Изучение оповещений в Microsoft Defender XDR

  • Статья

Примечание.

Хотите испытать Microsoft Defender XDR? Узнайте больше о том, как оценивать и пилотно Microsoft Defender XDR.

Область применения:

  • Microsoft Defender XDR

Примечание.

В этой статье описаны оповещения системы безопасности в Microsoft Defender XDR. Однако оповещения о действиях можно использовать для отправки Уведомления по электронной почте себе или другим администраторам, когда пользователи выполняют определенные действия в Microsoft 365. Дополнительные сведения см. в статье Создание оповещений о действиях — Microsoft Purview | Документация Майкрософт.

Оповещения лежат в основе всех инцидентов и указывают на возникновение вредоносных или подозрительных событий в вашей среде. Оповещения обычно являются частью более широкой атаки и предоставляют подсказки об инциденте.

В Microsoft Defender XDR связанные оповещения объединяются для формирования инцидентов. Инциденты всегда предоставляют более широкий контекст атаки, однако анализ оповещений может быть полезным, если требуется более глубокий анализ.

В очереди оповещений отображается текущий набор оповещений. Вы получите в очередь оповещений из раздела Инциденты & оповещения оповещений > при быстром запуске портала Microsoft Defender.

Раздел Оповещения на портале Microsoft Defender

Здесь отображаются оповещения от различных решений безопасности Майкрософт, таких как Microsoft Defender для конечной точки, Microsoft Defender для Office 365 и Microsoft Defender XDR.

По умолчанию очередь оповещений на портале Microsoft Defender отображает новые и выполняемые оповещения за последние 30 дней. Самое последнее оповещение находится вверху списка, поэтому вы можете увидеть его первым.

В очереди оповещений по умолчанию можно выбрать Фильтр , чтобы просмотреть панель Фильтр , в которой можно указать подмножество оповещений. Ниже приведен пример.

Раздел Фильтры на портале Microsoft Defender.

Вы можете фильтровать оповещения по следующим критериям:

  • Severity
  • Состояние
  • Служебные источники
  • Объекты (затронутые активы)
  • Состояние автоматического расследования

Необходимые роли для оповещений Defender для Office 365

Для доступа к оповещениям Microsoft Defender для Office 365 вам потребуется любая из следующих ролей:

  • Для Microsoft Entra глобальных ролей:

    • Глобальный администратор
    • Администратор безопасности
    • Оператор безопасности
    • Глобальный читатель
    • Читатель сведений о безопасности

  • группы ролей соответствия требованиям Office 365 безопасности &

    • Администратор соответствия требованиям
    • Управление организацией

  • Настраиваемая роль

Анализ оповещения

Чтобы увидеть главную страницу предупреждения, выберите имя предупреждения. Ниже приведен пример.

Снимок экрана: сведения об оповещении на портале Microsoft Defender

Вы также можете выбрать действие Открыть страницу оповещения main на панели Управление оповещением.

Страница предупреждения состоит из следующих разделов:

  • История оповещений, которая представляет собой цепочку событий и оповещений, связанных с этим оповещением в хронологическом порядке
  • Сводная информация

На странице оповещения можно выбрать многоточие (...) рядом с любой сущностью, чтобы увидеть доступные действия, такие как связывание оповещения с другим инцидентом. Список доступных действий зависит от типа оповещения.

Источники оповещений

Microsoft Defender XDR оповещения могут поступать от таких решений, как Microsoft Defender для конечной точки, Microsoft Defender для Office 365, Microsoft Defender для удостоверений, Microsoft Defender for Cloud Apps, надстройка управления приложениями для Microsoft Defender for Cloud Apps, Защита Microsoft Entra IDи Защита от потери данных Майкрософт. Вы можете заметить предупреждения, предваряющиеся символами. В следующей таблице приведены рекомендации, которые помогут вам понять сопоставление источников предупреждений на основе предваряющего символа в предупреждении.

Примечание.

