Исследование инцидентов

  • 4 мин

На странице инцидента содержатся следующие сведения и ссылки для перехода.

Обзор инцидентов

На странице обзора можно быстро просмотреть наиболее важную информацию об инциденте.

Screenshot of the Incident overview pane.

Категории атак предоставляют визуальное и числовое представление того, насколько далеко зашла последовательность атаки. Как и в других продуктах безопасности Майкрософт, XDR в Microsoft Defender соответствует платформе MITRE ATT&CK™.

В разделе области содержится список наиболее затронутых этим инцидентом активов. Если имеются конкретные сведения об этом ресурсе, такие как уровень риска, приоритет исследования и любые теги в ресурсах, они также появятся в этом разделе.

Временная шкала оповещений предоставляет краткий обзор хронологического порядка возникновения оповещений и причин, по которым эти оповещения связаны с этим инцидентом.

Наконец, раздел улик представляет сводку по количеству различных артефактов, вовлеченных в инцидент, и их состоянию исправления, позволяя немедленно выяснить, какие действия необходимы с вашей стороны.

Этот обзор может помочь в первоначальном рассмотрении инцидента, предоставляя полезные сведения о главных характеристиках инцидента, о которых следует знать.

видны узлы

Вы можете просмотреть все оповещения, связанные с инцидентом, и сведения о них, такие как серьезность, сущности, включенные в оповещение, источник оповещений (Microsoft Defender для удостоверений, Microsoft Defender для конечной точки, Microsoft Defender для Office 365) и причина, по которой они были связаны вместе.

По умолчанию оповещения упорядочиваются в хронологическом порядке, что позволяет сперва увидеть, как атака выполнялась по времени. Если щелкнуть оповещение, откроется соответствующая страница оповещения, где можно выполнить подробное исследование этого оповещения.

.

На вкладке устройств перечислены все устройства, где отображаются оповещения, связанные с инцидентом.

Щелчок по ссылке на имени компьютера, с которого выполнялась атака, переводит вас на страницу "Устройства". На странице "Устройства" вы увидите созданные оповещения и связанные с ними события, что поможет упростить расследование.

Пользователи

Ознакомьтесь с пользователями, которые были идентифицированы как часть данного инцидента или связаны с ним.

Если щелкнуть имя пользователя, откроется страница Microsoft Defender для облачных приложений пользователя, где можно выполнить дальнейшее исследование.

Почтовые ящики

Исследуйте почтовые ящики, которые были идентифицированы как часть данного инцидента или связаны с ним.

Приложения

Исследуйте приложения, которые были идентифицированы как часть данного инцидента или связаны с ним.

Исследования

Выберите «Исследования», чтобы просмотреть все автоматические исследования, активируемые оповещениями в этом инциденте. Исследование выполнит действия по исправлению или будет ожидать утверждения действий аналитиком.

Выберите исследование, чтобы перейти к странице сведений об исследовании для получения полной информации о состоянии исследования и исправления. Если какие бы то ни было действия ожидают утверждения в ходе исследования, они будут отображаться на вкладке "Ожидающие действия".

Доказательства и ответы

XDR в Microsoft Defender автоматически исследует все поддерживаемые инциденты события и подозрительные сущности в оповещениях, предоставляя автоматические ответы и сведения о важных файлах, процессах, службах, сообщениях электронной почты и т. д. Это помогает быстро обнаруживать и блокировать потенциальные угрозы инцидента.

Каждая из проанализированных сущностей будет помечена вердиктом (Вредоносная, Подозрительная, Чистая) и состоянием исправления. Это поможет понять состояние исправления всего инцидента и дальнейшие действия по исправлению.

График

На этом графике визуализируются сведения об угрозах, имеющие отношение к инциденту, чтобы вы могли понять закономерности и взаимосвязи различных точек данных. Такую корреляцию можно просмотреть с помощью графа инцидента.

Граф позволяет понять историю кибератаки. Например, в нем указываются точка входа, обнаруженный индикатор компрометации или действия, устройство и т. д.

Можно выбрать круги на графе инцидента, чтобы просмотреть сведения о вредоносных файлах, связанных определениях файлов, данные о количестве экземпляров, которые существовали во всем мире, наблюдались ли они в вашей организации, если да, то сколько экземпляров.