Microsoft Defender XDR ilmoitusten tutkiminen

  • Artikkeli

Huomautus

Haluatko kokea Microsoft Defender XDR:n? Lue lisätietoja siitä, miten voit arvioida Microsoft Defender XDR:n ja osallistua sen pilottikokeiluun.

Koskee seuraavia:

  • Microsoft Defender XDR

Huomautus

Tässä artikkelissa kuvataan Microsoft Defender XDR suojausilmoitukset. Toimintoilmoitusten avulla voit kuitenkin lähettää sähköposti-ilmoituksia itsellesi tai muille järjestelmänvalvojille, kun käyttäjät suorittavat tiettyjä toimintoja Microsoft 365:ssä. Lisätietoja on artikkelissa Toimintailmoitusten luominen – Microsoft Purview | Microsoft Docs.

Hälytykset ovat kaikkien tapausten perusta ja ilmaisevat vahingollisten tai epäilyttävien tapahtumien esiintymisen ympäristössäsi. Hälytykset ovat tyypillisesti osa laajempaa hyökkäystä ja antavat vihjeitä tapahtumasta.

Microsoft Defender XDR liittyvät hälytykset koostetaan yhteen tapausten muodostamiseksi. Tapaukset tarjoavat aina hyökkäyksen laajemman kontekstin, mutta hälytysten analysointi voi olla arvokasta, kun tarvitaan syvempää analyysia.

Ilmoitukset-jonossa näkyy nykyinen ilmoitusjoukko. Pääset ilmoitusjonoon Kohdasta Tapaukset & hälytykset >Microsoft Defender portaalin pikakäynnistyksessä.

Microsoft Defender portaalin Ilmoitukset-osa

Tässä näkyvät ilmoitukset eri Microsoftin suojausratkaisuista, kuten Microsoft Defender for Endpoint, Microsoft Defender for Office 365 ja Microsoft Defender XDR.

oletusarvoisesti Microsoft Defender portaalin ilmoitusjonossa näkyvät uudet ja keskeneräiset ilmoitukset viimeisten 30 päivän ajalta. Uusin ilmoitus on luettelon yläosassa, joten näet sen ensimmäisenä.

Oletusilmoitusjonosta voit valita Suodata , jolloin näkyviin tulee Suodatin-ruutu , josta voit määrittää ilmoitusten alijoukon. Tässä on esimerkki.

Microsoft Defender portaalin Suodattimet-osa.

Voit suodattaa hälytyksiä näiden ehtojen mukaisesti:

  • Vakavuus
  • Tila
  • Palvelulähteet
  • Entiteetit (kohderesurssit)
  • Automaattisen tutkinnan tila

Defender for Office 365 ilmoitusten pakolliset roolit

Sinulla on oltava jokin seuraavista rooleista, jotta voit käyttää Microsoft Defender for Office 365 ilmoituksia:

  • Microsoft Entra yleiset roolit:

    • Yleinen järjestelmänvalvoja
    • Suojauksen järjestelmänvalvoja
    • Suojausoperaattori
    • Yleinen lukija
    • Suojauksen lukija

  • Office 365 & yhteensopivuuden rooliryhmät

    • Yhteensopivuuden järjestelmänvalvoja
    • Organisaation hallinta

  • Mukautettu rooli

Analysoi ilmoitus

Jos haluat nähdä päähälytyssivun, valitse ilmoituksen nimi. Tässä on esimerkki.

Näyttökuva, joka näyttää ilmoituksen tiedot Microsoft Defender-portaalissa

Voit myös valita Avaa päähälytyssivu -toiminnon Ilmoitusten hallinta -ruudusta.

Ilmoitussivu koostuu seuraavista osista:

  • Ilmoitustarina, joka on tähän ilmoitukseen liittyvä tapahtumaketju ja hälytykset aikajärjestyksessä
  • Yhteenvedon tiedot

Ilmoitussivulla näet käytettävissä olevat toiminnot, kuten ilmoituksen linkittämisen toiseen tapahtumaan, valitsemalla minkä tahansa entiteetin vierestä kolme pistettä (...). Käytettävissä olevien toimintojen luettelo riippuu ilmoituksen tyypistä.

