Dela via


Undersöka Säkerhetsaviseringar för Defender för identiteter i Microsoft Defender XDR

Kommentar

Defender for Identity är inte utformat för att fungera som en gransknings- eller loggningslösning som samlar in varje enskild åtgärd eller aktivitet på servrarna där sensorn är installerad. Den samlar bara in de data som krävs för dess identifierings- och rekommendationsmekanismer.

Den här artikeln beskriver grunderna i hur du arbetar med Säkerhetsaviseringar för Microsoft Defender för identiteter i Microsoft Defender XDR.

Defender for Identity-aviseringar är inbyggt integrerade i Microsoft Defender XDR med ett dedikerat sidformat för identitetsaviseringar.

Sidan Identitetsavisering ger Microsoft Defender för identitetskunder bättre signalberikning mellan domäner och nya funktioner för automatiserad identitetshantering. Det säkerställer att du håller dig säker och hjälper till att förbättra effektiviteten i dina säkerhetsåtgärder.

En av fördelarna med att undersöka aviseringar via Microsoft Defender XDR är att Microsoft Defender för identitetsaviseringar är ytterligare korrelerade med information som hämtas från var och en av de andra produkterna i sviten. Dessa förbättrade aviseringar överensstämmer med de andra Microsoft Defender XDR-aviseringsformaten som kommer från Microsoft Defender för Office 365 och Microsoft Defender för Endpoint. Den nya sidan eliminerar effektivt behovet av att gå till en annan produktportal för att undersöka aviseringar som är associerade med identitet.

Aviseringar från Defender for Identity kan nu utlösa funktionerna för automatisk undersökning och svar (AIR) i Microsoft Defender XDR, inklusive automatisk reparation av aviseringar och minskning av verktyg och processer som kan bidra till den misstänkta aktiviteten.

Viktigt!

Som en del av konvergensen med Microsoft Defender XDR har vissa alternativ och information ändrats från deras plats i Defender för identitetsportalen. Läs informationen nedan för att se var du hittar både de välbekanta och nya funktionerna.

Granska säkerhetsaviseringar

Aviseringar kan nås från flera platser, inklusive sidan Aviseringar , sidan Incidenter , sidorna för enskilda enheter och från sidan Avancerad jakt . I det här exemplet granskar vi sidan Aviseringar.

I Microsoft Defender XDR går du till Incidenter och aviseringar och sedan till Aviseringar.

Menyalternativet Aviseringar

Om du vill se aviseringar från Defender för identitet väljer du Filter längst upp till höger och under Tjänstkällor väljer du Microsoft Defender för identitet och väljer Tillämpa:

Filtret för Defender for Identity-händelser

Aviseringarna visas med information i följande kolumner: Aviseringsnamn, Taggar, Allvarlighetsgrad, Undersökningstillstånd, Status, Kategori, Identifieringskälla, Påverkade tillgångar, Första aktiviteten och Senaste aktivitet.

Defender för identitetshändelser

Kategorier för säkerhetsaviseringar

Säkerhetsaviseringar för Defender for Identity är indelade i följande kategorier eller faser, som faserna som visas i en typisk kedja för cyberattacker.

Hantera aviseringar

Om du väljer aviseringsnamnet för en av aviseringarna går du till sidan med information om aviseringen. I den vänstra rutan visas en sammanfattning av vad som hände:

Fönstret Vad hände

Ovanför rutan Vad hände finns knappar för aviseringens konton, målvärd och källvärd . För andra aviseringar kan du se knappar för mer information om ytterligare värdar, konton, IP-adresser, domäner och säkerhetsgrupper. Välj någon av dem för att få mer information om de entiteter som berörs.

I den högra rutan visas aviseringsinformationen. Här kan du se mer information och utföra flera uppgifter:

  • Klassificera den här aviseringen – Här kan du ange den här aviseringen som en sann avisering eller falsk avisering

    Sidan där du kan klassificera en avisering

  • Aviseringstillstånd – I Ange klassificering kan du klassificera aviseringen som Sant eller Falskt. I Tilldelad till kan du tilldela aviseringen till dig själv eller avtilldela den.

    Fönstret Aviseringstillstånd

  • Aviseringsinformation – Under Aviseringsinformation kan du hitta mer information om den specifika aviseringen, följa en länk till dokumentationen om typen av avisering, se vilken incident aviseringen är associerad med, granska eventuella automatiserade undersökningar som är kopplade till den här aviseringstypen och se vilka enheter och användare som påverkas.

    Sidan Aviseringsinformation

  • Kommentarer och historik – Här kan du lägga till dina kommentarer i aviseringen och se historiken för alla åtgärder som är associerade med aviseringen.

    Sidan Kommentarer och historik

  • Hantera avisering – Om du väljer Hantera avisering går du till ett fönster där du kan redigera:

    • Status – Du kan välja Ny, Löst eller Pågår.

    • Klassificering – Du kan välja Sann avisering eller Falsk avisering.

    • Kommentar – Du kan lägga till en kommentar om aviseringen.

    • Om du väljer de tre punkterna bredvid Hantera avisering kan du länka avisering till en annan incident, Skapa undertryckningsregel (endast tillgänglig för förhandsversionskunder) eller Fråga Defender-experter.

      Alternativet Hantera avisering

      Du kan också exportera aviseringen till en Excel-fil. Det gör du genom att välja Exportera.

      Kommentar

      I Excel-filen har du nu två länkar: Visa i Microsoft Defender för identitet och vy i Microsoft Defender XDR. Varje länk tar dig till relevant portal och ger information om aviseringen där.

Justera aviseringar

Justera aviseringarna för att justera och optimera dem, vilket minskar falska positiva identifieringar. Med aviseringsjustering kan dina SOC-team fokusera på aviseringar med hög prioritet och förbättra täckningen för hotidentifiering i hela systemet. I Microsoft Defender XDR skapar du regelvillkor baserat på bevistyper och tillämpar sedan din regel på alla regeltyper som matchar dina villkor.

Mer information finns i Justera en avisering.

Se även

Läs mer