Управление инцидентами

  • 8 мин

XDR в Microsoft Defender предоставляет корреляцию угроз между доменами и на основе целевого портала для изучения угроз. Инциденты основываются на связанных оповещениях, созданных при обнаружении вредоносных событий или действий в сети. Отдельные оповещения предоставляют важную информацию о происходящих атаках. Однако атаки обычно используют набор различных векторов и методов для создания бреши. Сведение отдельных признаков в единое целое может быть трудным и трудоемким.

Это короткое видео содержит обзор инцидентов в XDR в Microsoft Defender.

Инцидент — это набор взаимосвязанных оповещений, благодаря которым можно отследить возникновение и развитие атаки. XDR в Microsoft Defender автоматически агрегирует вредоносные и подозрительные события, обнаруженные в разных устройствах, пользователях и почтовых ящиках в сети. Группирование связанных оповещений в инцидент обеспечивает исчерпывающее представление об атаке.

Например, ответственные за безопасность могут видеть, где началась атака, какие приемы использовались и насколько атака продвинулась по сети. Защитники безопасности также могут видеть область атаки. Например, число затронутых устройств, пользователей и почтовых ящиков, степень серьезности воздействия и другие сведения об затронутых сущностях.

Если этот параметр включен, XDR в Microsoft Defender может автоматически исследовать и разрешать отдельные оповещения с помощью автоматизации и искусственного интеллекта. Ответственные за безопасность также могут выполнять дополнительные действия по исправлению для нейтрализации атаки непосредственно через представление инцидентов.

Инциденты за последние 30 дней отображаются в очереди инцидентов. Там ответственные за безопасность могут видеть, каким инцидентам следует придать приоритет в зависимости от уровня риска и других факторов.

Кроме того, ответственные за безопасность могут переименовывать инциденты, назначать их отдельным аналитикам, классифицировать и добавлять теги в инциденты для более эффективного и индивидуализированного управления инцидентами.

Назначение приоритетов инцидентам

XDR в Microsoft Defender применяет аналитику корреляции и объединяет все связанные оповещения и исследования из разных продуктов в один инцидент. XDR в Microsoft Defender также активирует уникальные оповещения о действиях, которые могут быть идентифицированы как вредоносные, учитывая сквозную видимость, что XDR в Microsoft Defender имеет все имущество и набор продуктов. С помощью этого представления аналитик по безопасности может рассмотреть историю атаки в целом, что помогает лучше понимать комплексные угрозы для организации и справляться с ними.

В очереди инцидентов отображается коллекция помеченных инцидентов от разных устройств, пользователей и почтовых ящиков. Она помогает сортировать инциденты для определения приоритетов и принятия обоснованного решения о реакции кибербезопасности.

Снимок экрана очереди инцидентов XDR в Microsoft Defender.

По умолчанию очередь на портале Microsoft Defender отображает инциденты за последние 30 дней. Самый недавний инцидент находится в верхней части списка, чтобы вы могли увидеть его первым.

Очередь инцидентов предоставляет настраиваемые столбцы, которые позволяют видеть различные характеристики инцидента или содержащиеся сущности. Дополнительный уровень информации помогает принять обоснованное решение относительно приоритета обработки инцидентов.

Для более ясного представления с первого взгляда, автоматическое именование инцидентов создает имена инцидентов на основе атрибутов оповещений, таких как количество затронутых конечных точек, число затронутых пользователей, источники обнаружения или категории. Автоматическое именование позволяет быстро определить область инцидента.

Доступные фильтры

Состояние

Вы можете ограничить список отображаемых инцидентов в зависимости от их состояния, чтобы увидеть, какие из них активны или уже разрешены.

Уровень серьезности

Серьезность инцидента указывает на воздействие, которое он может оказать на ваши ресурсы. Чем выше уровень серьезности, тем больше это воздействие и тем чаще оно обычно требует немедленного внимания.

Назначение инцидентов

Можно выбрать отображение оповещений, назначенных вам или обрабатываемых автоматически.

Несколько источников служб

Выберите "Нет" (по умолчанию) или "Да", чтобы включить.

Службы-источники

Примените фильтр, чтобы просмотреть только инциденты с оповещениями из разных источников. Источниками могут являться Microsoft Defender для конечной точки, Microsoft Cloud App Security, Microsoft Defender для удостоверений, Microsoft Defender для Office 365.

Теги

Фильтрация по назначенным тегам. Все назначенные теги будут отображаться после выбора поля имени тега типа.

Несколько категорий

Можно выбрать отображение только инцидентов, которые соответствуют нескольким категориям и, таким образом, могут нанести больший ущерб.