Ilmoituslähteet

Microsoft Defender XDR hälytykset voivat olla peräisin ratkaisuista, kuten Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps, sovellusten hallinnan lisäosa Microsoft Defender for Cloud Apps, Microsoft Entra ID -tunnuksien suojaus ja Microsoftin tietojen menetyksen estäminen. Saatat huomata hälytyksiä, joissa on valmiiksi käytettyjä merkkejä ilmoituksessa. Seuraavassa taulukossa on ohjeita, joiden avulla voit ymmärtää ilmoituslähteiden yhdistämismäärityksen hälytyksen käytetyn merkin perusteella.

Huomautus

  • Käytetyt GUID-tunnukset koskevat vain yhtenäisiä käyttökokemuksia, kuten yhtenäistä ilmoitusjonoa, yhtenäistä hälytyssivua, yhdistettyä tutkintaa ja yhdistettyä tapausta.
  • Käytetty merkki ei muuta ilmoituksen GUID-tunnusta. Ainoa GUID-tunnuksen muutos on käytetty valmiiksi käytetty osa.
Ilmoituksen lähde Käytetty merkki
Microsoft Defender XDR ra
ta lle ThreatExperts
ea for DetectionSource = DetectionSource.CustomDetection
Microsoft Defender for Office 365 fa{GUID}
Esimerkkifa123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Defender for Endpoint da tai ed mukautetun tunnistuksen hälytyksiä varten
Microsoft Defender for Identity aa{GUID}
Esimerkkiaa123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Defender for Cloud Apps ca{GUID}
Esimerkkica123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Entra ID -tunnuksien suojaus ad
Sovellusten hallinta ma
Microsoftin tietojen menetyksen estäminen dl

määritä Microsoft Entra IP-ilmoituspalvelu

  1. Siirry Microsoft Defender portaaliin (security.microsoft.com), valitse Asetukset>Microsoft Defender XDR.

  2. Valitse luettelosta Ilmoituspalvelun asetukset ja määritä sitten Microsoft Entra ID -tunnuksien suojaus ilmoituspalvelu.

    Näyttökuva Microsoft Entra ID -tunnuksien suojaus ilmoitusten asetuksesta Microsoft Defender portaalissa.

Oletusarvoisesti vain tietoturvakeskuksen tärkeimmät hälytykset ovat käytössä. Jos haluat saada kaikki Microsoft Entra IP-riskintunnistuksia, voit muuttaa sitä Ilmoituspalvelun asetukset -osiossa.

Voit käyttää ilmoituspalvelun asetuksia myös suoraan Microsoft Defender portaalin Tapahtumat-sivulta.

Tärkeää

Jotkin tiedot liittyvät tuotteen ennakkoon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna nimenomaisia eikä oletettuja takuita tässä annetuista tiedoista.

Analysoi resurssit, joihin ongelma vaikuttaa

Toteutetut toiminnot -osassa on luettelo resursseista, joihin tämä ilmoitus vaikuttaa, kuten postilaatikoista, laitteista ja käyttäjistä, joihin tämä ilmoitus vaikuttaa.

Voit myös valita Näytä toimintokeskuksessa, jos haluat tarkastella muutoskeskuksen Historia-välilehteä Microsoft Defender portaalissa.

Hälytyksen roolin jäljittäminen ilmoitusjutussa

Ilmoitusjuttu näyttää kaikki ilmoitukseen liittyvät resurssit tai entiteetit prosessipuunäkymässä. Otsikossa oleva ilmoitus on se, joka on kohdistettu, kun siirryt ensimmäisen kerran valitun ilmoituksen sivulle. Ilmoitusjutun resurssit ovat laajennettavissa ja napsautettavissa. Ne antavat lisätietoja ja nopeuttavat vastaustasi sallimalla toimien toteuttamisen suoraan ilmoitussivun kontekstissa.

