Korygowanie pierwszego incydentu w usłudze Microsoft Defender XDR

Dotyczy:

• Microsoft Defender XDR

Usługa Microsoft Defender XDR zapewnia funkcje wykrywania i analizy w celu zapewnienia powstrzymywania i eliminowania zagrożeń. Hermetyzowanie obejmuje kroki mające na celu zmniejszenie wpływu ataku, podczas gdy eliminacja gwarantuje usunięcie wszystkich śladów aktywności osoby atakującej z sieci.

Korygowanie w usłudze Microsoft Defender XDR można zautomatyzować lub za pomocą ręcznych akcji wykonywanych przez osoby reagujące na zdarzenia. Akcje korygowania mogą być podejmowane na urządzeniach, plikach i tożsamościach.

Automatyczne korygowanie

Usługa Microsoft Defender XDR wykorzystuje swoją analizę zagrożeń i sygnały w sieci do zwalczania najbardziej destrukcyjnych ataków. Oprogramowanie wymuszające okup, naruszenia zabezpieczeń poczty e-mail (BEC) i wyłudzanie informacji przez osoby atakujące w środku (AiTM) to jedne z najbardziej złożonych ataków, które mogą być natychmiast ograniczone przez możliwość automatycznego zakłócenia ataku . Po zakłóceniu ataku ratownicy mogą przejąć i w pełni zbadać atak oraz zastosować wymagane korygowanie.

Dowiedz się, jak automatyczne zakłócenie ataku pomaga w reagowaniu na zdarzenia:

Tymczasem funkcje zautomatyzowanego badania i reagowania w usłudze Microsoft Defender XDR mogą automatycznie badać i stosować akcje korygowania do złośliwych i podejrzanych elementów. Te możliwości umożliwiają skalowanie badania i rozwiązywanie zagrożeń, zwalniając reagowanie na zdarzenia, aby skoncentrować swoje wysiłki na atakach o dużym wpływie.

Możesz skonfigurować możliwości zautomatyzowanego badania i reagowania oraz zarządzać nimi . Możesz również wyświetlić wszystkie poprzednie i oczekujące akcje za pośrednictwem Centrum akcji.

Uwaga

Po przejrzeniu można cofnąć akcje automatyczne.

Aby przyspieszyć niektóre zadania badania, możesz klasyfikować alerty za pomocą usługi Power Automate. Ponadto zautomatyzowane korygowanie można tworzyć przy użyciu automatyzacji i podręczników. Firma Microsoft ma szablony podręczników w witrynie GitHub w następujących scenariuszach:

• Usuwanie poufne udostępnianie plików po żądaniu weryfikacji użytkownika
• Alerty dotyczące automatycznego klasyfikowania rzadkich krajów
• Żądanie akcji menedżera przed wyłączeniem konta
• Wyłączanie złośliwych reguł skrzynki odbiorczej

Podręczniki używają usługi Power Automate do tworzenia niestandardowych przepływów automatyzacji procesów robotycznych w celu automatyzacji niektórych działań po wyzwoleniu określonych kryteriów. Organizacje mogą tworzyć podręczniki na podstawie istniejących szablonów lub od podstaw. Podręczniki można również tworzyć podczas przeglądu po zdarzeniu, aby tworzyć akcje korygowania na podstawie rozwiązanych zdarzeń.

Dowiedz się, jak usługa Power Automate może pomóc w automatyzacji reagowania na zdarzenia za pośrednictwem tego wideo:

Ręczne korygowanie

Reagując na atak, zespoły ds. zabezpieczeń mogą korzystać z ręcznych działań korygujących w portalu, aby powstrzymać ataki przed dalszymi uszkodzeniami. Niektóre działania mogą natychmiast powstrzymać zagrożenie, podczas gdy inne pomagają w dalszej analizie kryminalistycznej. Te akcje można zastosować do dowolnej jednostki w zależności od obciążeń usługi Defender wdrożonych w organizacji.

Akcje na urządzeniach

• Wyizoluj urządzenie — izoluje urządzenie, którego dotyczy problem, odłączając urządzenie od sieci. Urządzenie pozostaje połączone z usługą Defender for Endpoint w celu dalszego monitorowania.

• Ograniczanie wykonywania aplikacji — ogranicza aplikację, stosując zasady integralności kodu, które zezwalają na uruchamianie plików tylko wtedy, gdy są podpisane przy użyciu certyfikatu wystawionego przez firmę Microsoft.

• Uruchom skanowanie antywirusowe — inicjuje zdalne skanowanie programu antywirusowego Defender w poszukiwaniu urządzenia. Skanowanie może być uruchamiane wraz z innymi rozwiązaniami antywirusowymi, niezależnie od tego, czy program antywirusowy Defender jest aktywnym rozwiązaniem antywirusowym.