  • Предварительно добавленные идентификаторы GUID относятся только к унифицированным функциям, таким как унифицированная очередь оповещений, унифицированная страница оповещений, унифицированное расследование и унифицированный инцидент.
  • Добавленный символ не изменяет GUID оповещения. Единственное изменение в GUID — добавленный компонент.
Источник оповещения Предварительный символ
Microsoft Defender XDR ra
ta для ThreatExperts
ea for DetectionSource = DetectionSource.CustomDetection
Microsoft Defender для Office 365 fa{GUID}
Пример: fa123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Defender для конечной точки da или ed для настраиваемых предупреждений об обнаружении
Microsoft Defender для удостоверений aa{GUID}
Пример: aa123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Defender for Cloud Apps ca{GUID}
Пример: ca123a456b-c789-1d2e-12f1g33h445h6i
Защита Microsoft Entra ID ad
Управление приложениями ma
Защита от потери данных (Майкрософт) dl

Настройка службы оповещений Microsoft Entra IP-адресов

  1. Перейдите на портал Microsoft Defender (security.microsoft.com), выберите Параметры>Microsoft Defender XDR.

  2. В списке выберите Параметры службы оповещений, а затем настройте службу оповещений Защита Microsoft Entra ID.

    Снимок экрана: параметр Защита Microsoft Entra ID оповещений на портале Microsoft Defender.

По умолчанию включены только наиболее важные оповещения для центра операций безопасности. Если вы хотите получить все Microsoft Entra обнаружения рисков IP-адресов, вы можете изменить его в разделе Параметры службы оповещений.

Вы также можете получить доступ к параметрам службы оповещений непосредственно на странице Инциденты на портале Microsoft Defender.

Важно!

Некоторые сведения относятся к предварительным выпускам продуктов, которые могут быть существенно изменены до коммерческого выпуска. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.

Проанализируйте затронутые активы

В разделе Предпринятые действия есть список затронутых ресурсов, таких как почтовые ящики, устройства и пользователи, затронутые этим предупреждением.

Вы также можете выбрать Вид в центре уведомлений, чтобы просмотреть вкладку Журналцентра уведомлений на портале Microsoft Defender.

Отслеживание роли оповещения в истории оповещения

История предупреждений отображает все активы или сущности, связанные с предупреждением, в виде дерева процессов. Оповещение в заголовке находится в центре внимания, когда вы впервые попадаете на страницу выбранного оповещения. Ресурсы в истории оповещений можно развертывать и щелкать. Они предоставляют дополнительную информацию и ускоряют ваш ответ, позволяя вам действовать прямо в контексте страницы с предупреждением.

Примечание.

Раздел истории оповещений может содержать несколько оповещений, при этом дополнительные оповещения, связанные с тем же деревом выполнения, отображаются до или после выбранного оповещения.

Просмотрите дополнительную информацию об оповещениях на странице сведений

На странице сведений отображаются сведения о выбранном оповещении с подробными сведениями и связанными с ним действиями. Если вы выберете любой из затронутых активов или объектов в истории оповещений, страница сведений изменится, чтобы предоставить контекстную информацию и действия для выбранного объекта.

После выбора интересующей сущности страница сведений изменится для отображения сведений о выбранном типе сущности, исторических сведений, когда она доступна, и параметров для выполнения действий с этой сущностью непосредственно со страницы оповещения.

Управление оповещениями

Чтобы управлять оповещением, выберите Управление оповещением в разделе сводных сведений на странице оповещения. Ниже приведен пример панели Управление оповещением для одного оповещения.

Снимок экрана: раздел

На панели Управление оповещениями можно просмотреть или указать:

  • Статус оповещения (Новое, Разрешено, В процессе).
  • Учетная запись пользователя, которой назначено оповещение.
  • Классификация предупреждений:
    • Не задано (по умолчанию).
    • Истинно положительный результат с типом угрозы. Используйте эту классификацию для предупреждений, которые точно указывают на реальную угрозу. При указании этого типа угрозы команда безопасности будет видеть шаблоны угроз и действовать для защиты вашей организации от них.
    • Информационное ожидаемое действие с типом действия. Используйте этот параметр для оповещений, которые являются технически точными, но представляют собой нормальное поведение или имитацию активности угроз. Как правило, вы хотите игнорировать эти оповещения, но ожидать их для аналогичных действий в будущем, когда действия активируются фактическими злоумышленниками или вредоносными программами. Используйте параметры в этой категории для классификации оповещений о тестах безопасности, действиях красной команды и ожидаемом необычном поведении от доверенных приложений и пользователей.
    • Ложноположительный результат для типов оповещений, созданных даже при отсутствии вредоносных действий или ложном оповещении. Используйте параметры в этой категории для классификации оповещений, которые ошибочно определены как обычные события или действия как вредоносные или подозрительные. В отличие от оповещений для "Информационных, ожидаемых действий", которые также могут быть полезны для перехвата реальных угроз, вы, как правило, не хотите видеть эти оповещения снова. Классификация оповещений как ложноположительных помогает Microsoft Defender XDR улучшить качество обнаружения.
  • Комментарий к предупреждению.

Примечание.

Примерно 29 августа 2022 г. поддерживаемые ранее значения определения оповещений (Apt и SecurityPersonnel) будут нерекомендуемые и больше не будут доступны через API.

Примечание.

Один из способов управления оповещениями через использование тегов. Возможность добавления тегов для Microsoft Defender для Office 365 постепенно развертывается и в настоящее время находится в предварительной версии.

В настоящее время измененные имена тегов применяются только к оповещениям, созданным после обновления. Оповещения, созданные до изменения, не будут отражать обновленное имя тега.

Чтобы управлять набором оповещений, похожими на определенное оповещение, выберите Просмотреть аналогичные оповещения в поле АНАЛИТИКА в разделе сведений о сводке на странице оповещений.

Снимок экрана: выбор оповещения на портале Microsoft Defender

На панели Управление оповещениями можно одновременно классифицировать все связанные оповещения. Ниже приведен пример.

Снимок экрана: управление связанными оповещениями на портале Microsoft Defender

Если аналогичные оповещения уже классифицировались в прошлом, вы можете сэкономить время, используя Microsoft Defender XDR рекомендации, чтобы узнать, как разрешались другие оповещения. В разделе сводных данных выберите Рекомендации .

Снимок экрана: пример выбора рекомендаций для оповещения

На вкладке Рекомендации представлены дальнейшие действия и советы по расследованию, исправлению и предотвращению. Ниже приведен пример.

Снимок экрана: пример рекомендаций по оповещениям

Настройка оповещения

Будучи аналитиком центра управления безопасностью (SOC), одной из главных проблем является рассмотрение большого количества оповещений, которые активируются ежедневно. Время аналитика ценно, так как он хочет сосредоточиться только на оповещениях с высоким уровнем серьезности и высоким приоритетом. Между тем, аналитики также должны рассматривать и разрешать оповещений с более низким приоритетом, что, как правило, происходит вручную.

Настройка оповещений позволяет настраивать оповещения и управлять ими заранее. Это упрощает очередь оповещений и экономит время рассмотрения путем автоматического скрытия или разрешения оповещений при каждом ожидаемом поведении организации и выполнении условий правил.

Вы можете создавать условия правила на основе "типов доказательств", таких как файлы, процессы, запланированные задачи и многие другие типы доказательств, которые активируют оповещение. После создания правила можно применить правило к выбранному оповещению или любому типу оповещения, которое соответствует условиям правила, чтобы настроить оповещение.

Кроме того, эта функция также охватывает оповещения, поступающие из различных источников служб Microsoft Defender XDR. Функция настройки оповещений в общедоступной предварительной версии получает оповещения от таких рабочих нагрузок, как Defender для конечной точки, Defender для Office 365, Defender для удостоверений, Defender для облачных приложений, Защита Microsoft Entra ID (Microsoft Entra IP-адрес) и других, если эти источники доступны на вашей платформе и плане. Ранее возможность настройки оповещений захватывала только оповещения из рабочей нагрузки Defender для конечной точки.

Примечание.

Мы рекомендуем использовать настройку оповещений, ранее известную как подавление оповещений, с осторожностью. В некоторых ситуациях известное внутреннее бизнес-приложение или тесты безопасности активируют ожидаемое действие, и вы не хотите видеть эти оповещения. Таким образом, можно создать правило для настройки этих типов оповещений.

Создание условий правила для настройки оповещений

Настроить оповещение в Microsoft Defender XDR можно двумя способами. Чтобы настроить оповещение на странице "Параметры", выполните следующие действия:

  1. перейдите к пункту "Параметры"; В левой области перейдите в раздел Правила и выберите Настройка оповещений.

