管理和调查警报

  • 10 分钟

管理和调查警报

可以通过在“警报”队列中选择警报,或在单个设备的“设备”页的“警报”选项卡中选择警报来管理警报。 选择任意位置中的警报可打开警报管理窗格。

Screenshot of the Microsoft Defender XDR Alerts Queue page.

警报管理

你可以查看和设置有关“警报预览”或“警报详细信息”页的元数据。

Screenshot of the Microsoft Defender XDR Alert details page.

元数据字段和操作包括:

严重性

  • 高(红色)- 与高级持久威胁 (APT) 相关联的常见警报。 这些警报表明有高风险,因为它们可能对设备造成严重损害。 一些示例包括凭据盗窃工具活动、不与任何组关联的勒索软件活动、篡改安全传感器或表明存在人为攻击者的恶意活动。

  • 中(橙色)- 来自终结点检测和违反后响应行为的警报,这些行为可能是高级持久威胁 (APT) 的一部分。 这包括在攻击阶段观察到的典型行为、异常注册表更改、执行可疑文件等。 尽管有些行为可能是内部安全测试的一部分,但需要对它进行调查,因为它也可能是高级攻击的一部分。

  • 低(黄色)- 与普遍的恶意软件相关的威胁的警报。 例如,攻击工具、非恶意软件攻击工具(如运行浏览命令、清除日志等),通常不表示针对组织的高级威胁。 它还可能来自组织中的用户进行的独立安全工具测试。

  • 信息性(灰色)- 可能不会被视为对网络有害的警报,但可以提高组织对潜在安全问题的安全意识的警报。

Microsoft Defender 防病毒 (Microsoft Defender AV) 和 Defender for Endpoint 警报严重性不同,因为它们代表不同的作用域。 Microsoft Defender AV 威胁严重性表示检测到的威胁(恶意软件)的绝对严重性,它是根据感染的单个设备的潜在风险进行分配的。

Defender for Endpoint 警报严重性表示检测到的行为的严重性、对设备的实际风险,以及最重要的一点,对组织的潜在风险。

例如:

  • 与 Microsoft Defender AV 检测到的威胁有关的 Defender for Endpoint 警报的严重性可以防止,并且不会感染分类为“信息性”的设备,因为并没有造成实际损坏。

  • 在执行时检测到有关商业恶意软件的警报(但 Microsoft Defender AV 进行了阻止和修正),严重性被归类为“低”,因为它可能会导致单个设备损坏,但不会对组织造成威胁。

  • 在执行时检测到的有关恶意软件的警报不仅会对单个设备构成威胁,还会对组织构成威胁,无论它最终是否被阻止,都可以将其列为“中”或“高”。

  • 未阻止或未修正的可疑行为警报将按相同的组织威胁注意事项排名为“低”、“中”或“高”。

类别

警报类别与 MITRE ATT&CK 企业矩阵中的攻击策略和技术密切相关。

注意

警报类别还包括不属于 ATT&CK 矩阵的项目(如 Unwanted Software)。

这些类别包括:

  • 收集 - 查找和收集用于进行渗透的数据

  • 命令和控制 - 连接到攻击者控制的网络基础结构以中继数据或接收命令

  • 凭据访问 - 获取有效凭据以扩展对网络中设备和其他资源的控制

  • 防御规避 - 通过关闭安全应用、删除植入和运行 Rootkit 等操作避免安全控制

  • 发现 - 收集有关重要设备和资源(例如管理员计算机、域控制器和文件服务器)的信息

  • 执行 - 启动攻击者工具和恶意代码(包括 RAT 和后门程序)

