Инциденты и оповещения на портале Microsoft Defender
Единая платформа SecOps корпорации Майкрософт на портале Microsoft Defender объединяет единый набор служб безопасности для снижения риска угроз безопасности, улучшения состояния безопасности организации, обнаружения угроз безопасности, а также расследования нарушений и реагирования на них. Эти службы собирают и выдают сигналы, отображаемые на портале. Два main типа сигналов:
Оповещения: сигналы, которые возникают в результате различных действий по обнаружению угроз. Эти сигналы указывают на возникновение вредоносных или подозрительных событий в вашей среде.
Инциденты. Контейнеры, которые включают коллекции связанных оповещений и рассказывают полную историю атаки. Оповещения в одном инциденте могут поступать из всех решений майкрософт по обеспечению безопасности и соответствия требованиям, а также из огромного количества внешних решений, собранных с помощью Microsoft Sentinel и Microsoft Defender для облака.
Инциденты для корреляции и исследования
Хотя вы можете исследовать и устранять угрозы, которые представляют вам отдельные оповещения, сами по себе эти угрозы являются изолированными случаями, которые ничего не сообщают о более широкой и сложной истории атак. Вы можете искать, исследовать, исследовать и сопоставлять группы оповещений, которые входят в одну историю атаки, но это потребует много времени, усилий и энергии.
Вместо этого подсистемы корреляции и алгоритмы на портале Microsoft Defender автоматически объединяют и сопоставляют связанные оповещения, чтобы сформировать инциденты, представляющие эти более крупные истории атак. Defender определяет несколько сигналов, относящихся к одной и той же истории атак, используя ИИ для постоянного мониторинга источников телеметрии и добавления дополнительных доказательств для уже открытых инцидентов. Инциденты содержат все оповещения, которые считаются связанными друг с другом и общей историей атаки, и представляют эту историю в различных формах:
- Временные шкалы оповещений и необработанных событий, на которых они основаны
- Список использованных тактик
- Списки всех задействованных и затронутых пользователей, устройств и других ресурсов
- Визуальное представление того, как взаимодействуют все игроки в истории
- Журналы автоматических процессов исследования и реагирования, которые Defender XDR инициированы и завершены
- Коллекции доказательств, подтверждающих историю атаки: учетные записи пользователей злоумышленников, сведения об устройстве и адрес, вредоносные файлы и процессы, соответствующая аналитика угроз и т. д.
- Текстовая сводка по истории атаки
Инциденты также предоставляют платформу для управления и документирования расследований и реагирования на угрозы. Дополнительные сведения о функциях инцидентов в этой связи см. в статье Управление инцидентами в Microsoft Defender.
Источники оповещений и обнаружение угроз
Оповещения на портале Microsoft Defender поступают из многих источников. Эти источники включают множество служб, входящих в состав Microsoft Defender XDR, а также другие службы с разной степенью интеграции с порталом Microsoft Defender.
Например, при подключении Microsoft Sentinel к порталу Microsoft Defender подсистема корреляции на портале Defender имеет доступ ко всем необработанным данным, принятым Microsoft Sentinel, которые можно найти в таблицах Расширенной охоты Defender.
Microsoft Defender XDR также создает оповещения. уникальные возможности корреляции Defender XDR обеспечивают еще один уровень анализа данных и обнаружения угроз для всех решений, не относящихся к корпорации Майкрософт, в вашей цифровой недвижимости. Эти обнаружения создают Defender XDR оповещения в дополнение к оповещениям, которые уже предоставляются правилами аналитики Microsoft Sentinel.
В каждом из этих источников существует один или несколько механизмов обнаружения угроз, которые создают оповещения на основе правил, определенных в каждом механизме.
Например, Microsoft Sentinel имеет по крайней мере четыре различных подсистемы, которые создают различные типы оповещений, каждый из которых имеет свои собственные правила.
Средства и методы для исследования и реагирования
Портал Microsoft Defender включает средства и методы для автоматизации или иным образом помочь в рассмотрении, расследовании и разрешении инцидентов. Эти средства представлены в следующей таблице:
| Инструмент или метод | Описание |
|---|---|
| Управление инцидентами и их расследование | Убедитесь, что вы расставляете приоритеты для инцидентов в соответствии с серьезностью, а затем проработайте их для расследования. Используйте расширенную охоту для поиска угроз и опережайте новые угрозы с помощью аналитики угроз. |
| Автоматическое исследование и разрешение оповещений | Если это включено, Microsoft Defender XDR может автоматически исследовать и разрешать оповещения из источников Идентификаторов Microsoft 365 и Entra с помощью автоматизации и искусственного интеллекта. |
| Настройка действий автоматического прерывания атаки | Используйте сигналы высокой достоверности, полученные от Microsoft Defender XDR и Microsoft Sentinel, чтобы автоматически прерывать активные атаки на скорости компьютера, сдерживать угрозу и ограничивать влияние. |
| Настройка правил автоматизации Microsoft Sentinel | Используйте правила автоматизации для автоматизации рассмотрения инцидентов, их назначения и управления ими независимо от их источника. Повысьте эффективность команды, настроив правила для применения тегов к инцидентам на основе их содержимого, подавления шумных (ложноположительных) инцидентов и закрытия разрешенных инцидентов, соответствующих соответствующим критериям, указав причину и добавив комментарии. |
| Упреждающая охота с помощью расширенной охоты | Используйте язык запросов Kusto (KQL) для упреждающей проверки событий в сети, запрашивая журналы, собранные на портале Defender. Расширенная охота поддерживает интерактивный режим для пользователей, ищущих удобство построителя запросов. |
| Использование ИИ с помощью Microsoft Copilot для обеспечения безопасности | Добавьте ИИ для поддержки аналитиков со сложными и трудоемкими ежедневными рабочими процессами. Например, Microsoft Copilot для безопасности может помочь в комплексном расследовании инцидентов и реагировании на нее, предоставляя четко описанные истории атак, пошаговые инструкции по исправлению и сводные отчеты об инцидентах, поиск на естественном языке KQL и анализ кода экспертов, оптимизируя эффективность SOC в данных из всех источников. Эта возможность является дополнением к другим функциям на основе ИИ, которые Microsoft Sentinel предоставляет на унифицированной платформе, в областях аналитики поведения пользователей и сущностей, обнаружения аномалий, многоэтапного обнаружения угроз и многого другого. |
Совет
В течение января и июля каждого года в течение ограниченного времени отображается серия карточек Defender Boxed, демонстрирующих успехи в области безопасности, улучшения и действия по реагированию в вашей организации за последние шесть месяцев в год. Узнайте, как поделиться основными выделениями Defender Boxed .
Связанные элементы
Дополнительные сведения о корреляции оповещений и объединении инцидентов на портале Defender см. в статье Оповещения, инциденты и корреляция в Microsoft Defender XDR