Incidenskezelés Microsoft 365 Defender
Megjegyzés
Szeretne Microsoft 365 Defender tapasztalni? További információ a Microsoft 365 Defender kiértékeléséről és kipróbálásáról.
Érintett szolgáltatás:
- Microsoft 365 Defender
A Microsoft 365 Defender incidensei korrelált riasztások és kapcsolódó adatok gyűjteményei, amelyek egy támadás történetét alkotják.
A Microsoft 365 szolgáltatásai és alkalmazásai riasztásokat hoznak létre, ha gyanús vagy rosszindulatú eseményt vagy tevékenységet észlelnek. Az egyes riasztások értékes nyomokat adnak egy befejezett vagy folyamatban lévő támadásról. A támadások azonban általában különböző technikákat alkalmaznak különböző típusú entitások, például eszközök, felhasználók és postaládák ellen. Az eredmény több riasztás a bérlő több entitására vonatkozóan.
Mivel az egyes riasztások összeütközése egy támadással kapcsolatos megállapítások készítéséhez kihívást jelenthet és időigényes lehet, Microsoft 365 Defender automatikusan összesíti a riasztásokat és az azokhoz kapcsolódó információkat egy incidensben.
Tekintse meg az incidensek rövid áttekintését Microsoft 365 Defender (4 perc).
A kapcsolódó riasztások incidensekbe való csoportosításával átfogó képet kaphat a támadásról. Például a következőt láthatja:
- Ahol a támadás elkezdődött.
- Milyen taktikát használtak.
- Milyen messzire került a támadás a bérlőjébe.
- A támadás hatóköre, például hogy hány eszköz, felhasználó és postaláda érintett.
- A támadáshoz kapcsolódó összes adat.
Ha engedélyezve van, Microsoft 365 Defender automatikusan kivizsgálhatja és feloldhatja a riasztásokat automatizálással és mesterséges intelligenciával. A támadás elhárításához további javítási lépéseket is végrehajthat.
Incidensek és riasztások a Microsoft 365 Defender portálon
Az incidensek incidenseit az Incidensek & riasztások > az Incidensek szolgáltatásból kezelheti a Microsoft 365 Defender portál gyors elindításával. Íme egy példa.
Ha kiválaszt egy incidensnevet, megjelenik az incidens összegzése, és további információkat tartalmazó lapokhoz biztosít hozzáférést. Íme egy példa.
Az incidensek további lapjai a következők:
Riasztások
Az incidenssel kapcsolatos összes riasztás és azok adatai.
Eszközök
Minden olyan eszköz, amelyet azonosítottak, hogy az incidens része vagy ahhoz kapcsolódik.
Felhasználók
Minden olyan felhasználó, akiről megállapították, hogy az incidens része vagy ahhoz kapcsolódik.
Postaládák
Az incidens részét képező vagy ahhoz kapcsolódó összes postaláda.
Vizsgálatok
Az incidens riasztásai által aktivált összes automatizált vizsgálat .
Bizonyítékok és válasz
Az incidens riasztásaiban szereplő összes támogatott esemény és gyanús entitás.
Graph (előzetes verzió)
A támadás vizuális ábrázolása, amely összekapcsolja a támadás részét képező különböző gyanús entitásokat a kapcsolódó eszközökkel, például felhasználókkal, eszközökkel és postaládákkal.
Íme az incidens és az adatai közötti kapcsolat, valamint az incidens lapjai a Microsoft 365 Defender portálon.
Megjegyzés
Ha nem támogatott típusú riasztási állapotot lát, az azt jelenti, hogy az automatizált vizsgálati képességek nem tudják felvenni a riasztást egy automatikus vizsgálat futtatásához. Ezeket a riasztásokat azonban manuálisan is megvizsgálhatja.
Példa incidensmegoldási munkafolyamatra Microsoft 365 Defender
Íme egy példa munkafolyamat az incidensekre való válaszadáshoz a Microsoft 365-ben a Microsoft 365 Defender portálon.
Folyamatosan azonosítsa a legmagasabb prioritású incidenseket az elemzéshez és a megoldáshoz az incidensek várólistáján, és készítse elő őket a reagálásra. Ez a következők kombinációja:
- A legmagasabb prioritású incidensek meghatározásának osztályozása az incidenssor szűrésével és rendezésével.
- Incidensek kezelése a cím módosításával, az elemzőhöz rendelésével, valamint címkék és megjegyzések hozzáadásával.
Vegye figyelembe az alábbi lépéseket a saját incidenskezelési munkafolyamatához:
Minden incidenshez kezdjen támadási és riasztási vizsgálatot és elemzést:
Az összegzés megtekintésével megismerheti az incidens hatókörét és súlyosságát, valamint hogy milyen entitásokra van hatással az Összegzés és a Gráf (előzetes verzió) lap.