    Снимок экрана: параметр настройки оповещений на странице параметров Microsoft Defender XDR.

    Выберите Добавить новое правило , чтобы настроить новое оповещение. Вы также можете изменить существующее правило в этом представлении, выбрав правило из списка.

    Снимок экрана: добавление новых правил на странице настройки оповещений.

  2. В области Настройка оповещений можно выбрать источники служб, к которых применяется правило, в раскрывающемся меню в разделе Источники служб.

    Снимок экрана: раскрывающееся меню источника службы на странице

    Примечание.

    Отображаются только службы, на которые пользователь имеет разрешение.

  3. Добавьте индикаторы компрометации (IOCs), которые активируют оповещение в разделе iocs . Вы можете добавить условие, чтобы остановить оповещение при активации определенным IOC или любым IOC, добавленным в оповещение.

    IoCs — это такие индикаторы, как файлы, процессы, запланированные задачи и другие типы доказательств, которые активируют оповещение.

    Снимок экрана: меню IOC на странице

    Чтобы задать несколько условий правила, используйте параметры И, ИЛИ и группирования, чтобы создать связь между этими несколькими типами доказательств, которые вызывают оповещение.

    1. Например, выберите значение Entity Role: Trigger, equals и any , чтобы остановить оповещение при активации любым IOC, добавленным в оповещение. Все свойства этого "доказательства" автоматически заполнятся как новая подгруппа в соответствующих полях ниже.

    Примечание.

    Значения условий не чувствительны к регистру.

    1. Вы можете изменять и (или) удалять свойства этого доказательства в зависимости от ваших требований (с помощью подстановочных знаков, если это поддерживается).

    2. Помимо файлов и процессов, скрипт интерфейса проверки вредоносных программ (AMSI), событие инструментария управления Windows (WMI) и запланированные задачи — вот некоторые из добавленных типов доказательств, которые можно выбрать из раскрывающегося списка типов доказательств.

    3. Чтобы добавить еще один IOC, нажмите кнопку Добавить фильтр.

    Примечание.

    Для настройки любого типа оповещений требуется добавить по крайней мере один IOC в условие правила.

  4. В разделе Действие выполните соответствующее действие: Скрыть оповещение или Разрешить оповещение.

    Введите Имя, Описание и нажмите кнопку Сохранить.

    Примечание.

    Заголовок оповещения (имя) основан на типе оповещения (IoaDefinitionId), который определяет название оповещения. Два оповещения с одинаковым типом оповещений могут измениться на другое название оповещения.

    Снимок экрана: меню

Чтобы настроить оповещение со страницы "Оповещения", выполните следующие действия:

  1. Выберите оповещение на странице Оповещения в разделе Инциденты и оповещения. Кроме того, можно выбрать оповещение при просмотре сведений об инциденте на странице Инцидент.

    Вы можете настроить оповещение с помощью панели Настройка оповещения , которая автоматически открывается в правой части страницы сведений об оповещении.

    Снимок экрана: настройка области оповещений на странице оповещений.

  2. Выберите условия, в которых применяется оповещение, в разделе Типы оповещений . Выберите Только этот тип оповещения , чтобы применить правило к выбранному оповещению.

    Однако, чтобы применить правило к любому типу оповещений, которые соответствуют условиям правила, выберите Любой тип оповещения в зависимости от условий IOC.

    Снимок экрана: панель

  3. Заполнение раздела Область требуется, если настройка оповещений зависит от Defender для конечной точки. Выберите, применяется ли правило ко всем устройствам в организации или к конкретному устройству.

    Примечание.

    Для применения правила ко всей организации требуется разрешение роли администратора.

    Снимок экрана: панель

  4. Добавьте условия в раздел Условия , чтобы остановить оповещение при активации определенным IOC или любым IOC, добавленным в оповещение. В этом разделе можно выбрать определенное устройство, несколько устройств, группы устройств, всю организацию или пользователя.

    Примечание.

    У вас должно быть разрешение Администратор, если область задана только для пользователя. Администратор разрешение не требуется, если для параметра Область задано значение Пользователь вместе с устройствами, группами устройств.

