使用 Defender 门户响应事件
本文介绍如何在 Defender 门户中使用 Microsoft Sentinel 响应事件,涵盖分类处理、调查和解决。
先决条件
在 Defender 门户中调查事件:
- 用于 Microsoft Sentinel 的日志分析工作区必须接入到 Defender 门户。 有关详细信息,请参阅 将Microsoft Sentinel 连接到 Microsoft Defender 门户。
事件响应过程
在 Defender 门户中工作时,请像平时一样执行初步分析、问题解决和后续步骤。 调查时,请确保:
- 通过查看资产时间线了解事件及其范围。
- 查看自我修复的挂起操作,手动修复实体并执行实时响应。
- 添加预防措施。
Defender 门户中新增的 Microsoft Sentinel 区域可帮助你深入调查,包括:
- 通过将事件范围与安全流程、策略和过程(3P)相关联来了解事件的范围。
- 进行 3P 自动化调查和补救措施,并创建自定义安全编排、自动化和响应 (SOAR) 手册。
- 记录用于事件管理的证据。
- 添加自定义度量值。
有关详细信息,请参阅:
- 调查 Microsoft Defender XDR 中的事件
- 使用 Microsoft Defender XDR 进行事件响应
- Microsoft Sentinel 中的 实体页面
使用 Microsoft Sentinel 实现自动化
请确保利用 Microsoft Sentinel 的 playbook 和自动化规则功能。
剧本 是可以从 Microsoft Sentinel 门户例行运行的调查和修正操作的集合。 Playbook 可帮助自动执行和协调威胁响应。 可以在事件、实体和警报上手动按需运行,或者在自动化规则触发时设置为自动运行以响应特定警报或事件。 有关详细信息,请参阅 使用剧本自动化威胁响应。
自动化规则 是集中管理Microsoft Sentinel 中的自动化的方法,它允许你定义和协调一组可应用于不同方案的规则。 有关详细信息,请参阅 在 Microsoft Sentinel 中使用自动化规则自动化威胁响应。
将 Microsoft Sentinel 工作区加入到统一的安全作业平台后,请注意,自动化功能在工作区中的工作方式可能会有所不同。 有关详细信息,请参阅 自动化与统一的安全运营平台。
事件后响应
解决该事件后,请向事件响应负责人报告事件,以便可能进行后续行动以确定更多措施。 例如:
- 通知第 1 层安全分析师,以便提前更好地检测攻击。
- 研究Microsoft Defender XDR 威胁分析和安全社区中的攻击,以寻找安全攻击趋势。 有关详细信息,请参阅 Microsoft Defender XDR 中的威胁分析。
- 根据需要,记录用于解决事件的工作流,并更新标准工作流、流程、政策和计划。
- 确定是否需要安全配置中的更改并实现这些更改。
- 创建一个自动化和编排的手册,以便在将来应对类似风险时协调威胁响应。 有关详细信息,请参阅在 Microsoft Sentinel 中使用操作手册自动执行威胁响应。
相关内容
有关详细信息,请参阅: