Udostępnij za pośrednictwem


Reagowanie na pierwsze zdarzenie w Microsoft Defender XDR

Dotyczy:

  • Microsoft Defender XDR

W tym przewodniku wymieniono zasoby firmy Microsoft dla nowych użytkowników Microsoft Defender XDR, aby bezpiecznie wykonywać codzienne zadania reagowania na zdarzenia podczas korzystania z portalu. Zamierzone wyniki korzystania z tego przewodnika to:

  • Szybko dowiesz się, jak reagować na zdarzenia i alerty za pomocą Microsoft Defender XDR.
  • Poznasz funkcje portalu ułatwiające badanie i korygowanie zdarzeń za pośrednictwem filmów wideo i samouczków.

Microsoft Defender XDR umożliwia wyświetlanie istotnych zdarzeń zagrożeń we wszystkich zasobach (urządzeniach, tożsamościach, skrzynkach pocztowych, aplikacjach w chmurze i nie tylko). Portal konsoliduje sygnały z pakietu ochrony usługi Defender, Microsoft Sentinel i innych zintegrowanych rozwiązań do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM). Skorelowane informacje o ataku z pełnym kontekstem w jednym okienku szkła umożliwiają skuteczną obronę i ochronę organizacji.

Ten przewodnik zawiera trzy główne sekcje:

  • Opis zdarzeń: uzyskiwanie dostępu do zdarzeń, klasyfikowanie i zarządzanie nimi w portalu
  • Analizowanie ataków: kolekcja filmów wideo i samouczków dotyczących sposobu badania konkretnych ataków przy użyciu funkcji portalu.
  • Korygowanie ataków: wyświetla listę zautomatyzowanych i ręcznych akcji dostępnych w portalu w celu skorygowania zagrożeń. Ta sekcja zawiera linki do filmów wideo i samouczków.

Omówienie zdarzeń

Zdarzenie to łańcuch utworzonych procesów, poleceń i akcji, które mogły się nie pokrywać. Zdarzenie zapewnia całościowy obraz i kontekst podejrzanych lub złośliwych działań. Pojedyncze zdarzenie zapewnia pełny kontekst ataku zamiast klasyfikowania setek alertów z wielu usług.

Microsoft Defender XDR ma wiele funkcji, których można użyć do reagowania na zdarzenie. Możesz nawigować po zdarzeniach, wybierając pozycję Wyświetl wszystkie zdarzenia na karcie Aktywne zdarzenia na stronie głównej lub za pośrednictwem pozycji Zdarzenia & alerty w okienku nawigacji po lewej stronie.

Wyświetl wszystkie zdarzenia wyświetlane na stronie głównej Microsoft Defender XDR Rysunek 1. Karta Aktywne zdarzenia na stronie głównej Microsoft Defender XDR

Kolejka zdarzeń w Microsoft Defender XDR Konfiguruj 2. Kolejka zdarzeń

Każde zdarzenie zawiera automatycznie skorelowane alerty z różnych źródeł wykrywania i może obejmować różne punkty końcowe, tożsamości lub aplikacje w chmurze.

Klasyfikacja zdarzeń

Priorytetyzacja incydentów różni się w zależności od odpowiedzi, zespołu ds. zabezpieczeń i organizacji. Plany reagowania na zdarzenia i kierunek zespołów ds. zabezpieczeń mogą nakazać priorytet zdarzenia.

Microsoft Defender XDR ma różne wskaźniki, takie jak ważność zdarzenia, typy użytkowników lub typy zagrożeń w celu klasyfikowania i określania priorytetów zdarzeń. Możesz użyć dowolnej kombinacji tych wskaźników łatwo dostępnych za pośrednictwem filtrów kolejki zdarzeń .

Przykładem określenia priorytetu zdarzenia jest połączenie następujących czynników dla zdarzenia:

  • Zdarzenie ma wysoką ważność.
  • Stan badania automatyzacji nie powiódł się.
  • Istnieje 5 zasobów, których dotyczy problem, gdzie dwa zasoby są oznaczone wysoce poufną poufnością danych.
  • Stan zdarzenia jest nowy.
  • Incydent nie jest przypisany do żadnego członka zespołu w celu zbadania.

Możesz przypisać zdarzenie wysoki priorytet, korzystając z powyższych informacji. Badanie incydentu można rozpocząć po określeniu priorytetu.

Uwaga

Microsoft Defender XDR automatycznie określa filtry, takie jak ważność, stany badania, zasoby, których dotyczy problem, i stan zdarzenia. Informacje te są oparte na działaniach sieciowych organizacji kontekstowanych za pomocą kanałów informacyjnych analizy zagrożeń i zastosowanych zautomatyzowanych akcji korygowania.

Zarządzanie zdarzeniami

Możesz przyczynić się do zwiększenia wydajności zarządzania zdarzeniami , udostępniając podstawowe informacje dotyczące zdarzeń i alertów. Po dodaniu informacji do następujących filtrów podczas klasyfikowania i analizowania każdego zdarzenia należy podać dodatkowy kontekst do tego zdarzenia, z których mogą skorzystać inni responderzy:

Dowiedz się, jak klasyfikować zdarzenia i alerty za pomocą tego wideo:

Następne kroki

Zobacz też

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.