Huomautus

Ilmoituksen juttu -osiossa voi olla useita ilmoituksia, ja samaan suorituspuuhun liittyvät lisäilmoitukset näkyvät ennen valitsemaasi ilmoitusta tai sen jälkeen.

Näytä lisätietoja tietosivulla

Tietosivulla näkyvät valitun ilmoituksen tiedot sekä siihen liittyvät tiedot ja toiminnot. Jos valitset ilmoitusjutussa jonkin asianomaisista resursseista tai entiteeteistä, tietosivu muuttuu tarjoamaan tilannekohtaisia tietoja ja toimintoja valitulle objektille.

Kun olet valinnut kiinnostavan entiteetin, tietosivu muuttuu näyttämään tietoja valitusta entiteettityypistä, historiatietoja, kun ne ovat käytettävissä, sekä vaihtoehtoja tämän entiteetin toimintojen suorittamiseen suoraan ilmoitussivulta.

Hallitse ilmoituksia

Jos haluat hallita ilmoitusta, valitse Ilmoitussivun yhteenvetotietojen osiosta Hallitse ilmoitusta . Jos kyseessä on yksittäinen ilmoitus, tässä on esimerkki Ilmoitusten hallinta -ruudusta.

Näyttökuva Microsoft Defender portaalin Ilmoitusten hallinta -osasta

Ilmoitusten hallinta -ruudun avulla voit tarkastella tai määrittää:

  • Ilmoituksen tila (Uusi, Ratkaistu, Käynnissä).
  • Käyttäjätili, jolle ilmoitus on määritetty.
  • Hälytyksen luokitus:
    • Ei asetettu (oletus).
    • Tosi positiivinen ja uhkatyyppi. Käytä tätä luokitusta ilmoituksille, jotka ilmoittavat tarkasti todellisesta uhasta. Tämän uhkatyypin määrittäminen hälyttää tietoturvatiimisi näkemään uhkamalleja ja toimimaan organisaatiosi puolustamiseksi heiltä.
    • Tietoinen, odotettu toiminto , jolla on aktiviteettityyppi. Käytä tätä vaihtoehtoa ilmoituksille, jotka ovat teknisesti tarkkoja mutta edustavat normaalia toimintaa tai simuloitua uhkatoimintaa. Haluat yleensä jättää nämä hälytykset huomiotta, mutta odotat niiden vastaavanlaisia toimia tulevaisuudessa, kun todelliset hyökkääjät tai haittaohjelmat käynnistävät toiminnot. Tämän luokan vaihtoehtojen avulla voit luokitella suojaustestejä, punaisen tiimin toimintaa ja luotettavien sovellusten ja käyttäjien odotettua epätavallista toimintaa varten.
    • False-positiivinen ilmoitustyypeistä, jotka luotiin silloinkin, kun haitallisia toimia ei ole, tai väärästä hälytyksestä. Tämän luokan asetusten avulla voit luokitella hälytykset, jotka on virheellisesti tunnistettu normaaleiksi tapahtumiksi tai toiminnaksi haitallisiksi tai epäilyttäviksi. Toisin kuin ilmoitukset "Informaalista, odotetusta toiminnasta", josta voi olla hyötyä myös todellisten uhkien varalta, et yleensä halua nähdä näitä ilmoituksia uudelleen. Ilmoitusten luokitteleminen epätosi-positiiviseksi auttaa Microsoft Defender XDR parantamaan sen tunnistuksen laatua.
  • Kommentti ilmoituksesta.

Huomautus

Noin 29. elokuuta 2022 aiemmin tuetut hälytysten määritysarvot (Apt ja SecurityPersonnel) poistetaan käytöstä, eivätkä ne ole enää käytettävissä ohjelmointirajapinnan kautta.

Huomautus

Yksi tapa hallita ilmoituksia tunnisteiden avulla. Microsoft Defender for Office 365 merkintäominaisuus otetaan asteittain käyttöön, ja se on tällä hetkellä esikatselussa.

