Изучение оповещений системы безопасности Defender для удостоверений в Microsoft Defender XDR

Примечание.

Defender для удостоверений не предназначен для использования в качестве решения для аудита или ведения журнала, которое фиксирует каждую операцию или действие на серверах, где установлен датчик. Он записывает только данные, необходимые для механизмов обнаружения и рекомендаций.

В этой статье объясняется, как работать с оповещениями системы безопасности Microsoft Defender для удостоверений в Microsoft Defender XDR.

Оповещения Defender для удостоверений изначально интегрированы в Microsoft Defender XDR с помощью выделенного формата страницы оповещений об удостоверениях.

На странице Оповещение об удостоверении Microsoft Defender для удостоверений клиенты получают более качественное обогащение междоменных сигналов и новые возможности автоматического реагирования на идентификацию. Это гарантирует безопасность и помогает повысить эффективность операций безопасности.

Одним из преимуществ изучения оповещений с помощью Microsoft Defender XDR является то, что Microsoft Defender для удостоверений оповещения дополнительно коррелируются с информацией, полученной от каждого из других продуктов в наборе. Эти расширенные оповещения соответствуют другим Microsoft Defender XDR форматам оповещений, поступающим из Microsoft Defender для Office 365 и Microsoft Defender для конечной точки. Новая страница фактически устраняет необходимость перехода на другой портал продукта для изучения оповещений, связанных с удостоверением.

Оповещения, исходящие из Defender для удостоверений, теперь могут активировать возможности Microsoft Defender XDR автоматического исследования и реагирования (AIR), включая автоматическое исправление оповещений и устранение рисков средств и процессов, которые могут способствовать подозрительной активности.

Важно!

В рамках конвергенции с Microsoft Defender XDR некоторые параметры и сведения изменились по сравнению с их расположением на портале Defender для удостоверений. Ознакомьтесь с приведенными ниже сведениями, чтобы узнать, где найти как знакомые, так и новые функции.

Просмотр оповещений системы безопасности

К оповещениям можно обращаться из нескольких расположений, включая страницу Оповещения , страницу Инциденты , страницы отдельных устройств и со страницы Расширенной охоты . В этом примере мы рассмотрим страницу Оповещения.

В Microsoft Defender XDR перейдите в раздел Инциденты & оповещения, а затем выберите Оповещения.

Чтобы просмотреть оповещения из Defender для удостоверений, в правом верхнем углу выберите Фильтр, а затем в разделе Источники служб выберите Microsoft Defender для удостоверений и нажмите кнопку Применить:

Оповещения отображаются со сведениями в следующих столбцах: Имя оповещения, Теги, Серьезность, Состояние исследования, Состояние, Категория, Источник обнаружения, Затронутые ресурсы, Первое действие и Последнее действие.

Категории оповещений системы безопасности

Оповещения системы безопасности Defender для удостоверений делятся на следующие категории или этапы, такие как этапы, наблюдаемые в типичной цепочке кибератак.

• Оповещения рекогносцировки
• Оповещения о компрометации учетных данных
• Оповещения о боковом перемещении
• Оповещения о доминировании в домене
• Оповещения о краже

Управление оповещениями

Если выбрать имя оповещения для одного из оповещений, вы перейдете на страницу с подробными сведениями об оповещении. В левой области вы увидите сводку о том, что произошло:

Над полем Что произошло находятся кнопки для учетных записей, узла назначения и исходного узла оповещения. Для других оповещений можно увидеть кнопки для получения сведений о дополнительных узлах, учетных записях, IP-адресах, доменах и группах безопасности. Выберите любой из них, чтобы получить дополнительные сведения о задействованных сущностях.

На правой панели вы увидите сведения об оповещении. Здесь можно просмотреть дополнительные сведения и выполнить несколько задач:

• Классифицировать это оповещение — здесь это оповещение можно назначить как оповещение true или False.

  

• Состояние оповещения . В разделе Set Classification можно классифицировать оповещение как True или False. В разделе Назначено можно назначить оповещение себе или отменить его назначение.

  

• Сведения об оповещении . В разделе Сведения об оповещении можно найти дополнительные сведения о конкретном оповещении, перейти по ссылке на документацию по типу оповещения, узнать, с каким инцидентом связано оповещение, просмотреть все автоматизированные исследования, связанные с этим типом оповещений, а также просмотреть затронутые устройства и пользователей.

  

• Примечания & журнал . Здесь можно добавить комментарии к оповещению и просмотреть журнал всех действий, связанных с оповещением.

  

• Управление оповещением . Если выбрать Управление оповещением, вы перейдете на панель, которая позволит вам изменить:

  • Состояние — можно выбрать Пункты Создать, Решено или Выполняется.

  • Классификация — можно выбрать true alert (Предупреждение true ) или False (Ложное оповещение).

  • Комментарий . Вы можете добавить комментарий к оповещению.

  • Если выбрать три точки рядом с пунктом Управление оповещением, можно связать оповещение с другим инцидентом, Создать правило подавления (доступно только для пользователей предварительной версии) или Спросить экспертов Defender.

    

    Вы также можете экспортировать оповещение в файл Excel. Для этого выберите Экспорт.

    Примечание.

    В файле Excel доступны две ссылки: Просмотр в Microsoft Defender для удостоверений и Просмотр в Microsoft Defender XDR. По каждой ссылке вы перейдете на соответствующий портал и предоставите сведения об оповещении.

Настройка оповещений

Настройте оповещения, чтобы настроить и оптимизировать их, уменьшая количество ложных срабатываний. Настройка оповещений позволяет командам SOC сосредоточиться на высокоприоритетных оповещениях и улучшить охват обнаружения угроз в вашей системе. В Microsoft Defender XDR создайте условия правила на основе типов доказательств, а затем примените правило к любому типу правил, который соответствует вашим условиям.

Дополнительные сведения см. в разделе Настройка оповещения.

См. также

• оповещения системы безопасности Microsoft Defender для удостоверений

Дополнительные сведения

• Ознакомьтесь с нашим интерактивным руководством: Обнаружение подозрительных действий и потенциальных атак с помощью Microsoft Defender для удостоверений