Reagowanie na zdarzenia za pomocą Microsoft 365 Defender

Uwaga

Chcesz skorzystać z usługi Microsoft 365 Defender? Dowiedz się więcej o tym, jak można oceniać i pilotować Microsoft 365 Defender.

Dotyczy:

  • Microsoft 365 Defender

Zdarzenie w Microsoft 365 Defender to kolekcja skorelowanych alertów i skojarzonych danych, które składają się na historię ataku.

Usługi i aplikacje platformy Microsoft 365 tworzą alerty po wykryciu podejrzanego lub złośliwego zdarzenia lub działania. Poszczególne alerty dostarczają cennych wskazówek dotyczących zakończonego lub trwającego ataku. Jednak ataki zwykle stosują różne techniki względem różnych typów jednostek, takich jak urządzenia, użytkownicy i skrzynki pocztowe. Wynikiem jest wiele alertów dla wielu jednostek w dzierżawie.

Ponieważ łączenie poszczególnych alertów w celu uzyskania wglądu w atak może być trudne i czasochłonne, Microsoft 365 Defender automatycznie agreguje alerty i skojarzone z nimi informacje w zdarzeniu.

Jak Microsoft 365 Defender skoreluje zdarzenia z jednostek w zdarzeniu.

Obejrzyj ten krótki przegląd zdarzeń w Microsoft 365 Defender (4 minuty).


Grupowanie powiązanych alertów w zdarzeniu zapewnia kompleksowy wgląd w atak. Możesz na przykład zobaczyć:

  • Gdzie rozpoczął się atak.
  • Jakiej taktyki użyto.
  • Jak daleko atak przeszedł do dzierżawy.
  • Zakres ataku, taki jak liczba urządzeń, użytkowników i skrzynek pocztowych, które zostały naruszone.
  • Wszystkie dane skojarzone z atakiem.

Jeśli ta opcja jest włączona, Microsoft 365 Defender może automatycznie badać i rozwiązywać alerty za pośrednictwem automatyzacji i sztucznej inteligencji. Możesz również wykonać dodatkowe kroki korygowania, aby rozwiązać problem z atakiem.

Zdarzenia i alerty w portalu Microsoft 365 Defender

Zdarzeniami można zarządzać z poziomu alertów & incydentów > zdarzeń przy szybkim uruchomieniu portalu Microsoft 365 Defender. Oto przykład.

Strona Zdarzenia w portalu Microsoft 365 Defender.

Wybranie nazwy zdarzenia powoduje wyświetlenie podsumowania zdarzenia i zapewnia dostęp do kart z dodatkowymi informacjami. Oto przykład.

Strona Podsumowanie zdarzenia w portalu Microsoft 365 Defender

Dodatkowe karty dotyczące zdarzenia to:

  • Alerty

    Wszystkie alerty związane ze zdarzeniem i ich informacjami.

  • Urządzeń

    Wszystkie urządzenia, które zostały zidentyfikowane jako część zdarzenia lub są z nimi powiązane.

  • Użytkownicy

    Wszyscy użytkownicy, którzy zostali zidentyfikowani jako część zdarzenia lub są z nimi powiązani.

  • Skrzynek pocztowych

    Wszystkie skrzynki pocztowe, które zostały zidentyfikowane jako należące do zdarzenia lub związane z tym zdarzeniem.

  • Dochodzenia

    Wszystkie zautomatyzowane badania wyzwalane przez alerty w zdarzeniu.

  • Dowody i odpowiedź

    Wszystkie obsługiwane zdarzenia i podejrzane jednostki w alertach zdarzenia.

  • Graph (wersja zapoznawcza)

    Wizualna reprezentacja ataku łącząca różne podejrzane jednostki, które są częścią ataku, z powiązanymi zasobami, takimi jak użytkownicy, urządzenia i skrzynki pocztowe.

Oto relacja między zdarzeniem i jego danymi oraz karty zdarzenia w portalu Microsoft 365 Defender.

Relacja zdarzenia i jego danych z kartami zdarzenia w portalu Microsoft 365 Defender.

Uwaga

Jeśli widzisz stan alertu Nieobsługiwany typ alertu , oznacza to, że funkcje zautomatyzowanego badania nie mogą odebrać tego alertu w celu uruchomienia zautomatyzowanego badania. Można jednak zbadać te alerty ręcznie.

Przykładowy przepływ pracy reagowania na zdarzenia dla Microsoft 365 Defender

Oto przykładowy przepływ pracy umożliwiający reagowanie na zdarzenia w usłudze Microsoft 365 za pomocą portalu Microsoft 365 Defender.

Przykład przepływu pracy reagowania na zdarzenia dla portalu Microsoft 365 Defender.

Na bieżąco zidentyfikuj zdarzenia o najwyższym priorytecie do analizy i rozwiązania w kolejce zdarzeń i przygotuj je do odpowiedzi. Jest to kombinacja następujących elementów:

  • Klasyfikowanie do określania zdarzeń o najwyższym priorytecie poprzez filtrowanie i sortowanie kolejki zdarzeń.
  • Zarządzanie zdarzeniami przez modyfikowanie ich tytułu, przypisywanie ich do analityka oraz dodawanie tagów i komentarzy.

Rozważ następujące kroki dla własnego przepływu pracy reagowania na zdarzenia:

  1. Dla każdego incydentu rozpocznij badanie i analizę ataków i alertów:

    1. Wyświetl podsumowanie zdarzenia, aby zrozumieć jego zakres i ważność oraz wpływ na jednostki na kartach Podsumowanie i Graph (wersja zapoznawcza).

    2. Rozpocznij analizowanie alertów w celu zrozumienia ich pochodzenia, zakresu i ważności za pomocą karty Alerty .

    3. W razie potrzeby zbierz informacje o urządzeniach, użytkownikach i skrzynkach pocztowych, korzystając z kart Urządzenia, Użytkownicy i Skrzynki pocztowe .

    4. Zobacz, jak Microsoft 365 Defender automatycznie rozwiązało niektóre alerty za pomocą karty Badania.

    5. W razie potrzeby użyj informacji w zestawie danych dla zdarzenia, aby uzyskać więcej informacji na karcie Dowody i odpowiedź .

  2. Po lub w trakcie analizy wykonaj hermetyzację w celu zmniejszenia dodatkowego wpływu ataku i wyeliminowania zagrożenia bezpieczeństwa.

  3. Jak najwięcej, odzyskaj sprawę po ataku, przywracając zasoby dzierżawy do stanu, w jakim znajdowały się przed incydentem.

  4. Rozwiąż zdarzenie i poświęć czas na uczenie się po zdarzeniu:

    • Informacje o typie ataku i jego wpływie.
    • Zbadaj atak w usłudze Threat Analytics i społeczności zabezpieczeń pod kątem trendu ataku na zabezpieczenia.
    • Przypomnij sobie przepływ pracy używany do rozwiązania zdarzenia i zaktualizowania standardowych przepływów pracy, procesów, zasad i podręczników w razie potrzeby.
    • Określ, czy potrzebne są zmiany w konfiguracji zabezpieczeń i zaimplementuj je.

Jeśli jesteś nowym użytkownikiem analizy zabezpieczeń, zobacz wprowadzenie do reagowania na pierwsze zdarzenie, aby uzyskać dodatkowe informacje i przejść przez przykładowe zdarzenie.

Aby uzyskać więcej informacji na temat reagowania na zdarzenia w produktach firmy Microsoft, zobacz ten artykuł.

Przykładowe operacje zabezpieczeń dla Microsoft 365 Defender

Oto przykład operacji zabezpieczeń (SecOps) dla Microsoft 365 Defender.

Przykład operacji zabezpieczeń dla Microsoft 365 Defender

Codzienne zadania mogą obejmować:

Zadania miesięczne mogą obejmować:

Zadania kwartalne mogą obejmować raport i informacje o wynikach zabezpieczeń dla dyrektora ds. zabezpieczeń informacji (CISO).

Zadania roczne mogą obejmować przeprowadzenie poważnego zdarzenia lub naruszenia zabezpieczeń w celu przetestowania personelu, systemów i procesów.

Codzienne, miesięczne, kwartalne i roczne zadania mogą służyć do aktualizowania lub uściślania procesów, zasad i konfiguracji zabezpieczeń.

Aby uzyskać więcej informacji, zobacz Integrowanie Microsoft 365 Defender z operacjami zabezpieczeń.

Zasoby usługi SecOps w produktach firmy Microsoft

Aby uzyskać więcej informacji o usłudze SecOps w produktach firmy Microsoft, zobacz następujące zasoby:

Pobieranie powiadomień o zdarzeniach pocztą e-mail

Możesz skonfigurować Microsoft 365 Defender, aby powiadomić pracowników pocztą e-mail o nowych zdarzeniach lub aktualizacjach istniejących zdarzeń. Możesz wybrać opcję otrzymywania powiadomień na podstawie:

  • Ważność alertu
  • Źródła alertów
  • Grupa urządzeń

Wybierz opcję otrzymywania powiadomień e-mail tylko dla określonego źródła usługi: możesz łatwo wybrać określone źródła usług, dla których chcesz otrzymywać powiadomienia e-mail.

