Поделиться через


Автоматическое исследование и реагирование в Microsoft Defender XDR

Область применения:

  • Microsoft Defender XDR

Если в вашей организации используется Microsoft Defender XDR, команда по операциям с безопасностью получает оповещение на портале Microsoft Defender при обнаружении вредоносного или подозрительного действия или артефакта. Учитывая, казалось бы, бесконечный поток угроз, которые могут прийти, команды безопасности часто сталкиваются с проблемой решения большого объема оповещений. К счастью, Microsoft Defender XDR включает возможности автоматического исследования и реагирования (AIR), которые могут помочь вашей команде по операциям безопасности более эффективно и эффективно устранять угрозы.

В этой статье содержится обзор AIR, а также ссылки на дальнейшие действия и дополнительные ресурсы.

Как работает автоматизированное исследование и самовосстановление

По мере появления предупреждений системы безопасности группа по обеспечению безопасности должна изучить эти предупреждения и выполнить действия для защиты организации. Определение приоритета и анализ оповещений могут отнимать очень много времени, особенно в условиях постоянного появления новых оповещений во время анализа. Службы обеспечения безопасности могут быть перегружены из-за огромного количества угроз, которые им нужно отслеживать и от которых необходимо защищать. Автоматизированные возможности исследования и реагирования с самовосстановлением в Microsoft Defender XDR могут помочь.

Посмотрите следующее видео, чтобы увидеть, как работает самовосстановление:

В Microsoft Defender XDR автоматизированное исследование и реагирование с возможностями самовосстановления работает на ваших устройствах, электронной почте & содержимом и удостоверениях.

Совет

В этой статье описывается, как работает автоматическое исследование и реагирование. Сведения о настройке этих возможностей см. в статье Настройка возможностей автоматического исследования и реагирования в Microsoft Defender XDR.

Ваш собственный виртуальный аналитик

Представьте себе, что у вас есть виртуальный аналитик в группе безопасности уровня 1 или уровня 2. Виртуальный аналитик имитирует идеальные действия, которые должен предпринять отдел обеспечения безопасности для анализа и устранения угроз. Виртуальный аналитик может работать 24x7 с неограниченной емкостью и взять на себя значительный объем исследований и устранения угроз. Такой виртуальный аналитик может значительно сократить время реагирования, освободив команду по обеспечению безопасности от других важных угроз или стратегических проектов. Если этот сценарий звучит как фантастика, это не так! Такой виртуальный аналитик является частью набора Microsoft Defender XDR и называется автоматическим исследованием и реагированием.

Возможности автоматического исследования и реагирования позволяют вашей команде по операциям безопасности значительно увеличить возможности вашей организации по борьбе с оповещениями системы безопасности и инцидентами. С помощью автоматического исследования и реагирования вы можете снизить затраты на расследование и реагирование на них, а также максимально эффективно использовать набор средств защиты от угроз. Возможности автоматического исследования и реагирования помогают вашей группе по операциям с безопасностью:

  1. определяет, требует ли угроза выполнения какого-либо действия;
  2. выполняет (или рекомендует) все необходимые действия по исправлению;
  3. определяет, следует ли проводить другие исследования и какие именно;
  4. при необходимости повторяет весь этот процесс с другими оповещениями.

Процесс автоматизированного анализа

Оповещение создает инцидент, который может запустить автоматическое исследование. В результате автоматизированного исследования выносится решение по каждому свидетельству. Решения могут быть:

  • Злоумышленная
  • Подозрительный
  • Угрозы не найдены

Определяются действия по исправлению для вредоносных или подозрительных объектов. Примеры действий по исправлению:

  • Отправка файла в карантин
  • Остановка процесса
  • изоляция устройства;
  • Блокировка URL-адреса
  • Другие действия

Дополнительные сведения см. в разделе Действия по исправлению в Microsoft Defender XDR.

В зависимости от того , как настроены возможности автоматического исследования и реагирования для вашей организации, действия по исправлению выполняются автоматически или только после утверждения вашей группой по операциям безопасности. Все действия, ожидающие или завершенные, перечислены в центре уведомлений.

Во время проведения анализа все другие связанные с ним оповещения добавляются в анализ до его завершения. Если затронутая сущность обнаружена в каком-либо другом месте, область автоматического исследования расширяется, чтобы включить эту сущность, и процесс исследования повторяется.

В Microsoft Defender XDR каждое автоматическое исследование сопоставляет сигналы между Microsoft Defender для удостоверений, Microsoft Defender для конечной точки и Microsoft Defender для Office 365, как показано в следующей таблице:

Объекты Службы защиты от угроз
Устройства (также называемые конечными точками или компьютерами) Defender для конечной точки
Локальные пользователи Active Directory, поведение сущностей и действия Defender для удостоверений
Email содержимое (сообщения электронной почты, которые могут содержать файлы и URL-адреса) Defender для Office 365

Примечание.

Не каждое оповещение запускает автоматическое исследование, и не каждое исследование приводит к автоматическим действиям по исправлению. Это зависит от того, как в организации настроено автоматическое исследование и реагирование. См. раздел Настройка возможностей автоматического исследования и реагирования.

Просмотр списка исследований

Чтобы просмотреть расследование, перейдите на страницу Инциденты . Выберите инцидент, а затем перейдите на вкладку Расследования . Дополнительные сведения см. в статье Сведения и результаты автоматизированного исследования.

Автоматизированное исследование & ответных карта

На портале Microsoft Defender () доступен новый карта ответа & автоматизированного исследования (https://security.microsoft.com). Это новое карта видимость общего количества доступных действий по исправлению. В карта также приведен обзор всех оповещений и необходимого времени утверждения для каждого оповещения.

Снимок экрана: автоматизированное исследование & карта ответа.

Используя карта автоматического исследования & ответа, ваша команда по операциям безопасности может быстро перейти в центр уведомлений, выбрав ссылку Утвердить в центре уведомлений, а затем предпринять соответствующие действия. Карта позволяет вашей группе по операциям безопасности более эффективно управлять действиями, ожидающими утверждения.

Дальнейшие действия

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.