Инциденты и оповещения на портале Microsoft Defender
Портал Microsoft Defender объединяет единый набор служб безопасности для снижения риска угроз безопасности, улучшения состояния безопасности организации, обнаружения угроз безопасности, расследования нарушений и реагирования на них. Эти службы собирают и выдают сигналы, отображаемые на портале. Два main типа сигналов:
Оповещения: сигналы, которые возникают в результате различных действий по обнаружению угроз. Эти сигналы указывают на возникновение вредоносных или подозрительных событий в вашей среде.
Инциденты. Контейнеры, которые включают коллекции связанных оповещений и рассказывают полную историю атаки. Оповещения в одном инциденте могут поступать из всех решений майкрософт по обеспечению безопасности и соответствия требованиям, а также из огромного количества внешних решений, собранных с помощью Microsoft Sentinel и Microsoft Defender для облака.
Инциденты для корреляции и исследования
Хотя вы можете исследовать и устранять угрозы, которые представляют вам отдельные оповещения, сами по себе эти угрозы являются изолированными случаями, которые ничего не сообщают о более широкой и сложной истории атак. Вы можете искать, исследовать, исследовать и сопоставлять группы оповещений, которые входят в одну историю атаки, но это потребует много времени, усилий и энергии.
Вместо этого подсистемы корреляции и алгоритмы на портале Microsoft Defender автоматически объединяют и сопоставляют связанные оповещения, чтобы сформировать инциденты, представляющие эти более крупные истории атак. Defender определяет несколько сигналов, относящихся к одной и той же истории атак, используя ИИ для постоянного мониторинга источников телеметрии и добавления дополнительных доказательств для уже открытых инцидентов. Инциденты содержат все оповещения, которые считаются связанными друг с другом и общей историей атаки, и представляют эту историю в различных формах:
- Временные шкалы оповещений и необработанных событий, на которых они основаны
- Список использованных тактик
- Списки всех задействованных и затронутых пользователей, устройств и других ресурсов
- Визуальное представление того, как взаимодействуют все игроки в истории
- Журналы автоматических процессов исследования и реагирования, которые Defender XDR инициированы и завершены
- Коллекции доказательств, подтверждающих историю атаки: учетные записи пользователей злоумышленников, сведения об устройстве и адрес, вредоносные файлы и процессы, соответствующая аналитика угроз и т. д.
- Текстовая сводка по истории атаки
Инциденты также предоставляют платформу для управления и документирования расследований и реагирования на угрозы. Дополнительные сведения о функциях инцидентов в этой связи см. в статье Управление инцидентами в Microsoft Defender.
Источники оповещений и обнаружение угроз
Оповещения на портале Microsoft Defender поступают из многих источников. Эти источники включают множество служб, входящих в состав Microsoft Defender XDR, а также другие службы с разной степенью интеграции с порталом Microsoft Defender.
Например, при подключении Microsoft Sentinel к порталу Microsoft Defender подсистема корреляции на портале Defender имеет доступ ко всем необработанным данным, принятым Microsoft Sentinel, которые можно найти в таблицах Расширенной охоты Defender.
Microsoft Defender XDR также создает оповещения. уникальные возможности корреляции Defender XDR обеспечивают еще один уровень анализа данных и обнаружения угроз для всех решений, не относящихся к корпорации Майкрософт, в вашей цифровой недвижимости. Эти обнаружения создают Defender XDR оповещения в дополнение к оповещениям, которые уже предоставляются правилами аналитики Microsoft Sentinel.
В каждом из этих источников существует один или несколько механизмов обнаружения угроз, которые создают оповещения на основе правил, определенных в каждом механизме.
Например, Microsoft Sentinel имеет по крайней мере четыре различных подсистемы, которые создают различные типы оповещений, каждый из которых имеет свои собственные правила.
Средства и методы для исследования и реагирования
Портал Microsoft Defender включает средства и методы для автоматизации или иным образом помочь в рассмотрении, расследовании и разрешении инцидентов. Эти средства представлены в следующей таблице:
| Инструмент или метод | Описание |
|---|---|
| Управление инцидентами и их расследование | Убедитесь, что вы расставляете приоритеты для инцидентов в соответствии с серьезностью, а затем проработайте их для расследования. Используйте расширенную охоту для поиска угроз и опережайте новые угрозы с помощью аналитики угроз. |
| Автоматическое исследование и разрешение оповещений | Если это включено, Microsoft Defender XDR может автоматически исследовать и разрешать оповещения из источников Идентификаторов Microsoft 365 и Entra с помощью автоматизации и искусственного интеллекта. |
| Настройка действий автоматического прерывания атаки | Используйте сигналы высокой достоверности, полученные от Microsoft Defender XDR и Microsoft Sentinel, чтобы автоматически прерывать активные атаки на скорости компьютера, сдерживать угрозу и ограничивать влияние. |
| Настройка правил автоматизации Microsoft Sentinel | Используйте правила автоматизации для автоматизации рассмотрения инцидентов, их назначения и управления ими независимо от их источника. Повысьте эффективность команды, настроив правила для применения тегов к инцидентам на основе их содержимого, подавления шумных (ложноположительных) инцидентов и закрытия разрешенных инцидентов, соответствующих соответствующим критериям, указав причину и добавив комментарии. |
| Упреждающая охота с помощью расширенной охоты | Используйте язык запросов Kusto (KQL) для упреждающей проверки событий в сети, запрашивая журналы, собранные на портале Defender. Расширенная охота поддерживает интерактивный режим для пользователей, ищущих удобство построителя запросов. |
| Использование ИИ с помощью Microsoft Copilot для обеспечения безопасности | Добавьте ИИ для поддержки аналитиков со сложными и трудоемкими ежедневными рабочими процессами. Например, Microsoft Copilot для безопасности может помочь в комплексном расследовании инцидентов и реагировании на нее, предоставляя четко описанные истории атак, пошаговые инструкции по исправлению и сводные отчеты об инцидентах, поиск на естественном языке KQL и анализ кода экспертов, оптимизируя эффективность SOC в данных из всех источников. Эта возможность является дополнением к другим функциям на основе ИИ, которые Microsoft Sentinel предоставляет на унифицированной платформе, в областях аналитики поведения пользователей и сущностей, обнаружения аномалий, многоэтапного обнаружения угроз и многого другого. |
Связанные элементы
Дополнительные сведения о корреляции оповещений и объединении инцидентов на портале Defender см. в статье Оповещения, инциденты и корреляция в Microsoft Defender XDR