Cloud Apps.
Następne kroki
W razie potrzeby w przypadku zdarzeń w procesie kontynuuj badanie.
Zobacz też
- Omówienie zdarzeń
- Zarządzanie zdarzeniami
- Badanie zdarzeń
- Badanie alertów ochrony przed utratą danych w usłudze Defender
- Microsoft Entra ID Protection
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.