响应 Microsoft Defender XDR 中的第一个事件

适用于:

  • Microsoft Defender XDR

本指南列出了Microsoft资源,供新Microsoft Defender XDR用户在使用门户时自信地执行日常事件响应任务。 使用本指南的预期结果是:

  • 你将快速了解如何使用Microsoft Defender XDR来响应事件和警报。
  • 你将通过视频和教程发现门户的功能,以帮助事件调查和修正。

Microsoft Defender XDR使你能够查看所有资产 (设备、标识、邮箱、云应用等) 的相关威胁事件。 该门户将来自 Defender 防护套件Microsoft Sentinel和其他集成安全信息和事件管理 (SIEM) 解决方案的信号合并在一起。 在单个管理窗格中将相关攻击信息与完整上下文相关联,使你能够成功防御和保护组织。

本指南包含三个main部分:

  • 了解事件:在门户中访问、会审和管理事件
  • 分析攻击:有关如何使用门户功能调查特定攻击的视频和教程的集合。
  • 修正攻击:列出门户中可用于修正威胁的自动和手动操作。 本部分包含视频和教程的链接。

了解事件

事件是创建的进程、命令和操作的链,这些进程和操作可能不一致。 事件提供可疑或恶意活动的整体情况和上下文。 单个事件提供攻击的完整上下文,而不是会审来自多个服务的数百个警报。

Microsoft Defender XDR有许多可用于响应事件的功能。 可以通过在主页上选择“活动事件”卡中的所有事件,或通过左侧导航窗格中的“事件 & 警报”来导航事件。

查看Microsoft Defender XDR主页图 1 中显示的所有事件 。Microsoft Defender XDR主页上的活动事件卡

Microsoft Defender XDR图 2 中的事件队列 。事件队列

每个事件都包含来自不同检测源的自动关联警报,并且可能涉及各种终结点、标识或云应用。

事件会审

事件优先级因响应者、安全团队和组织而异。 事件响应计划 和安全团队的方向可以强制确定事件优先级。

Microsoft Defender XDR具有各种指标,例如事件严重性、用户类型或威胁类型,用于对事件进行会审和确定事件优先级。 可以使用这些指示器的任意组合,这些指示器随时可通过 事件队列 筛选器获得。

确定事件优先级的一个示例是合并事件的以下因素:

  • 事件具有较高的严重性。
  • 自动化调查状态失败。
  • 有 5 种受影响的资产,其中两个资产使用高度机密的数据敏感度进行标记。
  • 事件状态是新的。
  • 事件未分配给任何团队成员进行调查。

可以使用上述信息为事件分配高优先级。 确定优先级后,可以开始事件调查。

注意

Microsoft Defender XDR自动确定严重性、调查状态、受影响的资产和事件状态等筛选器。 此信息基于组织的网络活动,该活动以威胁情报源和应用的自动修正操作为背景。

管理事件

可以通过在事件和警报中提供重要信息来提升事件 管理 效率。 在对每个事件进行会审和分析时向以下筛选器添加信息时,可为该事件提供其他响应者可以利用的进一步上下文:

通过此视频了解如何对事件和警报进行分类:

后续步骤

另请参阅

提示

想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区