使用Microsoft Defender XDR进行调查和响应
下面是Microsoft Defender XDR的主要调查和响应任务:
事件响应
Microsoft 365 服务和应用将在检测到可疑或恶意事件或活动时创建警报。 单个警报可提供有关已完成或持续攻击的有价值的线索。 但是,攻击通常对不同类型的实体(如设备、用户和邮箱)使用多种技术。 结果是租户中的多个实体将收到多个警报。 由于将各个警报拼凑在一起以深入了解攻击可能具有挑战性且非常耗时,因此Microsoft Defender XDR会自动将警报及其相关信息聚合到事件中。
需要持续确定事件队列中用于分析和解决的最高优先级事件,并做好响应准备。 此操作包括以下步骤:
- 通过筛选和排序事件队列来确定最高优先级事件。 这也称为会审。
- 通过修改事件标题、将其分配给分析师、添加标记和注释,并在解决后对其进行分类来管理事件。
对于每个事件,请使用事件响应工作流分析事件及其警报和数据,以遏制攻击、消除威胁、从攻击中恢复并从中学习。
自动调查和修复
如果组织正在使用 Microsoft Defender XDR,则每当检测到恶意或可疑活动或项目时,安全运营团队会在Microsoft Defender门户中收到警报。 考虑到威胁层出不穷,大量的警报通常让安全团队疲于应付。 幸运的是,Microsoft Defender XDR包括自动调查和响应 (AIR) 功能,可帮助安全运营团队更高效地应对威胁。
自动调查完成后,将对事件涉及的每个证据做出裁定。 再根据裁定结果确定修正操作。 在某些情况下,会自动执行修正操作;在其他情况下,修正操作等待Microsoft Defender XDR操作中心的批准。
有关详细信息,请参阅 Microsoft Defender XDR 中的自动调查和响应。
使用高级搜寻主动搜索威胁
在攻击发生时对攻击做出响应是不够的。 对于勒索软件等扩展的多阶段攻击,必须主动搜索正在进行攻击的证据,并在攻击完成之前采取措施将其阻止。
高级搜寻是Microsoft Defender XDR中基于查询的威胁搜寻工具,可让你浏览长达 30 天的原始数据。 你可以主动检查网络中的事件来找到威胁指示器和实体。
提示
可以使用 Microsoft XDR 流式处理 API 和 Microsoft Defender for Endpoint 流式处理 API 来延长 30 天的高级搜寻原始数据。
这种对Microsoft Defender XDR数据的灵活访问可以不受约束地搜寻已知威胁和潜在威胁。
可以使用相同的威胁搜寻查询来生成自定义检测规则。 这些规则自动运行以检查,然后响应可疑的违规活动、错误配置的计算机和其他发现。
有关详细信息,请参阅使用Microsoft Defender XDR中的高级搜寻主动搜寻威胁。
通过威胁分析提前应对新出现的威胁
威胁分析是Microsoft Defender XDR中的一种威胁情报功能,旨在帮助安全团队在面对新出现的威胁时尽可能高效。 它包括有关以下方面的详细分析和信息:
- 主动 威胁参与者 及其活动
- 热门和新的攻击技术
- 严重漏洞
- 常见攻击面
- 流行的恶意软件
威胁分析还包括有关每个已识别威胁Microsoft 365 租户中相关事件和受影响资产的信息。
每个识别到的威胁都包括一份分析报告,这是Microsoft处于网络安全检测和分析最前沿的安全研究人员撰写的威胁综合分析。 这些报告还可以提供有关攻击在Microsoft Defender XDR中的显示方式的信息。
有关详细信息,请参阅 Microsoft Defender XDR 中的威胁分析。
提示
想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区。