Badanie alertów zabezpieczeń usługi Defender for Identity w Microsoft Defender XDR
Uwaga
Usługa Defender for Identity nie służy jako rozwiązanie do inspekcji lub rejestrowania, które przechwytuje każdą operację lub działanie na serwerach, na których jest zainstalowany czujnik. Przechwytuje tylko dane wymagane do ich mechanizmów wykrywania i rekomendacji.
W tym artykule wyjaśniono podstawy pracy z Microsoft Defender for Identity alertami zabezpieczeń w Microsoft Defender XDR.
Alerty usługi Defender for Identity są natywnie zintegrowane z Microsoft Defender XDR z dedykowanym formatem strony alertów tożsamości.
Strona alertu tożsamości zapewnia Microsoft Defender for Identity klientom lepsze wzbogacanie sygnału między domenami i nowe możliwości automatycznego reagowania na tożsamości. Zapewnia to bezpieczeństwo i pomaga zwiększyć wydajność operacji zabezpieczeń.
Jedną z zalet badania alertów za pośrednictwem Microsoft Defender XDR jest to, że alerty Microsoft Defender for Identity są dodatkowo skorelowane z informacjami uzyskanymi z każdego z innych produktów w pakiecie. Te rozszerzone alerty są zgodne z innymi formatami alertów Microsoft Defender XDR pochodzącymi z Ochrona usługi Office 365 w usłudze Microsoft Defender i Ochrona punktu końcowego w usłudze Microsoft Defender. Nowa strona skutecznie eliminuje konieczność przechodzenia do innego portalu produktu w celu zbadania alertów skojarzonych z tożsamością.
Alerty pochodzące z usługi Defender for Identity mogą teraz wyzwalać Microsoft Defender XDR możliwości zautomatyzowanego badania i reagowania (AIR), w tym automatyczne korygowanie alertów oraz ograniczanie ryzyka narzędzi i procesów, które mogą przyczynić się do podejrzanego działania.
Ważna
W ramach konwergencji z Microsoft Defender XDR niektóre opcje i szczegóły zostały zmienione z ich lokalizacji w portalu usługi Defender for Identity. Przeczytaj poniższe szczegóły, aby dowiedzieć się, gdzie znaleźć zarówno znane, jak i nowe funkcje.
Przeglądanie alertów zabezpieczeń
Dostęp do alertów można uzyskać z wielu lokalizacji, w tym ze strony Alerty , strony Zdarzenia , stron poszczególnych urządzeń i strony Zaawansowane wyszukiwanie zagrożeń . W tym przykładzie przejrzymy stronę Alerty.
W Microsoft Defender XDR przejdź do obszaru Zdarzenia & alerty, a następnie do pozycji Alerty.
Aby wyświetlić alerty z usługi Defender for Identity, w prawym górnym rogu wybierz pozycję Filtr, a następnie w obszarze Źródła usług wybierz pozycję Microsoft Defender for Identity, a następnie wybierz pozycję Zastosuj:
Alerty są wyświetlane z informacjami w następujących kolumnach: Nazwa alertu, Tagi, Ważność, Stan badania, Stan, Kategoria, Źródło wykrywania, Zasoby,Pierwsze działanie i Ostatnie działanie.
Kategorie alertów zabezpieczeń
Alerty zabezpieczeń usługi Defender for Identity są podzielone na następujące kategorie lub fazy, takie jak fazy widoczne w typowym łańcuchu ataków cybernetycznych.
- Alerty rekonesansu
- Alerty dotyczące naruszeń poświadczeń
- Alerty dotyczące przenoszenia bocznego
- Alerty dotyczące dominacji domeny
- Alerty eksfiltracji
Zarządzaj alertami
Jeśli wybierzesz nazwę alertu dla jednego z alertów, przejdziesz do strony ze szczegółami dotyczącymi alertu. W okienku po lewej stronie zobaczysz podsumowanie tego, co się stało:
Powyżej pola Co się stało znajdują przyciski dla kont, hosta docelowego i hosta źródłowego alertu. W przypadku innych alertów mogą zostać wyświetlone przyciski, aby uzyskać szczegółowe informacje o dodatkowych hostach, kontach, adresach IP, domenach i grupach zabezpieczeń. Wybierz dowolną z nich, aby uzyskać więcej szczegółów na temat zaangażowanych jednostek.
W okienku po prawej stronie zostaną wyświetlone szczegóły alertu. Tutaj możesz zobaczyć więcej szczegółów i wykonać kilka zadań:
Klasyfikowanie tego alertu — w tym miejscu można wyznaczyć ten alert jako alert true lub false
Stan alertu — w obszarze Ustawianie klasyfikacji można sklasyfikować alert jako true lub false. W obszarze Przypisane do możesz przypisać alert do siebie lub cofnąć jego przypisanie.
Szczegóły alertu — w obszarze Szczegóły alertu możesz znaleźć więcej informacji na temat konkretnego alertu, skorzystać z linku do dokumentacji dotyczącej typu alertu, zobaczyć, z którym zdarzeniem jest skojarzony alert, przejrzeć wszystkie zautomatyzowane badania związane z tym typem alertu i zobaczyć urządzenia i użytkowników, których dotyczy problem.
Komentarze & historii — tutaj możesz dodać komentarze do alertu i wyświetlić historię wszystkich akcji skojarzonych z alertem.
Zarządzanie alertem — jeśli wybierzesz pozycję Zarządzaj alertem, przejdziesz do okienka, które umożliwi edytowanie:
Stan — możesz wybrać pozycję Nowy, Rozwiązany lub W toku.
Klasyfikacja — możesz wybrać alert True lub False.
Komentarz — możesz dodać komentarz dotyczący alertu.
Jeśli wybierzesz trzy kropki obok pozycji Zarządzaj alertem, możesz połączyć alert z innym incydentem, utworzyć regułę pomijania (dostępną tylko dla klientów w wersji zapoznawczej) lub Poprosić ekspertów usługi Defender.
Alert można również wyeksportować do pliku programu Excel. W tym celu wybierz pozycję Eksportuj.
Uwaga
W pliku programu Excel dostępne są teraz dwa linki: Widok w Microsoft Defender for Identity i Widok w Microsoft Defender XDR. Każdy link przeprowadzi Cię do odpowiedniego portalu i przekaże informacje o alertie.
Dostrajanie alertów
Dostosuj alerty, aby je dostosować i zoptymalizować, zmniejszając liczbę wyników fałszywie dodatnich. Dostrajanie alertów umożliwia zespołom SOC skupienie się na alertach o wysokim priorytecie i zwiększenie zasięgu wykrywania zagrożeń w całym systemie. W Microsoft Defender XDR utwórz warunki reguły na podstawie typów dowodów, a następnie zastosuj regułę do dowolnego typu reguły zgodnego z warunkami.
Aby uzyskać więcej informacji, zobacz Dostrajanie alertu.
Zobacz też
Dowiedz się więcej
- Wypróbuj nasz interaktywny przewodnik: Wykrywanie podejrzanych działań i potencjalnych ataków za pomocą Microsoft Defender for Identity