Tällä hetkellä muokattuja tunnisteiden nimiä käytetään vain hälytyksiin, jotka on luotu päivityksen jälkeen . Ilmoitukset, jotka luotiin ennen muutosta, eivät vastaa päivitettyä tunnisteen nimeä.

Jos haluat hallita tiettyä ilmoitusta muistuttavien ilmoitusten joukkoa, valitse Näytä samanlaiset hälytyksetINSIGHT-ruudussa ilmoitussivun yhteenvetotietojen osiossa.

Näyttökuva ilmoituksen valitsemisesta Microsoft Defender portaalissa

Ilmoitusten hallinta -ruudussa voit sitten luokitella kaikki liittyvät ilmoitukset samanaikaisesti. Tässä on esimerkki.

Näyttökuva liittyvien ilmoitusten hallinnasta Microsoft Defender portaalissa

Jos vastaavat hälytykset on jo luokiteltu aiemmin, voit säästää aikaa käyttämällä Microsoft Defender XDR suosituksia, jotta saat lisätietoja siitä, miten muut hälytykset on ratkaistu. Valitse yhteenvetotiedot-osiosta Suositukset.

Näyttökuva esimerkistä ilmoitussuositusten valitsemisesta

Suositukset-välilehti tarjoaa seuraavan vaiheen toimintoja ja neuvoja tutkintaa, korjauksia ja ehkäisyä varten. Tässä on esimerkki.

Näyttökuva esimerkki ilmoitussuosituksista

Ilmoituksen hienosäätäminen

Suojaustoimintokeskuksen analyytikkona yksi tärkeimmistä ongelmista on päivittäin käynnistyvien hälytysten määrän lajitteleminen. Analyytikon aika on arvokasta, ja hän haluaa keskittyä vain korkeaan vakavuustilaan ja tärkeisiin hälytyksiin. Samaan aikaan analyytikoita vaaditaan myös vähättelemään ja ratkaisemaan alemman prioriteetin hälytyksiä, mikä on yleensä manuaalinen prosessi.

Ilmoitusten säätö mahdollistaa ilmoitusten virittämisen ja hallinnan etukäteen. Tämä tehostaa ilmoitusjonoa ja säästää aikaväliä piilottamalla tai ratkaisemalla hälytyksiä automaattisesti aina, kun tietty odotettu organisaation toiminta ilmenee ja sääntöehdot täyttyvät.

Voit luoda sääntöehtoja, jotka perustuvat todistetyyppeihin, kuten tiedostoihin, prosesseihin, ajoitettuihin tehtäviin ja moniin muihin ilmoitusten käynnistämiin todistetyyppeihin. Kun olet luonut säännön, voit käyttää sääntöä valitussa hälytyksessä tai missä tahansa ilmoitustyypissä, joka täyttää sääntöehdot ilmoituksen hienosäätämiseksi.

Lisäksi ominaisuus kattaa myös hälytykset, jotka ovat peräisin eri Microsoft Defender XDR palvelulähteistä. Julkisen esikatselun ilmoitusten säätöominaisuus on ilmoitusten saaminen kuormituksista, kuten Defender for Endpoint, Defender for Office 365, Defender for Identity, Defender for Cloud Apps Microsoft Entra ID -tunnuksien suojaus (Microsoft Entra IP) ja muita, jos nämä lähteet ovat saatavilla käyttöympäristössäsi ja suunnitelmassasi. Aiemmin ilmoituksen viritystoiminto tallensi vain Defender for Endpoint -kuormituksen hälytyksiä.

Huomautus

Suosittelemme, että käytät hälytysten säätöä, jota aiemmin kutsutaan ilmoitusten estämiseksi, varoen. Joissakin tilanteissa tunnettu sisäinen yrityssovellus tai suojaustestit käynnistävät odotetun toiminnan, etkä halua nähdä näitä ilmoituksia. Voit siis luoda säännön näiden ilmoitustyyppien hienosäätämiseksi.