Kezdje el elemezni a riasztásokat, hogy megértse azok eredetét, hatókörét és súlyosságát a Riasztások lapon.
Ha szükséges, gyűjtsön információkat az érintett eszközökről, felhasználókról és postaládákról az Eszközök, a Felhasználók és a Postaládák lapon.
Tekintse meg, hogyan oldotta fel automatikusan Microsoft 365 Defender egyes riasztásokat a Vizsgálatok lapon.
Szükség esetén az incidens adatkészletében található információk segítségével további információkat kaphat a Bizonyítékok és válasz lapon.
Az elemzés után vagy közben végezzen elszigetelést a támadás további hatásainak csökkentése és a biztonsági fenyegetés felszámolása érdekében.
A lehető legnagyobb mértékben állítsa helyre a támadást úgy, hogy visszaállítja a bérlői erőforrásokat arra az állapotra, amelyben az incidens előtt voltak.
Oldja meg az incidenst, és szánjon időt az incidens utáni tanulásra:
- Ismerje meg a támadás típusát és hatását.
- A Threat Analytics és a biztonsági közösség támadási trendjének kutatása.
- Emlékezzen vissza az incidens megoldásához használt munkafolyamatra, és szükség szerint frissítse a szabványos munkafolyamatokat, folyamatokat, szabályzatokat és forgatókönyveket.
- Állapítsa meg, hogy szükség van-e módosításokra a biztonsági konfigurációban, és implementálja őket.
Ha még nem ismerkedik a biztonsági elemzéssel, tekintse meg az első incidensre való válaszadást ismertető bevezetést további információkért és egy példaesemény bemutatásához.
A Microsoft-termékek incidenskezeléséről ebben a cikkben talál további információt.
Példa a Microsoft 365 Defender biztonsági műveleteire
Íme egy példa a biztonsági műveletekre (SecOps) Microsoft 365 Defender.
A napi feladatok közé tartozhatnak a következők:
- Incidensek kezelése
- Automatizált vizsgálati és válaszműveletek áttekintése a Műveletközpontban
- A legújabb Threat Analytics áttekintése
- Reagálás az incidensekre
A havi feladatok a következők lehetnek:
- Az AIR beállításainak áttekintése
- Biztonsági pontszám és fenyegetés & biztonsági rések kezelésének áttekintése
- Jelentéskészítés az informatikai biztonsági felügyeleti láncnak
A negyedéves feladatok magukban foglalhatnak egy jelentést és a biztonsági eredményekről szóló tájékoztatót az informatikai biztonsági igazgatónak (CISO).
Az éves feladatok közé tartozhat egy jelentős incidens vagy szabálysértési gyakorlat végrehajtása a személyzet, a rendszerek és a folyamatok teszteléséhez.
A napi, havi, negyedéves és éves feladatok folyamatok, szabályzatok és biztonsági konfigurációk frissítésére és finomítására használhatók.
További részletekért lásd: Microsoft 365 Defender integrálása a biztonsági műveletekbe.
SecOps-erőforrások a Microsoft-termékekben
A Microsoft termékeinek secOps szolgáltatásáról az alábbi forrásanyagokban talál további információt:
Incidensértesítések lekérése e-mailben
Beállíthat Microsoft 365 Defender, amely e-mailben értesíti az alkalmazottakat az új incidensekről vagy a meglévő incidensek frissítéseiről. Az értesítéseket a következő alapján állíthatja be:
- Incidens súlyossága.
- Eszközcsoport.
- Incidensenként csak az első frissítéskor.
Az e-mail-értesítés többek között fontos részleteket tartalmaz az incidensről, például az incidens nevét, súlyosságát és kategóriáit. Közvetlenül is megnyithatja az incidenst, és azonnal megkezdheti az elemzést. További információ: Incidensek kivizsgálása.
Az e-mail-értesítésekben hozzáadhat vagy eltávolíthat címzetteket. Az új címzettek a hozzáadásuk után értesítést kapnak az incidensekről.
Megjegyzés
Az e-mailes értesítési beállítások konfigurálásához a Biztonsági beállítások kezelése engedélyre van szüksége. Ha alapszintű engedélykezelést választott, a biztonsági rendszergazdai vagy globális rendszergazdai szerepkörrel rendelkező felhasználók konfigurálhatják az e-mail-értesítéseket.
