Исследование оповещений в Microsoft 365 Defender

Примечание

Хотите попробовать Microsoft 365 Defender? Узнайте больше о том, как оценить и выполнить пилотное Microsoft 365 Defender.

Область применения:

  • Microsoft 365 Defender

Примечание

В этой статье описываются оповещения системы безопасности в Microsoft 365 Defender. Однако вы можете использовать оповещения о действиях для отправки уведомлений по электронной почте себе или другим администраторам, когда пользователи выполняют определенные действия в Microsoft 365. Дополнительные сведения см. в разделе "Создание оповещений о действиях — Microsoft Purview | Документация Майкрософт.

Оповещения являются основой всех инцидентов и указывают на наличие вредоносных или подозрительных событий в вашей среде. Оповещения обычно являются частью более широкой атаки и предоставляют подсказки об инциденте.

В Microsoft 365 Defender связанные оповещения объединяются для формирования инцидентов. Инциденты всегда предоставляют более широкий контекст атаки, однако анализ оповещений может быть полезным, если требуется более глубокий анализ.

В очереди оповещений отображается текущий набор оповещений. Вы получаете очередь оповещений из & оповещения > оповещений при быстром запуске Microsoft 365 Defender портале.

Раздел "Оповещения" на Microsoft 365 Defender портале

Здесь отображаются оповещения от различных решений майкрософт по обеспечению безопасности, таких как Microsoft Defender для конечной точки, Microsoft Defender для Office 365 и Microsoft 365 Defender.

По умолчанию очередь оповещений на портале Microsoft 365 Defender отображает новые и используемые оповещения за последние 30 дней. Последнее оповещение находится в верхней части списка, чтобы вы могли увидеть его первым.

В очереди оповещений по умолчанию можно выбрать фильтр, чтобы просмотреть область фильтра, в которой можно указать подмножество оповещений. Ниже приведен пример.

Раздел "Фильтры" на Microsoft 365 Defender портале.

Оповещения можно фильтровать по следующим критериям:

  • Severity
  • Статус
  • Служебные источники
  • Сущности (затронутые ресурсы)
  • Состояние автоматического исследования

Необходимые роли для Defender для Office 365 оповещений

Для доступа к оповещениям Microsoft Defender для Office 365 вам потребуется любая из следующих ролей:

  • Для Azure Active Directory глобальных ролей (Azure AD):

    • Глобальный администратор

    • Администратор безопасности

    • Оператор безопасности

    • Глобальный читатель

    • Читатель сведений о безопасности

  • Office 365 групп ролей & безопасности

    • Администратор соответствия требованиям

    • Управление организацией

  • Настраиваемая роль

Анализ оповещения

Чтобы просмотреть главную страницу оповещений, выберите имя оповещения. Ниже приведен пример.

Сведения об оповещении на Microsoft 365 Defender портале

Вы также можете выбрать действие "Открыть главную страницу оповещений " в области "Управление оповещениями".

Страница оповещений состоит из следующих разделов:

  • История оповещений, которая представляет собой цепочку событий и оповещений, связанных с этим оповещением в хронологическом порядке
  • Сводные сведения

На странице оповещений можно выбрать многоточие (...) рядом с любой сущностью, чтобы просмотреть доступные действия, например связать оповещение с другим инцидентом. Список доступных действий зависит от типа оповещения.

Источники оповещений

Microsoft 365 Defender оповещения могут поступать из таких решений, как Microsoft Defender для конечной точки, Microsoft Defender для Office 365, Microsoft Defender for Cloud Apps и надстройка управления приложениями для Microsoft Defender for Cloud Apps. В оповещении можно заметить оповещения с добавленными символами. В следующей таблице приведены рекомендации по сопоставлению источников оповещений на основе предостановки в оповещении.

Примечание

  • Добавленные GUID относятся только к унифицированным интерфейсам, таким как очередь унифицированных оповещений, страница унифицированных оповещений, унифицированное исследование и унифицированный инцидент.
  • Символ, добавленный в начало, не изменяет GUID оповещения. Единственным изменением GUID является компонент, добавленный в начало.
Источник оповещений Символ с добавлением в начало
Microsoft Defender для Office 365 fa{GUID}
Пример: fa123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Defender для конечной точки da или ed для настраиваемых оповещений об обнаружении
Microsoft Defender для удостоверений aa{GUID}
Пример: aa123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Defender for Cloud Apps ca{GUID}
Пример: ca123a456b-c789-1d2e-12f1g33h445h6i

Анализ затронутых ресурсов

В разделе "Выполненные действия" содержится список затронутых ресурсов, таких как почтовые ящики, устройства и пользователи, затронутые этим оповещением.

Вы также можете выбрать "Вид в центре уведомлений", чтобы просмотреть вкладку "Журнал" центра уведомлений на Microsoft 365 Defender портале.

Трассировка роли оповещения в истории оповещений

В этой статье отображаются все ресурсы или сущности, связанные с оповещением, в представлении дерева процессов. Оповещение в заголовке находится в фокусе при первом переходе на страницу выбранного оповещения. Ресурсы в истории оповещений можно развернуть и щелкнуть. Они предоставляют дополнительные сведения и ускоряют ответ, позволяя вам выполнять действия прямо в контексте страницы оповещений.