Luo sääntöehdot ilmoitusten hienosäätämiseksi

Ilmoituksen voi hienosäätää Microsoft Defender XDR kahdella tavalla. Voit hienosäätää ilmoitusta Asetukset-sivulta seuraavasti:

  1. Valitse Asetukset. Valitse vasemmassa ruudussa Säännöt ja valitse Ilmoituksen säätäminen.

    Näyttökuva Ilmoituksen viritys -vaihtoehdosta Microsoft Defender XDR Asetukset-sivulla.

    Voit hienosäätää uutta ilmoitusta valitsemalla Lisää uusi sääntö . Voit myös muokata aiemmin luotua sääntöä tässä näkymässä valitsemalla säännön luettelosta.

    Näyttökuva uusien sääntöjen lisäämisestä Ilmoituksen säätö -sivulle.

  2. Voit valita Viritä ilmoitus -ruudussa palvelulähteet, joissa sääntöä sovelletaan Palvelulähteet-kohdan avattavasta valikosta.

    Näyttökuva palvelulähteen avattavasta valikosta, joka on kohdassa Hälytyssivun hienosäätäminen.

    Huomautus

    Näytetään vain palvelut, joihin käyttäjällä on käyttöoikeus.

  3. Lisää IOC-osassa ilmoitus käynnistävien kompromissien ilmaisimia (IOC). Voit lisätä ehdon, joka pysäyttää ilmoituksen, kun tietty KOK käynnistää sen, tai minkä tahansa hälytykseen lisätyn KOK:n käynnistämänä.

    IOC:t ovat ilmaisimia, kuten tiedostoja, prosesseja, ajoitettuja tehtäviä ja muita näyttötyyppejä, jotka käynnistävät ilmoituksen.

    Näyttökuva IOC-valikosta Kohdassa Hälytyssivun viritys.

    Jos haluat määrittää useita säännön ehtoja, käytä AND-, OR- ja ryhmittelyasetuksia luodaksesi suhteen näiden ilmoituksen aiheuttavien useiden "todistetyyppien" välille.

    1. Valitse esimerkiksi käynnistävä todiste Entiteetin rooli: Käynnistin, yhtä suuri kuin ja mikä tahansa , jos haluat pysäyttää ilmoituksen, kun mikä tahansa hälytykseen lisätty KOK käynnistää sen. Kaikki tämän todisteen ominaisuudet täytetään automaattisesti uutena aliryhmänä alla olevissa kentissä.

    Huomautus

    Ehtoarvoissa kirjainkoko ei ole merkitsevä.

    1. Voit muokata ja/tai poistaa tämän todisteen ominaisuuksia tarpeen mukaan (yleismerkkien avulla, kun sitä tuetaan).

    2. Tiedostojen ja prosessien lisäksi AMSI (AntiMalware Scan Interface) -komentosarja, Windows Management Instrumentation (WMI) -tapahtuma ja ajoitetut tehtävät ovat joitakin äskettäin lisättyjä näyttötyyppejä, jotka voit valita avattavasta näyttötyyppiluettelosta.

    3. Jos haluat lisätä toisen KOK:n, valitse Lisää suodatin.

    Huomautus

    Minkä tahansa ilmoitustyypin hienosäätäminen edellyttää vähintään yhden KOK:n lisäämistä säännön ehtoon.

  4. Tee Toiminto-osassa haluamasi toiminto joko Piilota ilmoitus tai Ratkaise ilmoitus.

    Kirjoita Nimi, Kuvaus ja valitse Tallenna.

    Huomautus

    Ilmoituksen otsikko (nimi) perustuu ilmoitustyyppiin (IoaDefinitionId), joka päättää ilmoituksen otsikon. Kaksi ilmoitusta, joilla on sama ilmoitustyyppi, voivat muuttua eri ilmoituksen otsikoksi.

    Näyttökuva Toiminto-valikosta Ilmoitusten virittämisen sivulla.

