Share via

Hanterad identifiering och svar

  • Artikel

Gäller för:

Tips

Information om hanterad identifiering och svar finns i den här korta videon: https://www.youtube.com/watch?v=fYzquW2hE5I

Genom en kombination av automatisering och mänsklig expertis Microsoft Defender experter för XDR-sortering Microsoft Defender XDR incidenter, prioriterar dem för din räkning, filtrerar bort bruset, utför detaljerade undersökningar och ger ett åtgärdsbart hanterat svar till dina SOC-team (Security Operations Center).

Incidentuppdateringar

När våra experter börjar undersöka en incident uppdateras incidentens fält tilldelade till och Status till Defender-experter respektive Pågående.

När våra experter avslutar sin undersökning av en incident uppdateras incidentens klassificeringsfält till något av följande, beroende på experternas resultat:

  • Sant positivt
  • Falsk positiv identifiering
  • Information, förväntad aktivitet

Fältet Bestämning som motsvarar varje klassificering uppdateras också för att ge fler insikter om de resultat som fick våra experter att fastställa klassificeringen.

Skärmbild av sidan Incidenter som visar fälten Taggar, Status, Tilldelad till, Klassificering och Bestämning.

Om en incident klassificeras som falsk positiv eller informationsbaserad, förväntad aktivitet, uppdateras incidentens statusfält till Löst. Våra experter avslutar sedan sitt arbete med den här incidenten och fältet Tilldelad uppdateras till Ej tilldelad. Våra experter kan dela uppdateringar från sin undersökning och sin slutsats när de löser en incident. De här uppdateringarna publiceras i incidentens utfällbara panel Kommentarer och historik .

Obs!

Incidentkommentare är enkelriktade inlägg. Defender-experter kan inte svara på kommentarer eller frågor som du lägger till i panelen Kommentarer och historik . Mer information om hur du motsvarar våra experter finns i Kommunicera med experter i Microsoft Defender Experter för XDR-tjänsten.

Om en incident annars klassificeras som Sann positiv identifierar våra experter de svarsåtgärder som krävs för att utföras. Vilken metod som åtgärderna utförs i beror på vilka behörigheter och åtkomstnivåer du har gett Defender-experterna för XDR-tjänsten. Läs mer om att bevilja behörigheter till våra experter.

  • Om du har beviljat Defender-experter för XDR de rekommenderade åtkomstbehörigheterna för säkerhetsoperatören kan våra experter utföra de svarsåtgärder som krävs för incidenten åt dig. Dessa åtgärder, tillsammans med en undersökningssammanfattning, visas i den utfällbara panelen Hanterat svar i Microsoft Defender portalen där du eller SOC-teamet kan granska dem. Alla åtgärder som slutförs av Defender-experter för XDR visas under avsnittet Slutförda åtgärder . Alla väntande åtgärder som kräver att du eller soc-teamet slutförs visas i avsnittet Väntande åtgärder . Mer information finns i avsnittet Åtgärder . När våra experter har vidtagit alla nödvändiga åtgärder för incidenten uppdateras dess statusfält till Löst och fältet Tilldelad uppdateras till Ej tilldelad.

  • Om du har beviljat Defender-experter för XDR standardåtkomst för säkerhetsläsare visas de nödvändiga svarsåtgärderna, tillsammans med en undersökningssammanfattning, i incidentens utfällbara panel för hanterat svar under avsnittet Väntande åtgärder i din Microsoft Defender-portalen där du eller SOC-teamet kan utföra. Mer information finns i avsnittet Åtgärder . För att identifiera den här överlämningen uppdateras incidentens statusfält till Väntar på kundåtgärd och fältet Tilldelad till uppdateras till Kund.

Du kan kontrollera antalet incidenter som kräver din åtgärd i defender-experternas banderoll överst på Microsoft Defender startsida.

Skärmbild av kortet Defender-experter i Microsoft Defender-portalen som visar antalet incidenter som väntar på kundåtgärder.

Om du vill visa de incidenter som våra experter har undersökt eller undersöker för närvarande filtrerar du incidentkön i din Microsoft Defender-portalen med hjälp av taggen Defender-experter.

Skärmbild av incidentkön i Microsoft Defender-portalen filtrerad för att endast visa dem med taggen Defender-experter.

Så här använder du hanterat svar i Microsoft Defender XDR

I Microsoft Defender portalen har en incident som kräver din uppmärksamhet med hanterat svar fältet Status inställt på Väntar på kundåtgärd, fältet Tilldelad till inställd på Kund och ett aktivitetskort ovanpå fönstret Incidenter. Dina angivna incidentkontakter får också ett motsvarande e-postmeddelande med en länk till Defender-portalen för att visa incidenten. Läs mer om meddelandekontakter. Du får också ett Teams-meddelande som informerar dig om uppdateringarna. Läs mer om hur du konfigurerar Teams

Välj Visa hanterat svar på aktivitetskortet eller överst på portalsidan (fliken Hanterat svar ) för att öppna en utfälld panel där du kan läsa våra experters undersökningssammanfattning, slutföra väntande åtgärder som identifierats av våra experter eller interagera med dem via chatt.