Hasonlóképpen, ha a szervezet szerepköralapú hozzáférés-vezérlést (RBAC) használ, csak az Ön által kezelt eszközcsoportok alapján hozhat létre, szerkeszthet, törölhet és fogadhat értesítéseket.
Szabály létrehozása e-mail-értesítésekhez
Az alábbi lépéseket követve hozzon létre egy új szabályt, és szabja testre az e-mailes értesítési beállításokat.
A navigációs ablakban válassza a Beállítások > Microsoft 365 Defender > incidensről értesítő e-mail értesítéseket.
Válassza az Elem hozzáadása lehetőséget.
Az Alapvető beállítások lapon írja be a szabály nevét és leírását, majd válassza a Tovább gombot.
Az Értesítés beállításai lapon konfigurálja a következőt:
- Riasztás súlyossága – Válassza ki azokat a riasztási súlyosságokat, amelyek eseményértesítést váltanak ki. Ha például csak a nagy súlyosságú incidensekről szeretne értesülni, válassza a Magas lehetőséget.
- Eszközcsoport hatóköre – Megadhatja az összes eszközcsoportot, vagy választhat a bérlő eszközcsoportjainak listájából.
- Incidensenként csak az első előfordulásról szeretne értesítést kapni – Válassza ki, hogy csak az első riasztásról szeretne értesítést kapni, amely megfelel a többi kijelölésnek. Az incidenssel kapcsolatos későbbi frissítések vagy riasztások nem küldenek további értesítéseket.
- Adja meg a szervezet nevét az e-mailben – Válassza ki, hogy meg szeretné-e jeleníteni a szervezet nevét az e-mail-értesítésben.
- Bérlőspecifikus portálhivatkozás belefoglalása – Válassza ki, hogy fel szeretne-e venni egy, a bérlőazonosítóval rendelkező hivatkozást az e-mail-értesítésben egy adott Microsoft 365-bérlőhöz való hozzáféréshez.
Válassza a Tovább gombot. A Címzettek lapon adja meg azokat az e-mail-címeket, amelyek megkapják az incidensértesítéseket. Az egyes új e-mail-címek beírása után válassza a Hozzáadás lehetőséget. Az értesítések teszteléséhez és annak biztosításához, hogy a címzettek megkapják őket a beérkezett üzenetek között, válassza a Teszt e-mail küldése lehetőséget.
Válassza a Tovább gombot. A Szabály áttekintése lapon tekintse át a szabály beállításait, majd válassza a Szabály létrehozása lehetőséget. A címzettek a beállítások alapján e-mailben fognak értesítést kapni az incidensekről.
Meglévő szabály szerkesztéséhez válassza ki azt a szabályok listájából. A szabálynevet tartalmazó panelen válassza a Szabály szerkesztése lehetőséget, és végezze el a módosításokat az Alapvető beállítások, az Értesítési beállítások és a Címzettek lapon.
Szabály törléséhez jelölje ki a szabályt a szabályok listájából. A szabálynevet tartalmazó panelen válassza a Törlés lehetőséget.
Képzés biztonsági elemzőknek
A Microsoft Learn ebből a képzési moduljából megtudhatja, hogyan kezelheti az incidenseket és riasztásokat az Microsoft 365 Defender használatával.
| Képzés: | Incidensek kivizsgálása a Microsoft 365 Defender |
|---|---|
 |
Microsoft 365 Defender több szolgáltatás fenyegetésadatait egyesíti, és mesterséges intelligenciát használ az incidensek és riasztások összevonásához. Megtudhatja, hogyan minimalizálhatja az incidens és annak kezelése közötti időt a későbbi reagáláshoz és megoldáshoz. 27 perc – 6 egység |
Következő lépések
A felsorolt lépéseket a biztonsági csapat felhasználói élményszintje vagy szerepköre alapján használhatja.
Tapasztalati szint
Ezt a táblázatot követve áttekintheti a biztonsági elemzés és az incidenskezelés terén szerzett tapasztalatait.
| Szinten | Lépéseket |
|---|---|
| Új |
|
| Tapasztalt |
|
Biztonsági csapat szerepköre
Kövesse ezt a táblázatot a biztonsági csapat szerepköre alapján.
| Szerepkör | Lépéseket |
|---|---|
| Incidensre reagáló (1. réteg) | Az incidenssor használatának első lépései a Microsoft 365 Defender portál Incidensek lapján. Innen a következőkre van lehetőség:
|
| Biztonsági vizsgáló vagy elemző (2. réteg) |
|
| Fejlett biztonsági elemző vagy fenyegetésvadász (3. réteg) |
|
| SOC-kezelő | Megtudhatja, hogyan integrálhatja a Microsoft 365 Defender a Security Operations Centerbe (SOC). |