Badanie alertów zabezpieczeń usługi Defender for Identity w usłudze Microsoft Defender XDR

W tym artykule wyjaśniono podstawy pracy z alertami zabezpieczeń usługi Microsoft Defender for Identity w usłudze Microsoft Defender XDR.

Alerty usługi Defender for Identity są natywnie zintegrowane z usługą Microsoft Defender XDR z dedykowanym formatem strony alertu tożsamości.

Strona Alert dotyczący tożsamości zapewnia klientom usługi Microsoft Defender for Identity lepsze wzbogacanie sygnałów między domenami i nowe funkcje automatycznego reagowania na tożsamości. Zapewnia bezpieczeństwo i pomaga zwiększyć wydajność operacji zabezpieczeń.

Jedną z zalet badania alertów za pośrednictwem usługi Microsoft Defender XDR jest to, że alerty usługi Microsoft Defender for Identity są dodatkowo skorelowane z informacjami uzyskanymi z każdego z innych produktów w pakiecie. Te rozszerzone alerty są zgodne z innymi formatami alertów XDR w usłudze Microsoft Defender pochodzącymi z Ochrona usługi Office 365 w usłudze Microsoft Defender i Ochrona punktu końcowego w usłudze Microsoft Defender. Nowa strona skutecznie eliminuje konieczność przejścia do innego portalu produktów w celu zbadania alertów skojarzonych z tożsamością.

Alerty pochodzące z usługi Defender for Identity mogą teraz wyzwalać funkcje zautomatyzowanego badania i reagowania (AIR) w usłudze Microsoft Defender XDR, w tym automatyczne korygowanie alertów oraz środki zaradcze narzędzi i procesów, które mogą przyczynić się do podejrzanych działań.

Ważne

W ramach zbieżności z usługą Microsoft Defender XDR niektóre opcje i szczegóły zostały zmienione z ich lokalizacji w portalu usługi Defender for Identity. Przeczytaj poniższe szczegóły, aby dowiedzieć się, gdzie znaleźć zarówno znane, jak i nowe funkcje.

Przeglądanie alertów zabezpieczeń

Dostęp do alertów można uzyskać z wielu lokalizacji, w tym strony Alerty , strony Incydenty , strony poszczególnych urządzeń i strony Zaawansowane wyszukiwanie zagrożeń . W tym przykładzie zapoznamy się ze stroną Alerty.

W usłudze Microsoft Defender XDR przejdź do pozycji Zdarzenia i alerty , a następnie wybierz pozycję Alerty.

Aby wyświetlić alerty z usługi Defender for Identity, w prawym górnym rogu wybierz pozycję Filtr, a następnie w obszarze Źródła usług wybierz pozycję Microsoft Defender for Identity, a następnie wybierz pozycję Zastosuj:

Alerty są wyświetlane z informacjami w następujących kolumnach: Nazwa alertu, Tagi, Ważność, Stan badania, Stan, Kategoria, Źródło wykrywania, Zasoby, których dotyczy, Pierwsze działanie i Ostatnie działanie.

Kategorie alertów zabezpieczeń

Alerty zabezpieczeń usługi Defender for Identity są podzielone na następujące kategorie lub fazy, takie jak fazy występujące w typowym łańcuchu zagrożeń cybernetycznych.

• Alerty rekonesansu
• Alerty poświadczeń z naruszonym naruszeniem
• Alerty dotyczące przenoszenia bocznego
• Alerty dotyczące dominacji domeny
• Alerty eksfiltracji

Zarządzanie alertami

Jeśli wybierzesz nazwę alertu dla jednego z alertów, przejdziesz do strony ze szczegółowymi informacjami o alercie. W okienku po lewej stronie zobaczysz podsumowanie Co się stało:

Nad polem What happened (Co się stało) znajdują się przyciski dla pozycji Konta, Host docelowy i Host źródłowy alertu. W przypadku innych alertów można zobaczyć przyciski, aby uzyskać szczegółowe informacje o dodatkowych hostach, kontach, adresach IP, domenach i grupach zabezpieczeń. Wybierz dowolną z nich, aby uzyskać więcej szczegółowych informacji o zaangażowanych jednostkach.

W okienku po prawej stronie zobaczysz szczegóły alertu. W tym miejscu można wyświetlić więcej szczegółów i wykonać kilka zadań:

• Klasyfikuj ten alert — w tym miejscu możesz wyznaczyć ten alert jako alert true lub false

  

• Stan alertu — w obszarze Ustaw klasyfikację można sklasyfikować alert jako True lub False. W obszarze Przypisane do możesz przypisać alert do siebie lub cofnąć jego przypisanie.

  

• Szczegóły alertu — w obszarze Szczegóły alertu możesz znaleźć więcej informacji na temat określonego alertu, skorzystać z linku do dokumentacji dotyczącej typu alertu, zobaczyć, z którym incydentem jest skojarzony alert, przejrzeć wszystkie zautomatyzowane badania związane z tym typem alertu i wyświetlić urządzenia i użytkowników, których dotyczy problem.

  

• Komentarze i historia — tutaj możesz dodać komentarze do alertu i wyświetlić historię wszystkich akcji skojarzonych z alertem.

  

• Zarządzanie alertem — jeśli wybierzesz pozycję Zarządzaj alertem, przejdziesz do okienka, w którym będzie można edytować następujące opcje:

  • Stan — możesz wybrać pozycję Nowe, Rozwiązane lub W toku.

  • Klasyfikacja — możesz wybrać opcję Prawdziwy alert lub Alert fałszu.

  • Komentarz — możesz dodać komentarz dotyczący alertu.

  • Jeśli wybierzesz trzy kropki obok pozycji Zarządzaj alertem, możesz połączyć alert z innym zdarzeniem, utworzyć regułę pomijania (dostępną tylko dla klientów w wersji zapoznawczej) lub zapytaj ekspertów usługi Defender.

    

    Alert można również wyeksportować do pliku programu Excel. W tym celu wybierz pozycję Eksportuj.

    Uwaga

    W pliku programu Excel dostępne są dwa linki: Wyświetl w usłudze Microsoft Defender for Identity i Wyświetl w usłudze Microsoft Defender XDR. Każdy link spowoduje wyświetlenie odpowiedniego portalu i podanie informacji o alercie.

Dostrajanie alertów

Dostosuj alerty, aby dostosować je i zoptymalizować, zmniejszając liczbę wyników fałszywie dodatnich. Dostrajanie alertów umożliwia zespołom SOC skoncentrowanie się na alertach o wysokim priorytcie i ulepszanie pokrycia wykrywania zagrożeń w całym systemie. W usłudze Microsoft Defender XDR utwórz warunki reguły na podstawie typów dowodów, a następnie zastosuj regułę dla dowolnego typu reguły zgodnego z warunkami.

Aby uzyskać więcej informacji, zobacz Dostosowywanie alertu.

Zobacz też

• Alerty zabezpieczeń usługi Microsoft Defender for Identity

Dowiedz się więcej

• Wypróbuj nasz interaktywny przewodnik: Wykrywanie podejrzanych działań i potencjalnych ataków za pomocą usługi Microsoft Defender for Identity