Примечание

Раздел "История оповещений" может содержать несколько оповещений, а дополнительные оповещения, связанные с одним деревом выполнения, отображаются до или после выбранного оповещения.

Просмотр дополнительных сведений об оповещении на странице сведений

На странице сведений отображаются сведения о выбранном оповещении с подробными сведениями и действиями, связанными с ним. При выборе любого из затронутых ресурсов или сущностей в истории оповещений страница сведений изменяется, чтобы предоставить контекстную информацию и действия для выбранного объекта.

Когда вы выберете интересующую сущность, страница сведений изменится, чтобы отобразить сведения о выбранном типе сущности, исторические сведения, когда она доступна, и параметры для реализации действий с этой сущностью непосредственно со страницы оповещения.

Управление оповещениями

Чтобы управлять оповещением, выберите "Управление оповещением" в разделе сводных сведений на странице оповещения. Ниже приведен пример области "Управление оповещениями" для одного оповещения.

Раздел "Управление оповещениями" на Microsoft 365 Defender портале

Панель " Управление оповещениями" позволяет просматривать или указывать:

  • Состояние оповещения ("Новое", "Разрешено", "Выполняется").

  • Учетная запись пользователя, которой было назначено оповещение.

  • Классификация оповещения:

    • Не задано (по умолчанию).

    • Истинно положительный результат с типом угрозы. Используйте эту классификацию для оповещений, которые точно указывают на реальную угрозу. Указание типа угрозы помогает команде безопасности обнаруживать шаблоны угроз и защищать организацию от них.

    • Информационное, ожидаемое действие с типом действия. Используйте параметры в этой категории для классификации оповещений для тестов безопасности, действий красной команды и ожидаемого необычного поведения от доверенных приложений и пользователей.

    • Ложноположительный результат для типов оповещений, созданных даже при отсутствии вредоносных действий. Классификация оповещений как ложноположительных помогает Microsoft 365 Defender улучшить качество обнаружения.

  • Комментарий к оповещению.

Примечание

Один из способов управления оповещениями с помощью тегов. Возможность добавления тегов для Microsoft Defender для Office 365 постепенно развертывается и в настоящее время находится на этапе предварительной версии.
В настоящее время измененные имена тегов применяются только к оповещениям, созданным после обновления. Оповещения, созданные до изменения, не будут отражать обновленное имя тега.

Чтобы управлять набором оповещений аналогично определенному оповещению, выберите "Просмотреть похожие оповещения" в поле "Аналитика" в разделе сводных сведений на странице оповещения.

Управление оповещением на Microsoft 365 Defender портале

На панели "Управление оповещениями " можно классифицировать все связанные оповещения одновременно. Ниже приведен пример.

Управление связанными оповещениями на Microsoft 365 Defender портале

Если аналогичные оповещения уже были классифицированы в прошлом, вы можете сэкономить время, используя Microsoft 365 Defender рекомендации, чтобы узнать, как были разрешены другие оповещения. В разделе сводных сведений выберите Рекомендации.

Пример выбора рекомендаций для оповещения

На Рекомендации содержатся дальнейшие действия и советы по анализу, исправлению и предотвращению. Ниже приведен пример.

Пример рекомендаций по оповещениям

Устранение предупреждения

Завершив анализ оповещения и его устранение, перейдите в область "Управление оповещениями" для оповещений или аналогичных оповещений и пометьте состояние как разрешенное, а затем классифицируйте его как истинно положительное с типом угрозы, информационным , ожидаемым действием с типом действия или ложным срабатыванием.

Классификация оповещений Microsoft 365 Defender улучшить качество обнаружения.

Использование Power Automate для рассмотрения оповещений

Для эффективной работы современных команд по операциям безопасности (SecOps) требуется автоматизация. Чтобы сосредоточиться на поиске и анализе реальных угроз, команды SecOps используют Power Automate для рассмотрения списка оповещений и устранения угроз, которые не являются угрозами.

Критерии для разрешения оповещений

  • У пользователя включено сообщение "Нет на компьютере"

  • Пользователь не помечен как высокий риск

Если оба значения верны, SecOps помечает оповещение как допустимое перемещение и разрешает его. Уведомление будет опубликовано в Microsoft Teams после того, как оповещение будет разрешено.

Подключение Power Automate Microsoft Defender for Cloud Apps

Чтобы создать автоматизацию, вам потребуется маркер API, прежде чем подключиться Power Automate к Microsoft Defender for Cloud Apps.

  1. Щелкните Параметры**, выберите расширения** безопасности и нажмите кнопку " Добавить токен" на вкладке "Маркеры API".

  2. Укажите имя маркера и нажмите кнопку "Создать ". Сохраните маркер, так как он понадобится позже.

Создание автоматизированного потока

Подробные пошаговые инструкции см. в видео.

В этом видео также описывается, как подключить Power Automate к Defender для облака Apps.

Дальнейшие действия

При необходимости в случае инцидентов в процессе продолжайте исследование.

См. также