Reagowanie na pierwsze zdarzenie w Microsoft Defender XDR
Dotyczy:
- Microsoft Defender XDR
W tym przewodniku wymieniono zasoby firmy Microsoft dla nowych użytkowników Microsoft Defender XDR, aby bezpiecznie wykonywać codzienne zadania reagowania na zdarzenia podczas korzystania z portalu. Zamierzone wyniki korzystania z tego przewodnika to:
- Szybko dowiesz się, jak reagować na zdarzenia i alerty za pomocą Microsoft Defender XDR.
- Poznasz funkcje portalu ułatwiające badanie i korygowanie zdarzeń za pośrednictwem filmów wideo i samouczków.
Microsoft Defender XDR umożliwia wyświetlanie istotnych zdarzeń zagrożeń we wszystkich zasobach (urządzeniach, tożsamościach, skrzynkach pocztowych, aplikacjach w chmurze i nie tylko). Portal konsoliduje sygnały z pakietu ochrony usługi Defender, Microsoft Sentinel i innych zintegrowanych rozwiązań do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM). Skorelowane informacje o ataku z pełnym kontekstem w jednym okienku szkła umożliwiają skuteczną obronę i ochronę organizacji.
Ten przewodnik zawiera trzy główne sekcje:
- Opis zdarzeń: uzyskiwanie dostępu do zdarzeń, klasyfikowanie i zarządzanie nimi w portalu
- Analizowanie ataków: kolekcja filmów wideo i samouczków dotyczących sposobu badania konkretnych ataków przy użyciu funkcji portalu.
- Korygowanie ataków: wyświetla listę zautomatyzowanych i ręcznych akcji dostępnych w portalu w celu skorygowania zagrożeń. Ta sekcja zawiera linki do filmów wideo i samouczków.
Omówienie zdarzeń
Zdarzenie to łańcuch utworzonych procesów, poleceń i akcji, które mogły się nie pokrywać. Zdarzenie zapewnia całościowy obraz i kontekst podejrzanych lub złośliwych działań. Pojedyncze zdarzenie zapewnia pełny kontekst ataku zamiast klasyfikowania setek alertów z wielu usług.
Microsoft Defender XDR ma wiele funkcji, których można użyć do reagowania na zdarzenie. Możesz nawigować po zdarzeniach, wybierając pozycję Wyświetl wszystkie zdarzenia na karcie Aktywne zdarzenia na stronie głównej lub za pośrednictwem pozycji Zdarzenia & alerty w okienku nawigacji po lewej stronie.
Rysunek 1. Karta Aktywne zdarzenia na stronie głównej Microsoft Defender XDR
Każde zdarzenie zawiera automatycznie skorelowane alerty z różnych źródeł wykrywania i może obejmować różne punkty końcowe, tożsamości lub aplikacje w chmurze.
Klasyfikacja zdarzeń
Priorytetyzacja incydentów różni się w zależności od odpowiedzi, zespołu ds. zabezpieczeń i organizacji. Plany reagowania na zdarzenia i kierunek zespołów ds. zabezpieczeń mogą nakazać priorytet zdarzenia.
Microsoft Defender XDR ma różne wskaźniki, takie jak ważność zdarzenia, typy użytkowników lub typy zagrożeń w celu klasyfikowania i określania priorytetów zdarzeń. Możesz użyć dowolnej kombinacji tych wskaźników łatwo dostępnych za pośrednictwem filtrów kolejki zdarzeń .
Przykładem określenia priorytetu zdarzenia jest połączenie następujących czynników dla zdarzenia:
- Zdarzenie ma wysoką ważność.
- Stan badania automatyzacji nie powiódł się.
- Istnieje 5 zasobów, których dotyczy problem, gdzie dwa zasoby są oznaczone wysoce poufną poufnością danych.
- Stan zdarzenia jest nowy.
- Incydent nie jest przypisany do żadnego członka zespołu w celu zbadania.
Możesz przypisać zdarzenie wysoki priorytet, korzystając z powyższych informacji. Badanie incydentu można rozpocząć po określeniu priorytetu.
Uwaga
Microsoft Defender XDR automatycznie określa filtry, takie jak ważność, stany badania, zasoby, których dotyczy problem, i stan zdarzenia. Informacje te są oparte na działaniach sieciowych organizacji kontekstowanych za pomocą kanałów informacyjnych analizy zagrożeń i zastosowanych zautomatyzowanych akcji korygowania.
Zarządzanie zdarzeniami
Możesz przyczynić się do zwiększenia wydajności zarządzania zdarzeniami , udostępniając podstawowe informacje dotyczące zdarzeń i alertów. Po dodaniu informacji do następujących filtrów podczas klasyfikowania i analizowania każdego zdarzenia należy podać dodatkowy kontekst do tego zdarzenia, z których mogą skorzystać inni responderzy:
- Klasyfikowanie zdarzeń i alertów
- Nazewnictwo zdarzeń
- Dodawanie tagów
- Podawanie komentarzy
Dowiedz się, jak klasyfikować zdarzenia i alerty za pomocą tego wideo:
Następne kroki
- Analizowanie pierwszego zdarzenia
- Korygowanie pierwszego zdarzenia
- Obejrzyj pokazy i nowe wydarzenia w portalu w działaniu w Microsoft Defender XDR Virtual Ninja Training
Zobacz też
- Integrowanie Microsoft Defender XDR z operacjami zabezpieczeń
- Reagowanie na typowe ataki przy użyciu podręczników reagowania na zdarzenia
- Poznaj funkcje i funkcje portalu za pośrednictwem szkolenia Microsoft Defender XDR Ninja
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.