Badanie alertów zabezpieczeń usługi Defender for Identity w usłudze Microsoft Defender XDR
W tym artykule wyjaśniono podstawy pracy z alertami zabezpieczeń usługi Microsoft Defender for Identity w usłudze Microsoft Defender XDR.
Alerty usługi Defender for Identity są natywnie zintegrowane z usługą Microsoft Defender XDR z dedykowanym formatem strony alertu tożsamości.
Strona Alert dotyczący tożsamości zapewnia klientom usługi Microsoft Defender for Identity lepsze wzbogacanie sygnałów między domenami i nowe funkcje automatycznego reagowania na tożsamości. Zapewnia bezpieczeństwo i pomaga zwiększyć wydajność operacji zabezpieczeń.
Jedną z zalet badania alertów za pośrednictwem usługi Microsoft Defender XDR jest to, że alerty usługi Microsoft Defender for Identity są dodatkowo skorelowane z informacjami uzyskanymi z każdego z innych produktów w pakiecie. Te rozszerzone alerty są zgodne z innymi formatami alertów XDR w usłudze Microsoft Defender pochodzącymi z Ochrona usługi Office 365 w usłudze Microsoft Defender i Ochrona punktu końcowego w usłudze Microsoft Defender. Nowa strona skutecznie eliminuje konieczność przejścia do innego portalu produktów w celu zbadania alertów skojarzonych z tożsamością.
Alerty pochodzące z usługi Defender for Identity mogą teraz wyzwalać funkcje zautomatyzowanego badania i reagowania (AIR) w usłudze Microsoft Defender XDR, w tym automatyczne korygowanie alertów oraz środki zaradcze narzędzi i procesów, które mogą przyczynić się do podejrzanych działań.
Ważne
W ramach zbieżności z usługą Microsoft Defender XDR niektóre opcje i szczegóły zostały zmienione z ich lokalizacji w portalu usługi Defender for Identity. Przeczytaj poniższe szczegóły, aby dowiedzieć się, gdzie znaleźć zarówno znane, jak i nowe funkcje.
Przeglądanie alertów zabezpieczeń
Dostęp do alertów można uzyskać z wielu lokalizacji, w tym strony Alerty , strony Incydenty , strony poszczególnych urządzeń i strony Zaawansowane wyszukiwanie zagrożeń . W tym przykładzie zapoznamy się ze stroną Alerty.
W usłudze Microsoft Defender XDR przejdź do pozycji Zdarzenia i alerty , a następnie wybierz pozycję Alerty.
Aby wyświetlić alerty z usługi Defender for Identity, w prawym górnym rogu wybierz pozycję Filtr, a następnie w obszarze Źródła usług wybierz pozycję Microsoft Defender for Identity, a następnie wybierz pozycję Zastosuj:
Alerty są wyświetlane z informacjami w następujących kolumnach: Nazwa alertu, Tagi, Ważność, Stan badania, Stan, Kategoria, Źródło wykrywania, Zasoby, których dotyczy, Pierwsze działanie i Ostatnie działanie.
Kategorie alertów zabezpieczeń
Alerty zabezpieczeń usługi Defender for Identity są podzielone na następujące kategorie lub fazy, takie jak fazy występujące w typowym łańcuchu zagrożeń cybernetycznych.
- Alerty rekonesansu
- Alerty poświadczeń z naruszonym naruszeniem
- Alerty dotyczące przenoszenia bocznego
- Alerty dotyczące dominacji domeny
- Alerty eksfiltracji
Zarządzanie alertami
Jeśli wybierzesz nazwę alertu dla jednego z alertów, przejdziesz do strony ze szczegółowymi informacjami o alercie. W okienku po lewej stronie zobaczysz podsumowanie Co się stało:
Nad polem What happened (Co się stało) znajdują się przyciski dla pozycji Konta, Host docelowy i Host źródłowy alertu. W przypadku innych alertów można zobaczyć przyciski, aby uzyskać szczegółowe informacje o dodatkowych hostach, kontach, adresach IP, domenach i grupach zabezpieczeń. Wybierz dowolną z nich, aby uzyskać więcej szczegółowych informacji o zaangażowanych jednostkach.
W okienku po prawej stronie zobaczysz szczegóły alertu. W tym miejscu można wyświetlić więcej szczegółów i wykonać kilka zadań:
Klasyfikuj ten alert — w tym miejscu możesz wyznaczyć ten alert jako alert true lub false
Stan alertu — w obszarze Ustaw klasyfikację można sklasyfikować alert jako True lub False. W obszarze Przypisane do możesz przypisać alert do siebie lub cofnąć jego przypisanie.
Szczegóły alertu — w obszarze Szczegóły alertu możesz znaleźć więcej informacji na temat określonego alertu, skorzystać z linku do dokumentacji dotyczącej typu alertu, zobaczyć, z którym incydentem jest skojarzony alert, przejrzeć wszystkie zautomatyzowane badania związane z tym typem alertu i wyświetlić urządzenia i użytkowników, których dotyczy problem.
Komentarze i historia — tutaj możesz dodać komentarze do alertu i wyświetlić historię wszystkich akcji skojarzonych z alertem.
Zarządzanie alertem — jeśli wybierzesz pozycję Zarządzaj alertem, przejdziesz do okienka, w którym będzie można edytować następujące opcje:
Stan — możesz wybrać pozycję Nowe, Rozwiązane lub W toku.
Klasyfikacja — możesz wybrać opcję Prawdziwy alert lub Alert fałszu.
Komentarz — możesz dodać komentarz dotyczący alertu.
Jeśli wybierzesz trzy kropki obok pozycji Zarządzaj alertem, możesz połączyć alert z innym zdarzeniem, utworzyć regułę pomijania (dostępną tylko dla klientów w wersji zapoznawczej) lub zapytaj ekspertów usługi Defender.
Alert można również wyeksportować do pliku programu Excel. W tym celu wybierz pozycję Eksportuj.
Uwaga
W pliku programu Excel dostępne są dwa linki: Wyświetl w usłudze Microsoft Defender for Identity i Wyświetl w usłudze Microsoft Defender XDR. Każdy link spowoduje wyświetlenie odpowiedniego portalu i podanie informacji o alercie.
Dostrajanie alertów
Dostosuj alerty, aby dostosować je i zoptymalizować, zmniejszając liczbę wyników fałszywie dodatnich. Dostrajanie alertów umożliwia zespołom SOC skoncentrowanie się na alertach o wysokim priorytcie i ulepszanie pokrycia wykrywania zagrożeń w całym systemie. W usłudze Microsoft Defender XDR utwórz warunki reguły na podstawie typów dowodów, a następnie zastosuj regułę dla dowolnego typu reguły zgodnego z warunkami.
Aby uzyskać więcej informacji, zobacz Dostosowywanie alertu.
Zobacz też
Dowiedz się więcej
- Wypróbuj nasz interaktywny przewodnik: Wykrywanie podejrzanych działań i potencjalnych ataków za pomocą usługi Microsoft Defender for Identity