Категории

Выберите категории, чтобы сосредоточиться на конкретных тактиках, методах или возможностях атак.

Сущности

Фильтрация по имени или идентификатору сущности.

Конфиденциальность данных

Некоторые атаки сосредоточены на извлечении конфиденциальных или ценных данных. Применение фильтра для определения того, затрагивает ли инцидент конфиденциальные данные, позволяет быстро определить, были ли скомпрометированы конфиденциальные данные. Если компрометация имела место, вы можете определить приоритет действий в ответ на эти инциденты. Возможность фильтрации применима только в том случае, если включена Защита информации Microsoft Purview.

Группа устройств

Фильтрация по определенным группам устройств.

Платформа ОС

Ограничьте представление очереди инцидентов по операционной системе.

Категория

Фильтрация инцидентов на основе заданной классификации связанных оповещений. Значения включают в себя истинные оповещения, ложные оповещения или «не задано».

Состояние автоматического исследования

Фильтрация инцидентов по состоянию автоматического исследования.

Связанная угроза

При выборе поля "Тип, связанный с угрозой ", вы сможете ввести сведения об угрозах и открыть предыдущие критерии поиска.

Изучение инцидентов

На страницах портала представлены сведения для просмотра большинства связанных со списком данных.

На этом снимке экрана выделены три области — это окружность, символ "больше" и ссылка.

Снимок экрана: возможности получения сведений об инцидентах.

Круг

При выборе окружности в правой части страницы откроется окно сведений с предварительным просмотром элемента строки и возможностью открыть всю страницу сведений.

Снимок экрана: окно подробных сведений об инцидентах.

Символ «больше»

При наличии связанных записей, которые можно отобразить, выбор символа «больше» отобразит записи под текущей записью.

Снимок экрана: записи связанных инцидентов.

Ссылка

Ссылка служит для перехода на полную страницу элемента строки.

Управление инцидентами

Управление инцидентами крайне важно для обнаружения и устранения угроз. В XDR в Microsoft Defender у вас есть доступ к управлению инцидентами на устройствах, пользователях и почтовых ящиках. Для управления инцидентом достаточно выбрать его из очереди инцидентов.

Инцидент можно переименовать, предоставить решение по нему, а затем задать для него классификацию и определение. Можно также назначить инцидент самому себе, добавить теги инцидентов и комментарии.

Если при расследовании вы хотите переместить оповещения из одного инцидента в другой, это можно сделать на вкладке "Оповещения". Эта вкладка создает более крупный или мелкий инцидент, который включает все соответствующие предупреждения.

Редактирование имени инцидента

Инцидентам автоматически назначается имя на основе атрибутов оповещения, таких как количество затронутых конечных точек, затронутые пользователи, источники обнаружения или категории. Именование на основе атрибутов оповещений позволяет быстро понять область инцидента. Имя инцидента можно изменить, чтобы лучше согласовать его с предпочтительным соглашением об именовании.

Назначение инцидентов

Если инцидент еще не назначен, можно выбрать команду "Назначить мне", чтобы назначить этот инцидент самому себе. Это подразумевает владение не только инцидентом, но и всеми связанными с ним оповещениями.

Задание состояния и классификации

Состояние инцидента

Инциденты можно упорядочивать (как Активные или Разрешенные) путем изменения их состояния во время исследований. Возможность изменять статус помогает организовать порядок реагирования вашей команды на инциденты и управление таким реагированием.

Например, аналитик центра информационной безопасности может просматривать срочные "Активные инциденты" за день и принимать решение о назначении их себе для изучения.

Как вариант, аналитик может установить инцидент как «Разрешенный», если по поводу инцидента были приняты меры. Разрешение инцидента автоматически закрывает все открытые оповещения, которые являются частью этого инцидента.

Классификация и определение

Вы можете не задавать классификацию или определять, является ли инцидент истинным или ложным оповещением. Это помогает команде видеть закономерности и работать, отталкиваясь от них.

Добавление комментариев

Вы можете добавлять комментарии и просматривать исторические события, связанные с инцидентом, чтобы увидеть предыдущие изменения, внесенные в него.

Если в оповещение вносится изменение или добавляется комментарий, соответствующая запись появляется в разделе "Комментарии и журнал".

Добавленные комментарии мгновенно отображаются на панели.

Добавить теги инцидента

К инциденту можно добавить пользовательские теги, например чтобы пометить группу инцидентов общими характеристиками. Позже можно будет отфильтровать очередь инцидентов для всех инцидентов, содержащих конкретный тег.