Svara på en incident med hjälp av Microsoft Sentinel i Azure-portalen med Microsoft Defender XDR
Den här artikeln beskriver hur du löser säkerhetsincidenter med Hjälp av Microsoft Sentinel i Azure-portalen och Microsoft Defender XDR. Lär dig stegvisa riktlinjer om sortering, undersökning och lösning för att säkerställa snabba incidenthanteringar.
- Uppdateringar av livscykeln (status, ägare, klassificering) delas mellan produkterna.
- Bevis som samlats in under en undersökning visas i Microsoft Sentinel-incidenten.
Mer information om integrering av Microsoft Defender med Microsoft Sentinel finns i Microsoft Defender XDR-integrering med Microsoft Sentinel. Den här interaktiva guiden vägleder dig genom att identifiera och svara på moderna attacker med Microsofts funktioner för enhetlig säkerhetsinformation och händelsehantering (SIEM) och utökad identifiering och svar (XDR).
Incidenthantering
Börja sortera i Azure-portalen med Microsoft Sentinel för att granska incidentinformationen och vidta omedelbara åtgärder. På sidan Incidenter letar du upp den misstänkta incidenten och uppdaterar information som ägarens namn, status och allvarlighetsgrad eller lägger till kommentarer. Fördjupa dig i ytterligare information för att fortsätta din undersökning.
Mer information finns i Navigera, sortera och hantera Microsoft Sentinel-incidenter i Azure-portalen
Incidentutredning
Använd Azure-portalen som ditt primära incidenthanteringsverktyg och växla sedan till Defender-portalen för mer detaljerad undersökning.
Till exempel:
| Portal | Uppgifter |
|---|---|
| I Azure-portalen | Använd Microsoft Sentinel i Azure-portalen för att korrelera incidenten med dina säkerhetsprocesser, principer och procedurer (3P). På sidan incidentinformation väljer du Undersök i Microsoft Defender XDR- för att öppna samma incident i Defender-portalen. |
| i Defender-portalen | Undersök information som incidentomfång, tidslinjer för tillgångar och väntande åtgärder för självläkande. Du kan också behöva åtgärda entiteter manuellt, svara i realtid och lägga till förebyggande åtgärder. På sidan med incidentinformationens Attackhistorik flik: – Visa incidentens attackhistoria för att förstå dess omfattning, allvarlighetsgrad, identifieringskälla och vilka entiteter som påverkas. – Analysera incidentens aviseringar för att förstå deras ursprung, omfattning och allvarlighetsgrad med aviseringshistoriken inom incidenten. – Samla in information om berörda enheter, användare och postlådor med diagrammet efter behov. Välj en entitet för att öppna ett kontextfönster med all information. – Se hur Microsoft Defender XDR automatiskt har löst vissa aviseringar med fliken Undersökningar. – Använd vid behov information i datauppsättningen för incidenten från fliken Bevis och svar. |
| I Azure-portalen | Gå tillbaka till Azure-portalen för att utföra extra incidentåtgärder, till exempel: – Utföra automatiserade 3P-undersöknings- och reparationsåtgärder – Skapa handböcker för anpassad säkerhetsorkestrering, automatisering och respons (SOAR) – Registrera bevis för incidenthantering, till exempel kommentarer för att registrera dina åtgärder och resultatet av din analys. – Lägga till anpassade mått. |
Mer information finns i:
- Undersöka Microsoft Sentinel-incidenter på djupet i Azure-portalen
- Hantera incidenter i Microsoft Defender
Automatisering med Microsoft Sentinel
Använd spelboks- och automatiseringsregelfunktionen i Microsoft Sentinel:
En spelbok är en samling undersöknings- och reparationsåtgärder som du kör från Microsoft Sentinel-portalen som en rutin. Spelböcker hjälper dig att automatisera och orkestrera ditt hotsvar. De körs manuellt på incidenter, entiteter eller aviseringar eller automatiskt när de utlöses av en automatiseringsregel. Mer information finns i Automatisera hotsvar med spelböcker.
Automation-regler kan du centralt hantera automatisering i Microsoft Sentinel genom att definiera och samordna en liten uppsättning regler som gäller i olika scenarier. Mer information finns i Automatisera hotsvar i Microsoft Sentinel med automatiseringsregler.
Incidentlösning
När undersökningen är avslutad och du har åtgärdat incidenten i portalerna löser du den. Mer information finns i Stänga en incident i Azure-portalen.
Rapportera incidenten till din incidenthanteringsledning för potentiella uppföljningsåtgärder. Till exempel:
- Informera säkerhetsanalytiker på nivå 1 för att bättre identifiera attacken tidigt.
- Utforska attacken i Microsoft Defender XDR Threat Analytics och säkerhetscommunityn för en trend för säkerhetsattacker.
- Registrera arbetsflödet som används för att lösa incidenten och uppdatera dina standardarbetsflöden, processer, principer och spelböcker.
- Ta reda på om det behövs ändringar i säkerhetskonfigurationen och implementera dem.
- Skapa en spelbok för orkestrering för att automatisera ditt hotsvar för liknande risker. Mer information finns i Automatisera hotsvar med spelböcker i Microsoft Sentinel.
Relaterat innehåll
Mer information finns i:
- Microsoft Defender XDR-integrering med Microsoft Sentinel
- en interaktiv guide över enhetliga SIEM- och XDR-funktioner
- Microsoft Defender XDR Threat Analytics