Voit hienosäätää ilmoitusta Ilmoitukset-sivulta seuraavasti:

  1. Valitse ilmoitus Ilmoitukset-sivunkohdasta Tapaukset ja hälytykset. Vaihtoehtoisesti voit valita ilmoituksen, kun tarkastelet tapahtuman tietoja Tapaus-sivulla.

    Voit hienosäätää ilmoitusta Hälytysruudun virittämisen kautta, joka avautuu automaattisesti ilmoituksen tietosivun oikealle puolelle.

    Näyttökuva Ilmoitus-sivun ilmoitusruudun virittämisestä.

  2. Valitse Ilmoitustyypit-osiosta ehdot, joissa ilmoitusta sovelletaan. Valitse Vain tämä ilmoitustyyppi , jos haluat ottaa säännön käyttöön valitussa hälytyksessä.

    Jos haluat kuitenkin käyttää sääntöä missä tahansa sääntöehtoja täyttävän ilmoitustyypin kohdalla, valitse Mikä tahansa IOC-ehtoihin perustuva ilmoitustyyppi.

    Näyttökuva Ilmoitustyyppi-osion Hienosäätäminen-ilmoitusruudusta.

  3. Laajuus-osan täyttäminen on pakollista, jos ilmoituksen säätö on Defender päätepistekohtaiselle. Valitse, koskeeko sääntö kaikkia organisaation laitteita vai tiettyä laitetta.

    Huomautus

    Säännön käyttäminen koko organisaatiossa edellyttää järjestelmänvalvojan roolin käyttöoikeutta.

    Näyttökuva Hienosäädä ilmoitusruutua -kohdasta, joka korostaa Käyttöalue-osion.

  4. Lisää ehdot Ehdot-osioon , jos haluat pysäyttää ilmoituksen, kun tietty KOK tai mikä tahansa hälytykseen lisätty KOK käynnistää sen. Tässä osiossa voit valita tietyn laitteen, useita laitteita, laiteryhmiä, koko organisaation tai käyttäjän mukaan.

    Huomautus

    Sinulla on oltava Hallinta käyttöoikeus, kun käyttöalue on määritetty vain käyttäjälle. Hallinta käyttöoikeutta ei tarvita, kun käyttöalue on määritetty käyttäjälle yhdessä Laitteen laiteryhmien kanssa.

    Näyttökuva Hienosäätä ilmoitusruutu -kohdasta, joka korostaa Ehdot-osion.

  5. Lisää IOC-kutsuja, joissa sääntöä sovelletaan IOC:t-osassa . Voit valita minkä tahansa KOK:n pysäyttääksesi hälytyksen riippumatta siitä, mikä todiste on aiheuttanut hälytyksen.

    Näyttökuva Ilmoitusruudun hienosäätäminen -kohdasta, jossa näkyy IOC-osio.

  6. Vaihtoehtoisesti voit lisätä kaikki ilmoitukseen liittyvät näyttötyypit ja niiden ominaisuudet kerralla Ehdot-osiosta valitsemalla Täytä kaikki ilmoitukset 7:ään liittyvät IOC-kutsut automaattisesti.

    Näyttökuva kaikkien ilmoituksiin liittyvien IOC-kutsujen automaattisesta täyttämisestä.

  7. Tee Toiminto-osassa haluamasi toiminto joko Piilota ilmoitus tai Ratkaise ilmoitus.

    Kirjoita Nimi, Kommentti ja valitse Tallenna.

    Näyttökuva Toiminto-osasta Viritä ilmoitus -ruudussa.

  8. Estä IOC-tietokoneiden esto tulevaisuudessa:

    Kun olet tallentanut ilmoitusten säätösäännön, voit lisätä valitut IOC-kutsut näkyviin tulevalle Onnistunut säännön luonti -sivulle ilmaisimina sallittujen luetteloon ja estää niiden käytön tulevaisuudessa.

    Kaikki hälytyksiin liittyvät IOC-kutsut näytetään luettelossa.

    Estausehdoissa valitut IOC-kutsut valitaan oletusarvoisesti.

