Undersöka säkerhetsaviseringar för Defender för identiteter i Microsoft Defender XDR

Obs!

Defender for Identity är inte utformat för att fungera som en gransknings- eller loggningslösning som samlar in varje enskild åtgärd eller aktivitet på de servrar där sensorn är installerad. Den samlar bara in de data som krävs för dess identifierings- och rekommendationsmekanismer.

Den här artikeln beskriver grunderna i hur du arbetar med Microsoft Defender for Identity säkerhetsaviseringar i Microsoft Defender XDR.

Defender for Identity-aviseringar är inbyggda i Microsoft Defender XDR med ett dedikerat sidformat för identitetsaviseringar.

Sidan Identitetsavisering ger Microsoft Defender for Identity kunder bättre signalberikning mellan domäner och nya automatiserade funktioner för identitetssvar. Det säkerställer att du håller dig säker och hjälper till att förbättra effektiviteten i dina säkerhetsåtgärder.

En av fördelarna med att undersöka aviseringar via Microsoft Defender XDR är att Microsoft Defender for Identity aviseringar är ytterligare korrelerade med information som erhållits från var och en av de andra produkterna i sviten. Dessa förbättrade aviseringar överensstämmer med de andra Microsoft Defender XDR aviseringsformaten från Microsoft Defender för Office 365 och Microsoft Defender för Endpoint. Den nya sidan eliminerar effektivt behovet av att navigera till en annan produktportal för att undersöka aviseringar som är associerade med identitet.

Aviseringar från Defender for Identity kan nu utlösa Microsoft Defender XDR funktioner för automatiserad undersökning och svar (AIR), inklusive automatisk reparation av aviseringar och minskning av verktyg och processer som kan bidra till den misstänkta aktiviteten.

Viktigt

Som en del av konvergensen med Microsoft Defender XDR har vissa alternativ och information ändrats från deras plats i Defender för identitetsportalen. Läs informationen nedan för att se var du hittar både de välbekanta och nya funktionerna.

Granska säkerhetsaviseringar

Aviseringar kan nås från flera platser, inklusive sidan Aviseringar , sidan Incidenter , sidorna för enskilda enheter och från sidan Avancerad jakt . I det här exemplet granskar vi sidan Aviseringar.

I Microsoft Defender XDR går du till Incidenter & aviseringar och sedan till Aviseringar.

Om du vill se aviseringar från Defender för identitet väljer du Filter längst upp till höger. Under Tjänstkällor väljer du sedan Microsoft Defender for Identity och väljer Tillämpa:

Aviseringarna visas med information i följande kolumner: Aviseringsnamn, Taggar, Allvarlighetsgrad, Undersökningstillstånd, Status, Kategori, Identifieringskälla, Påverkade tillgångar, Första aktiviteten och Senaste aktivitet.

Kategorier för säkerhetsaviseringar

Säkerhetsaviseringar för Defender for Identity är indelade i följande kategorier eller faser, till exempel faserna som visas i en typisk kedja för cyberattacker.

• Rekognoseringsaviseringar
• Aviseringar om komprometterade autentiseringsuppgifter
• Laterala förflyttningsaviseringar
• Aviseringar om domändominans
• Exfiltreringsaviseringar

Hantera varningar

Om du väljer aviseringsnamnet för någon av aviseringarna går du till sidan med information om aviseringen. I den vänstra rutan visas en sammanfattning av Vad som hände:

Ovanför rutan Vad som hände finns knappar för aviseringens konton, målvärd och källvärd . För andra aviseringar kan du se knappar för information om ytterligare värdar, konton, IP-adresser, domäner och säkerhetsgrupper. Välj någon av dem för att få mer information om de entiteter som berörs.

I den högra rutan visas aviseringsinformationen. Här kan du se mer information och utföra flera uppgifter:

• Klassificera den här aviseringen – Här kan du ange den här aviseringen som en true-avisering eller falsk avisering

  

• Aviseringstillstånd – I Ange klassificering kan du klassificera aviseringen som Sant eller Falskt. I Tilldelad till kan du tilldela aviseringen till dig själv eller ta bort tilldelningen.

  

• Aviseringsinformation – Under Aviseringsinformation hittar du mer information om den specifika aviseringen, följer en länk till dokumentationen om typen av avisering, se vilken incident aviseringen är associerad med, granska eventuella automatiserade undersökningar som är kopplade till den här aviseringstypen och se de berörda enheterna och användarna.

  

• Kommentarer & historik – Här kan du lägga till dina kommentarer i aviseringen och se historiken för alla åtgärder som är associerade med aviseringen.

  

• Hantera avisering – Om du väljer Hantera avisering går du till ett fönster där du kan redigera:

  • Status – Du kan välja Ny, Löst eller Pågår.

  • Klassificering – Du kan välja Sann avisering eller Falsk avisering.

  • Kommentar – Du kan lägga till en kommentar om aviseringen.

  • Om du väljer de tre punkterna bredvid Hantera avisering kan du Länka avisering till en annan incident, Skapa undertryckningsregel (endast tillgänglig för förhandsversionskunder) eller Fråga Defender-experter.

    

    Du kan också exportera aviseringen till en Excel-fil. Det gör du genom att välja Exportera.

    Obs!

    I Excel-filen har du nu två tillgängliga länkar: Visa i Microsoft Defender for Identity och Visa i Microsoft Defender XDR. Varje länk tar dig till relevant portal och ger information om aviseringen där.

Justera aviseringar

Justera aviseringarna för att justera och optimera dem, vilket minskar falska positiva identifieringar. Med aviseringsjustering kan soc-teamen fokusera på aviseringar med hög prioritet och förbättra täckningen för hotidentifiering i hela systemet. I Microsoft Defender XDR skapar du regelvillkor baserat på bevistyper och tillämpar sedan regeln på alla regeltyper som matchar dina villkor.

Mer information finns i Justera en avisering.

Se även

• Microsoft Defender for Identity säkerhetsaviseringar

Mer information

• Prova vår interaktiva guide: Identifiera misstänkta aktiviteter och potentiella attacker med Microsoft Defender for Identity