Prozkoumání výstrah zabezpečení služby Defender for Identity v XDR v programu Microsoft Defender
Tento článek vysvětluje základy práce s výstrahami zabezpečení v programu Microsoft Defender for Identity v XDR v programu Microsoft Defender.
Výstrahy defenderu for Identity jsou nativně integrované do XDR v programu Microsoft Defender s vyhrazeným formátem stránky upozornění identity.
Stránka Upozornění identity poskytuje zákazníkům Microsoft Defenderu for Identity lepší rozšiřování signálu mezi doménami a nové možnosti automatické reakce na identity. Zajišťuje, že zůstanete v bezpečí a zlepšíte efektivitu operací zabezpečení.
Jednou z výhod vyšetřování výstrah prostřednictvím XDR v programu Microsoft Defender je to, že výstrahy v programu Microsoft Defender for Identity jsou dále korelovány s informacemi získanými z jednotlivých produktů v sadě. Tato rozšířená upozornění jsou konzistentní s ostatními formáty upozornění XDR v programu Microsoft Defender pocházející z Microsoft Defender pro Office 365 a Microsoft Defenderu for Endpoint. Nová stránka efektivně eliminuje nutnost přejít na jiný produktový portál a prozkoumat výstrahy spojené s identitou.
Výstrahy pocházející z programu Defender for Identity teď můžou aktivovat funkce automatizovaného vyšetřování a reakce v programu Microsoft Defender (AIR), včetně automatické nápravy výstrah a zmírnění rizik nástrojů a procesů, které můžou přispět k podezřelé aktivitě.
Důležité
V rámci konvergence s XDR v programu Microsoft Defender se některé možnosti a podrobnosti změnily z jejich umístění na portálu Defender for Identity Portal. Přečtěte si podrobnosti níže a zjistěte, kde najdete známé i nové funkce.
Kontrola výstrah zabezpečení
K výstrahám je možné přistupovat z několika míst, včetně stránky Výstrahy , stránky Incidenty , stránek jednotlivých zařízení a stránky rozšířeného proaktivního vyhledávání . V tomto příkladu se podíváme na stránku Upozornění.
V XDR v programu Microsoft Defender přejděte na Incidenty a výstrahy a pak na Výstrahy.
Pokud chcete zobrazit upozornění z programu Defender for Identity, v pravém horním rohu vyberte Filtr a pak v části Zdroje služeb vyberte Microsoft Defender for Identity a vyberte Použít:
Výstrahy se zobrazují s informacemi v následujících sloupcích: název výstrahy, značky, závažnosti, stav šetření, stav, kategorie, zdroj detekce, ovlivněné prostředky, první aktivita a poslední aktivita.
Kategorie výstrah zabezpečení
Výstrahy zabezpečení Defenderu for Identity jsou rozdělené do následujících kategorií nebo fází, jako jsou fáze typického řetězce útoku kyber-útoku.
- Upozornění na rekognoskaci
- Upozornění na ohrožené přihlašovací údaje
- Upozornění laterálního pohybu
- Výstrahy před dominantní doménou
- Upozornění exfiltrace
Správa výstrah
Pokud pro jednu z výstrah vyberete název upozornění, přejdete na stránku s podrobnostmi o upozornění. V levém podokně se zobrazí souhrn toho , co se stalo:
Nad polem Co se stalo jsou tlačítka pro klienty, cílového hostitele a zdrojového hostitele výstrahy. U jiných výstrah se můžou zobrazit tlačítka pro podrobnosti o dalších hostitelích, účtech, IP adresách, doménách a skupinách zabezpečení. Výběrem některého z nich získáte další podrobnosti o zahrnutých entitách.
V pravém podokně se zobrazí podrobnosti výstrahy. Tady můžete zobrazit další podrobnosti a provést několik úloh:
Klasifikovat tuto výstrahu – tady můžete tuto výstrahu určit jako výstrahu True nebo Nepravda.
Stav výstrahy – V části Nastavit klasifikaci můžete výstrahu klasifikovat jako true nebo false. V části Přiřazeno můžete upozornění přiřadit sami sobě nebo zrušit jeho přiřazení.
Podrobnosti výstrahy – V části Podrobnosti výstrahy najdete další informace o konkrétní výstraze, postupujte podle odkazu na dokumentaci o typu výstrahy, podívejte se, ke kterému incidentu je výstraha přidružená, zkontrolujte všechna automatizovaná šetření propojená s tímto typem výstrahy a podívejte se na ovlivněná zařízení a uživatele.
Komentáře a historie – Tady můžete přidat komentáře k upozornění a zobrazit historii všech akcí přidružených k upozornění.
Spravovat upozornění – Pokud vyberete Možnost Spravovat upozornění, přejdete do podokna, které vám umožní upravit:
Stav – Můžete zvolit Možnost Nový, Vyřešeno nebo Probíhá.
Klasifikace – Můžete zvolit výstrahu True (Pravda) nebo False alert (Nepravda).
Komentář – Můžete přidat komentář k upozornění.
Pokud vyberete tři tečky vedle možnosti Spravovat výstrahy, můžete propojit výstrahu s jiným incidentem, vytvořit pravidlo potlačení (dostupné jenom pro zákazníky verze Preview) nebo Odborníky v programu Ask Defender.
Výstrahu můžete také exportovat do excelového souboru. Uděláte to tak, že vyberete Exportovat.
Poznámka:
V excelovém souboru teď máte k dispozici dva odkazy: Zobrazení v programu Microsoft Defender pro identitu a zobrazení v XDR v programu Microsoft Defender. Každý odkaz vás přenese na příslušný portál a poskytne informace o upozornění.
Ladění upozornění
Vylaďte upozornění tak, aby je upravovala a optimalizovala a snížila počet falešně pozitivních výsledků. Ladění výstrah umožňuje týmům SOC zaměřit se na výstrahy s vysokou prioritou a zlepšit pokrytí detekce hrozeb ve vašem systému. V XDR v programu Microsoft Defender vytvořte podmínky pravidla na základě typů důkazů a pak pravidlo použijte u libovolného typu pravidla, který odpovídá vašim podmínkám.
Další informace najdete v tématu Ladění výstrahy.
Viz také
Další informace
- Vyzkoušejte naši interaktivní příručku: Detekce podezřelých aktivit a potenciálních útoků pomocí Microsoft Defenderu for Identity