    1. Voit esimerkiksi lisätä tiedostoja Salli Valinta-todisteisiin (IOC). Ilmoituksen käynnistänyt tiedosto on oletusarvoisesti valittuna.
    2. Anna vaikutusalue Valitse-käyttöalue, johon käytetään. Liittyvän ilmoituksen oletusalue on valittuna.
    3. Valitse Tallenna. Nyt tiedostoa ei ole estetty, koska se on sallittujen luettelossa.

  9. Uusi ilmoitusten säätötoiminto on oletusarvoisesti käytettävissä.

    Voit kuitenkin palata aiempaan käyttökokemukseen Microsoft Defender portaalissa siirtymällä kohtaan Asetukset > Microsoft Defender XDR > Sääntöilmoitusten > säätö ja poistamalla käytöstä Uusien säätösääntöjen luonti käytössä -valitsin.

    Huomautus

    Pian vain uusi ilmoitusten säätökokemus on käytettävissä. Et voi palata edelliseen kokemukseen.

  10. Muokkaa aiemmin luotuja sääntöjä:

    Voit aina lisätä tai muuttaa säännön ehtoja ja uusien tai aiemmin luotujen sääntöjen vaikutusaluetta Microsoft Defender portaalissa valitsemalla asianmukaisen säännön ja valitsemalla Muokkaa sääntöä.

    Jos haluat muokata olemassa olevia sääntöjä, varmista, että Uusien ilmoitusten säätösääntöjen luonti käytössä -valitsin on käytössä.

Ilmoituksen ratkaiseminen

Kun olet analysoinut ilmoituksen ja se voidaan ratkaista, siirry hälytyksen tai samankaltaisten ilmoitusten Hallinta-ilmoitusruutuun ja merkitse tilaksi Ratkaistu ja luokittele se sitten Tosi-positiiviseksi , joka sisältää uhkatyypin, tiedot, odotetun toiminnon , jolla on tietyntyyppinen toiminto, tai Epätosi-positiiviseksi.

Ilmoitusten luokittelu auttaa Microsoft Defender XDR parantamaan sen tunnistuksen laatua.

Ilmoitusten lajitteleminen Power Automaten avulla

Nykyaikaiset tietoturvatiimit tarvitsevat automaatiota toimiakseen tehokkaasti. Keskittyäkseen metsästykseen ja todellisten uhkien tutkimiseen SecOps-tiimit käyttävät Power Automatea selaamaan hälytysluetteloa ja poistamaan ne, jotka eivät ole uhkia.

Ilmoitusten ratkaisuehdot

  • Käyttäjä on ottanut poissaoloviestin käyttöön
  • Käyttäjää ei ole merkitty suureksi riskiksi

Jos molemmat ovat tosia, SecOps merkitsee hälytyksen lailliseksi matkaksi ja ratkaisee sen. Microsoft Teamsissa julkaistaan ilmoitus, kun ilmoitus on ratkaistu.

Yhdistä Power Automate Microsoft Defender for Cloud Apps

Automaation luomiseen tarvitaan ohjelmointirajapinnan tunnus, ennen kuin voit yhdistää Power Automaten Microsoft Defender for Cloud Apps.

  1. Avaa Microsoft Defender ja valitse Asetukset>Pilvisovellusten>ohjelmointirajapinnan tunnus ja valitse sitten Ohjelmointirajapinnan tunnukset -välilehdestä Lisää tunnus.

  2. Anna tunnuksen nimi ja valitse sitten Luo. Tallenna tunnus sellaisena kuin tarvitset sitä myöhemmin.

Luo automatisoitu työnkulku

Katso tästä lyhyestä videosta, miten automaatio toimii tehokkaasti sujuvan työnkulun luomiseksi ja miten Voit yhdistää Power Automaten Defender for Cloud Appsiin.

Seuraavat vaiheet

Jatka tutkimuksiasi prosessitapausten tarpeen mukaan.

Tutustu myös seuraaviin ohjeartikkeleihin:

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.