  • 渗透 - 将数据从网络提取到受攻击者控制的外部位置

  • 攻击 - 攻击代码和可能的攻击活动

  • 初始访问 - 获得进入目标网络的初始入口,通常涉及密码猜测、攻击或钓鱼电子邮件

  • 横向移动 - 在目标网络中的设备之间移动以访问关键资源或获取网络持久性

  • 恶意软件 - 后门程序、特洛伊木马和其他类型的恶意代码

  • 持久性 - 创建自动启动扩展点 (ASEP) 以保持活动状态并在系统重新启动后仍然有效

  • 特权提升 - 通过在特权进程或帐户的上下文中运行代码来获取对代码的更高权限级别

  • 勒索软件 - 加密文件并要求付款才还原访问权限的恶意软件

  • 可疑活动 - 可能是恶意软件活动或攻击的一部分的非典型活动

  • 不需要的软件 - 低信誉应用和影响生产力以及用户体验的应用;会被检测为可能不需要的应用程序 (PUA)

你可以从警报创建新事件或链接到现有事件。

分配警报

如果尚未分配警报,可选择“分配给我”以将警报分配给自己。

阻止警报

在某些情况下,可能需要阻止警报出现在 Microsoft Defender 安全中心中。 Defender for Endpoint 使你能够为已知无害的特定警报(例如组织中的已知工具或进程)创建抑制规则。

可以从现有警报创建抑制规则。 可以根据需要禁用和重新启用这些规则。

创建抑制规则后,该规则自创建时开始生效。 该规则不会影响在规则创建之前已经在队列中的现有警报。 规则将仅应用于满足创建规则后设置的条件的警报。

有两种抑制规则的上下文供你选择:

  • 抑制此设备上的警报

  • 抑制我的组织中的警报

规则上下文可帮助你定制希望在门户中显示的内容,并确保只有真正的安全警报才会显示在门户中。

更改警报的状态

通过在调查过程中更改警报的状态可以对它们进行分类(即“新”、“正在进行”或“已解决”类别)。 这有助于你组织并管理你的团队如何对警报进行响应。

例如,团队主管可以查看所有“新”警报,然后决定将它们分配给“正在进行”队列以供进一步分析。

或者,如果已知警报为良性、来自不相关的设备(例如属于安全管理员)或者正在通过以前的警报进行处理,团队负责人可以将警报分配给已解决的队列。

警报分类

你可以选择不设置分类,或指定警报是真警报还是误报。 提供真警报/误报的分类很重要,因为它用于监视警报质量并使警报更准确。 “确定”字段为“真警报”分类定义额外的保真度。

添加注释和查看警报的历史记录

你可以添加注释并查看有关警报的历史事件,以查看之前对警报所做的更改。 每当对警报进行更改或添加注释时,它就会被记录在“注释”和历史记录部分。 添加的注释会立即显示在窗格中。

警报调查

调查影响网络的警报、了解它们的含义以及如何解决这些警报。

从警报队列中选择一个警报以转到“警报”页。 此视图包含警报标题、受影响的资产、详细信息侧窗格和警报故事。

从“警报”页中,通过选择受影响的资产或“警报故事”树状视图下的任何实体开始进行调查。 详细信息窗格将自动填充所选内容的详细信息。

使用警报故事进行调查

警报故事详细说明了触发警报的原因、之前和之后发生的相关事件以及其他相关实体。

实体是可单击的,并且不是警报的每个实体都可以使用该实体卡片右侧的展开图标进行展开。 焦点中的实体将由该实体卡片左侧的蓝色条纹指示,标题中的警报首先处于焦点中。

选择实体会将详细信息窗格的上下文切换到此实体,并将支持你查看进一步信息和管理该实体。 选择实体卡片右侧的“...”将显示该实体可用的所有操作。 当该实体处于焦点时,这些相同的操作会显示在详细信息窗格中。

从详细信息窗格中采取操作

选择了相关实体后,“详细信息”窗格会更改为显示与所选实体类型有关的信息、历史信息(如果可用),并提供可直接从“警报”页对此实体执行操作的控件。

完成调查后,返回到开始的警报,将警报的状态标记为“已解决”,并将其分类为“误报”或“真警报”。 对警报进行分类有助于优化此功能,以提供更多真警报和更少误报。

如果将其归类为真警报,还可以选择一个确定。

如果遇到与业务线应用程序有关的误报,请创建抑制规则,以避免将来出现此类型的警报。