Uzyskaj większy stopień szczegółowości z określonymi źródłami wykrywania: powiadomienia można otrzymywać tylko dla określonego źródła wykrywania.

Ustaw ważność na wykrywanie lub źródło usługi: możesz otrzymywać powiadomienia e-mail tylko o określonych ważnościach na źródło. Można na przykład otrzymywać powiadomienia o alertach średnich i wysokich dla EDR oraz o wszystkich ważnościach dla ekspertów usługi Microsoft Defender.

Powiadomienie e-mail zawiera między innymi ważne informacje o zdarzeniu, takie jak nazwa zdarzenia, ważność i kategorie. Możesz również przejść bezpośrednio do zdarzenia i od razu rozpocząć analizę. Aby uzyskać więcej informacji, zobacz Badanie zdarzeń.

W powiadomieniach e-mail możesz dodawać lub usuwać adresatów. Nowi adresaci otrzymują powiadomienia o zdarzeniach po ich dodaniu.

Uwaga

Aby skonfigurować ustawienia powiadomień e-mail, potrzebne jest uprawnienie Zarządzanie ustawieniami zabezpieczeń . Jeśli wybrano użycie podstawowego zarządzania uprawnieniami, użytkownicy z rolami administratora zabezpieczeń lub administratora globalnego mogą konfigurować powiadomienia e-mail.

Podobnie, jeśli organizacja korzysta z kontroli dostępu opartej na rolach (RBAC), możesz tworzyć, edytować, usuwać i odbierać powiadomienia na podstawie grup urządzeń, które mogą być zarządzane.

Tworzenie reguły dla powiadomień e-mail

Wykonaj następujące kroki, aby utworzyć nową regułę i dostosować ustawienia powiadomień e-mail.

  1. Przejdź do Microsoft 365 Defender w okienku nawigacji, wybierz pozycję Ustawienia > Microsoft 365 Defender > powiadomienia e-mail o zdarzeniach.

  2. Wybierz pozycję Dodaj element.

  3. Na stronie Podstawy wpisz nazwę reguły i opis, a następnie wybierz pozycję Dalej.

  4. Na stronie Ustawienia powiadomień skonfiguruj:

    • Ważność alertu — wybierz ważność alertów, które będą wyzwalać powiadomienie o zdarzeniu. Jeśli na przykład chcesz mieć tylko informacje o zdarzeniach o wysokiej ważności, wybierz pozycję Wysoki.
    • Zakres grupy urządzeń — możesz określić wszystkie grupy urządzeń lub wybrać z listy grup urządzeń w dzierżawie.
    • Wyślij tylko jedno powiadomienie na zdarzenie — wybierz, czy chcesz mieć jedno powiadomienie na zdarzenie.
    • Dołącz nazwę organizacji do wiadomości e-mail — wybierz, czy nazwa organizacji ma być wyświetlana w powiadomieniu e-mail.
    • Dołącz link do portalu specyficznego dla dzierżawy — wybierz, czy chcesz dodać link z identyfikatorem dzierżawy w powiadomieniu e-mail w celu uzyskania dostępu do określonej dzierżawy platformy Microsoft 365.

    Zrzut ekranu przedstawiający stronę Ustawienia powiadomień dla powiadomień e-mail o zdarzeniach w portalu Microsoft 365 Defender.

  5. Wybierz pozycję Dalej. Na stronie Adresaci dodaj adresy e-mail, które będą otrzymywać powiadomienia o zdarzeniu. Wybierz pozycję Dodaj po wpisaniu każdego nowego adresu e-mail. Aby przetestować powiadomienia i upewnić się, że adresaci otrzymają je w skrzynkach odbiorczych, wybierz pozycję Wyślij testowy adres e-mail.

  6. Wybierz pozycję Dalej. Na stronie Przejrzyj regułę przejrzyj ustawienia reguły, a następnie wybierz pozycję Utwórz regułę. Adresaci zaczną otrzymywać powiadomienia o zdarzeniach za pośrednictwem poczty e-mail na podstawie ustawień.

Aby edytować istniejącą regułę, wybierz ją z listy reguł. W okienku o nazwie reguły wybierz pozycję Edytuj regułę i wprowadź zmiany na stronach Podstawy, Ustawienia powiadomień i Adresaci .

Aby usunąć regułę, wybierz ją z listy reguł. W okienku o nazwie reguły wybierz pozycję Usuń.