    Снимок экрана: панель

  5. Добавьте ioCs, к которому применяется правило, в разделе IOCs . Вы можете выбрать Любой IOC , чтобы остановить оповещение независимо от того, какие "доказательства" вызвали оповещение.

    Снимок экрана: панель

  6. Кроме того, можно выбрать Автозаполнение всех связанных МЦ оповещений 7 в разделе IoCs , чтобы одновременно добавить все типы доказательств, связанных с оповещениями, и их свойства в разделе Условия .

    Снимок экрана: автоматическое заполнение всех операций ввода-вывода оповещений.

  7. В разделе Действие выполните соответствующее действие: Скрыть оповещение или Разрешить оповещение.

    Введите имя, комментарий и нажмите кнопку Сохранить.

    Снимок экрана: раздел

  8. Предотвратить блокировку операций ввода-вывода в будущем:

    После сохранения правила настройки генерации оповещений на странице Успешное создание правила можно добавить выбранные МОП в качестве индикаторов в "список разрешенных" и предотвратить их блокировку в будущем.

    В списке будут отображаться все операции ввода-вывода, связанные с оповещениями.

    IoC, выбранные в условиях подавления, будут выбраны по умолчанию.

    1. Например, можно добавить файлы, которые должны быть разрешены, в поле Select evidence (IOC), чтобы разрешить. По умолчанию выбран файл, который активировал оповещение.
    2. Введите область выберите область для применения. По умолчанию выбран область для соответствующего оповещения.
    3. Нажмите кнопку Сохранить. Теперь файл не заблокирован, так как он находится в списке разрешений.

  9. Новые функции настройки оповещений доступны по умолчанию.

    Однако вы можете вернуться к предыдущему интерфейсу на портале Microsoft Defender, перейдя в раздел Параметры Microsoft Defender XDR > настройка оповещений > правил>, а затем выключив переключатель Создание правил новой настройки.

    Примечание.

    Скоро будет доступен только новый интерфейс настройки оповещений. Вы не сможете вернуться к предыдущему интерфейсу.

  10. Изменение существующих правил:

    Вы всегда можете добавить или изменить условия правил и область новых или существующих правил на портале Microsoft Defender, выбрав соответствующее правило и щелкнув Изменить правило.

    Чтобы изменить существующие правила, убедитесь, что включен переключатель Создание новых правил настройки оповещений включен.

Устранение предупреждения

Завершив анализ оповещения и его устранение, перейдите в область Управление оповещением для оповещения или аналогичных оповещений, пометьте состояние как Разрешено , а затем классифицируйте его как истинно положительный с типом угрозы, информационный, ожидаемое действие с типом действия или ложноположительный результат.

Классификация оповещений помогает Microsoft Defender XDR улучшить качество обнаружения.

Использование Power Automate для рассмотрения оповещений

Для эффективной работы современных команд по обеспечению безопасности (SecOps) требуется автоматизация. Чтобы сосредоточиться на поиске и изучении реальных угроз, команды SecOps используют Power Automate для рассмотрения списка оповещений и устранения тех, которые не являются угрозами.

Условия для разрешения оповещений

  • У пользователя включено сообщение "Нет на рабочем месте"
  • Пользователь не помечен как высокий риск

Если оба варианта верны, SecOps помечает оповещение как допустимое перемещение и разрешает его. После устранения предупреждения в Microsoft Teams будет опубликовано уведомление.

Подключение Power Automate к Microsoft Defender for Cloud Apps

Чтобы создать автоматизацию, вам потребуется маркер API, прежде чем подключить Power Automate к Microsoft Defender for Cloud Apps.

  1. Откройте Microsoft Defender и выберите ПараметрыТокен APIоблачных>приложений>, а затем на вкладке Маркеры API выберите Добавить маркер.

  2. Укажите имя маркера и нажмите кнопку Создать. Сохраните маркер так, как он понадобится вам позже.

Создание автоматизированного потока

Просмотрите это короткое видео, чтобы узнать, как автоматизация работает эффективно для создания бесперебойного рабочего процесса и как подключить Power Automate к Defender for Cloud Apps.

Дальнейшие действия

При необходимости для внутрипроцессных инцидентов продолжайте расследование.

См. также

Совет

Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в нашем техническом сообществе: Microsoft Defender XDR технического сообщества.