• Zbieranie pakietu badania — pakiet badania można zebrać z urządzenia w ramach procesu badania lub odpowiedzi. Zbierając pakiet badania, możesz zidentyfikować bieżący stan urządzenia i dokładniej zrozumieć narzędzia i techniki używane przez osobę atakującą.

• Inicjowanie zautomatyzowanego badania — rozpoczyna nowe zautomatyzowane badanie ogólnego przeznaczenia na urządzeniu. Gdy badanie jest uruchomione, wszelkie inne alerty wygenerowane na urządzeniu zostaną dodane do trwającego zautomatyzowanego badania do czasu zakończenia tego badania. Ponadto jeśli to samo zagrożenie jest widoczne na innych urządzeniach, te urządzenia zostaną dodane do badania.

• Inicjowanie odpowiedzi na żywo — zapewnia natychmiastowy dostęp do urządzenia przy użyciu zdalnego połączenia powłoki, dzięki czemu możesz wykonać szczegółowe czynności dochodzeniowe i podjąć natychmiastowe działania reagowania, aby szybko zawierać zidentyfikowane zagrożenia w czasie rzeczywistym. Reagowanie na żywo ma na celu usprawnienie badań dzięki umożliwieniu zbierania danych kryminalistycznych, uruchamiania skryptów, wysyłania podejrzanych jednostek do analizy, korygowania zagrożeń i proaktywnego wyszukiwania pojawiających się zagrożeń.

• Zapytaj ekspertów w usłudze Defender — możesz skontaktować się z ekspertem w dziedzinie usługi Microsoft Defender, aby uzyskać więcej szczegółowych informacji dotyczących urządzeń, których bezpieczeństwo może być zagrożone lub które zostały już naruszone. Eksperci usługi Microsoft Defender mogą być zaangażowani bezpośrednio z poziomu portalu, aby uzyskać terminową i dokładną odpowiedź. Ta akcja jest dostępna zarówno dla urządzeń, jak i plików.

Inne akcje na urządzeniach są dostępne w następującym samouczku:

• Akcje odpowiedzi na urządzeniu włączonym za pośrednictwem usługi Defender for Endpoint

Uwaga

Możesz wykonywać akcje na urządzeniach bezpośrednio z wykresu w scenariuszu ataku.

Akcje dotyczące plików

• Plik zatrzymania i kwarantanny — obejmuje zatrzymywanie uruchomionych procesów, kłótnię plików i usuwanie trwałych danych, takich jak klucze rejestru.
• Dodawanie wskaźników w celu zablokowania lub zezwolenia na plik — zapobiega dalszemu rozprzestrzenianiu się ataku przez zablokowanie potencjalnie złośliwych plików lub podejrzanego złośliwego oprogramowania. Ta operacja uniemożliwia odczytywanie, zapisywanie lub wykonywanie pliku na urządzeniach w organizacji.
• Pobieranie lub zbieranie pliku — umożliwia analitykom pobranie pliku w chronionym hasłem .zip pliku archiwum w celu dalszej analizy przez organizację.
• Analiza szczegółowa — wykonuje plik w bezpiecznym, w pełni instrumentowanym środowisku chmury. Wyniki szczegółowej analizy pokazują działania pliku, obserwowane zachowania i skojarzone artefakty, takie jak porzucone pliki, modyfikacje rejestru i komunikacja z adresami IP.

Korygowanie innych ataków

Uwaga

Te samouczki mają zastosowanie, gdy inne obciążenia usługi Defender są włączone w twoim środowisku.

Poniższe samouczki wyliczają kroki i akcje, które można zastosować podczas badania jednostek lub reagowania na określone zagrożenia:

• Odpowiadanie na naruszone konto e-mail za pośrednictwem usługi Defender dla usługi Office 365
• Korygowanie luk w zabezpieczeniach za pomocą usługi Defender do zarządzania lukami w zabezpieczeniach
• Akcje korygowania dla kont użytkowników za pośrednictwem usługi Defender for Identity
• Stosowanie zasad do kontrolowania aplikacji za pomocą usługi Defender for Cloud Apps

Następne kroki

• Symulowanie ataków za pomocą szkolenia symulacji ataku
• Eksplorowanie usługi Microsoft Defender XDR za pośrednictwem szkolenia dotyczącego wirtualnego ninja

Zobacz też

• Badanie zdarzeń
• Poznaj funkcje i funkcje portalu za pośrednictwem szkolenia microsoft defender XDR Ninja

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.