Po otrzymaniu powiadomienia możesz przejść bezpośrednio do zdarzenia i od razu rozpocząć dochodzenie. Aby uzyskać więcej informacji na temat badania zdarzeń, zobacz Badanie zdarzeń w Microsoft 365 Defender.

Szkolenia dla analityków zabezpieczeń

Skorzystaj z tego modułu szkoleniowego z usługi Microsoft Learn, aby dowiedzieć się, jak używać Microsoft 365 Defender do zarządzania zdarzeniami i alertami.

Szkolenia: Badanie zdarzeń za pomocą Microsoft 365 Defender
Badanie zdarzeń za pomocą ikony trenowania Microsoft 365 Defender. Microsoft 365 Defender ujednolica dane zagrożeń z wielu usług i używa sztucznej inteligencji do łączenia ich w zdarzenia i alerty. Dowiedz się, jak zminimalizować czas między zdarzeniem a jego zarządzaniem w celu późniejszego reagowania i rozwiązywania problemów.

27 min — 6 jednostek

Następne kroki

Wykonaj wymienione kroki na podstawie poziomu doświadczenia lub roli w zespole ds. zabezpieczeń.

Poziom doświadczenia

Postępuj zgodnie z tą tabelą, aby uzyskać poziom doświadczenia w zakresie analizy zabezpieczeń i reagowania na zdarzenia.

Poziom Kroki
Nowy
  1. Zapoznaj się z przewodnikiem Reagowanie na pierwsze zdarzenie, aby zapoznać się z przewodnikiem po typowym procesie analizy, korygowania i przeglądu po zdarzeniu w portalu Microsoft 365 Defender z przykładem ataku.
  2. Sprawdź, które zdarzenia powinny być traktowane priorytetowo na podstawie ważności i innych czynników.
  3. Zarządzanie zdarzeniami, w tym zmienianie nazw, przypisywanie, klasyfikowanie i dodawanie tagów i komentarzy na podstawie przepływu pracy zarządzania zdarzeniami.
Doświadczonych
  1. Rozpocznij pracę z kolejką zdarzeń na stronie Zdarzenia w portalu Microsoft 365 Defender. W tym miejscu można wykonywać następujące czynności:
  2. Śledzenie pojawiających się zagrożeń i reagowanie na nie przy użyciu analizy zagrożeń.
  3. Proaktywne wyszukiwanie zagrożeń przy użyciu zaawansowanego wyszukiwania zagrożeń.
  4. Zobacz te podręczniki reagowania na zdarzenia, aby uzyskać szczegółowe wskazówki dotyczące wyłudzania informacji, sprayu haseł i ataków udzielania zgody aplikacji.

Rola zespołu ds. zabezpieczeń

Postępuj zgodnie z tą tabelą w oparciu o rolę zespołu ds. zabezpieczeń.

Rola Kroki
Osoba reagująca na zdarzenia (warstwa 1) Rozpocznij pracę z kolejką zdarzeń na stronie Zdarzenia w portalu Microsoft 365 Defender. W tym miejscu można wykonywać następujące czynności:
  • Sprawdź, które zdarzenia powinny być traktowane priorytetowo na podstawie ważności i innych czynników.
  • Zarządzanie zdarzeniami, w tym zmienianie nazw, przypisywanie, klasyfikowanie i dodawanie tagów i komentarzy na podstawie przepływu pracy zarządzania zdarzeniami.
Badacz zabezpieczeń lub analityk (warstwa 2)
  1. Przeprowadź badania zdarzeń na stronie Zdarzenia w portalu Microsoft 365 Defender.
  2. Zobacz te podręczniki reagowania na zdarzenia, aby uzyskać szczegółowe wskazówki dotyczące wyłudzania informacji, sprayu haseł i ataków udzielania zgody aplikacji.
Zaawansowany analityk zabezpieczeń lub łowca zagrożeń (warstwa 3)
  1. Przeprowadź badania zdarzeń na stronie Zdarzenia w portalu Microsoft 365 Defender.
  2. Śledzenie pojawiających się zagrożeń i reagowanie na nie przy użyciu analizy zagrożeń.
  3. Proaktywne wyszukiwanie zagrożeń przy użyciu zaawansowanego wyszukiwania zagrożeń.
  4. Zobacz te podręczniki reagowania na zdarzenia, aby uzyskać szczegółowe wskazówki dotyczące wyłudzania informacji, sprayu haseł i ataków udzielania zgody aplikacji.
Menedżer SOC Zobacz, jak zintegrować Microsoft 365 Defender z centrum operacji zabezpieczeń (SOC).