响应 Microsoft Defender XDR 中的第一个事件
适用于:
- Microsoft Defender XDR
本指南列出了Microsoft资源,供新Microsoft Defender XDR用户在使用门户时自信地执行日常事件响应任务。 使用本指南的预期结果是:
- 你将快速了解如何使用Microsoft Defender XDR来响应事件和警报。
- 你将通过视频和教程发现门户的功能,以帮助事件调查和修正。
Microsoft Defender XDR使你能够查看所有资产 (设备、标识、邮箱、云应用等) 的相关威胁事件。 该门户将来自 Defender 防护套件、Microsoft Sentinel和其他集成安全信息和事件管理 (SIEM) 解决方案的信号合并在一起。 在单个管理窗格中将相关攻击信息与完整上下文相关联,使你能够成功防御和保护组织。
本指南包含三个main部分:
了解事件
事件是创建的进程、命令和操作的链,这些进程和操作可能不一致。 事件提供可疑或恶意活动的整体情况和上下文。 单个事件提供攻击的完整上下文,而不是会审来自多个服务的数百个警报。
Microsoft Defender XDR有许多可用于响应事件的功能。 可以通过在主页上选择“活动事件”卡中的所有事件,或通过左侧导航窗格中的“事件 & 警报”来导航事件。
。Microsoft Defender XDR主页上的活动事件卡
每个事件都包含来自不同检测源的自动关联警报,并且可能涉及各种终结点、标识或云应用。
事件会审
事件优先级因响应者、安全团队和组织而异。 事件响应计划 和安全团队的方向可以强制确定事件优先级。
Microsoft Defender XDR具有各种指标,例如事件严重性、用户类型或威胁类型,用于对事件进行会审和确定事件优先级。 可以使用这些指示器的任意组合,这些指示器随时可通过 事件队列 筛选器获得。
确定事件优先级的一个示例是合并事件的以下因素:
- 事件具有较高的严重性。
- 自动化调查状态失败。
- 有 5 种受影响的资产,其中两个资产使用高度机密的数据敏感度进行标记。
- 事件状态是新的。
- 事件未分配给任何团队成员进行调查。
可以使用上述信息为事件分配高优先级。 确定优先级后,可以开始事件调查。
注意
Microsoft Defender XDR自动确定严重性、调查状态、受影响的资产和事件状态等筛选器。 此信息基于组织的网络活动,该活动以威胁情报源和应用的自动修正操作为背景。
管理事件
可以通过在事件和警报中提供重要信息来提升事件 管理 效率。 在对每个事件进行会审和分析时向以下筛选器添加信息时,可为该事件提供其他响应者可以利用的进一步上下文:
- 对事件和警报进行分类
- 命名事件
- 添加标记
- 提供注释
通过此视频了解如何对事件和警报进行分类:
后续步骤
另请参阅
提示
想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区。