Undersökningssammanfattning

Avsnittet Undersökningssammanfattning ger dig mer kontext om incidenten som analyseras av våra experter för att ge dig insyn i dess allvarlighetsgrad och potentiella inverkan om den inte åtgärdas omedelbart. Det kan innehålla enhetens tidslinje, indikatorer för angrepp och indikatorer för kompromettering (IOP) som observerats och annan information.

Skärmbild av sammanfattning av undersökning av hanterat svar.

Åtgärder

På fliken Åtgärder visas uppgiftskort som innehåller svarsåtgärder som rekommenderas av våra experter.

Defender-experter för XDR stöder för närvarande följande hanterade svarsåtgärder med ett klick:

Åtgärd Beskrivning
Isolera enhet Isolerar en enhet, vilket hjälper till att förhindra att en angripare styr den och utför ytterligare aktiviteter som dataexfiltrering och lateral förflyttning. Den isolerade enheten är fortfarande ansluten till Microsoft Defender för Endpoint.
Karantänfil Stoppar körningen av processer, placerar filerna i karantän och tar bort beständiga data, till exempel registernycklar.
Begränsa körning av program Begränsar körningen av potentiellt skadliga program och låser enheten för att förhindra ytterligare försök.
Frisläpp från isolering Ångrar isolering av en enhet.
Ta bort programbegränsning Ångrar frisläppning från isolering.

Förutom dessa åtgärder med ett klick kan du även få hanterade svar från våra experter som du behöver utföra manuellt.

Obs!

Innan du utför någon av de rekommenderade hanterade svarsåtgärderna kontrollerar du att de inte redan åtgärdas av dina automatiska undersöknings- och svarskonfigurationer. Läs mer om automatiserade undersöknings- och svarsfunktioner i Microsoft Defender XDR.

Så här visar och utför du de hanterade svarsåtgärderna:

  1. Välj pilknapparna i ett åtgärdskort för att expandera det och läs mer om den nödvändiga åtgärden.

Skärmbild av åtgärden för hanterat svar för att isolera enhetens prod-server.

  1. För kort med svarsåtgärder med ett klick väljer du den åtgärd som krävs. Åtgärdsstatusen i kortet ändras till Pågår och sedan till Misslyckad eller Slutförd, beroende på åtgärdens resultat.

Skärmbild av åtgärden för hanterat svar som visar pågående isolering av enhetens prod-server.

Tips

Du kan också övervaka statusen för svarsåtgärder i portalen i Åtgärdscenter. Om en svarsåtgärd misslyckas kan du försöka göra det igen från sidan Visa enhetsinformation eller starta en chatt med Defender-experter.

  1. För kort med nödvändiga åtgärder som du behöver utföra manuellt väljer du Jag har slutfört den här åtgärden när du har utfört dem och väljer sedan Ja, jag har gjort det i bekräftelsedialogrutan som visas.

Skärmbild av åtgärden för hanterat svar för att bekräfta att åtgärden har slutförts.

  1. Om du inte vill slutföra en obligatorisk åtgärd direkt väljer du Hoppa över och sedan Ja, hoppa över den här åtgärden i bekräftelsedialogrutan som visas.

Viktigt

Om du märker att någon av knapparna på åtgärdskorten är nedtonade kan det tyda på att du inte har de behörigheter som krävs för att utföra åtgärden. Kontrollera att du är inloggad på Microsoft Defender XDR-portalen med rätt behörigheter. De flesta hanterade svarsåtgärder kräver att du har minst åtkomst till säkerhetsoperatören. Om du fortfarande stöter på det här problemet även med rätt behörigheter går du till Visa enhetsinformation och slutför stegen därifrån.

Få insyn i Defender-experters undersökningar i ditt SIEM- eller ITSM-program

När Defender-experter för XDR undersöker incidenter och kommer med reparationsåtgärder kan du få insyn i deras arbete med incidenter i dina SIEM-program (säkerhetsinformation och händelsehantering) och ITSM-program (IT-tjänsthantering), inklusive program som är tillgängliga direkt.

Microsoft Sentinel

Du kan få incidentsynlighet i Microsoft Sentinel genom att aktivera den färdiga Microsoft Defender XDR dataanslutningsappen. Mer information.

När du har aktiverat anslutningsappen visas uppdateringar av Defender-experter till fälten Status, Tilldelad till, Klassificering och Bestämning i Microsoft Defender XDR i motsvarande status, ägare och orsak för att stänga fält i Sentinel.

Obs!

Statusen för incidenter som undersökts av Defender-experter i Microsoft Defender XDR övergår vanligtvis från Aktiv till Pågår till Väntar på kundåtgärd till Löst, medan den i Sentinel följer sökvägen Ny till aktiv till Löst. Den Microsoft Defender XDR status som väntar på kundåtgärd har inte något motsvarande fält i Sentinel. I stället visas den som en tagg i en incident i Sentinel.

I följande avsnitt beskrivs hur en incident som hanteras av våra experter uppdateras i Sentinel under undersökningsresan:

  1. En incident som undersöks av våra experter har statusenaktiv och ägaren listad som Defender-experter.
  2. En incident som våra experter har bekräftat som sann positiv har ett hanterat svar publicerat i Microsoft Defender XDR, och en taggväntar på kundåtgärd och ägaren visas som kund. Du måste agera på incidenten baserat på hur du använder det hanterade svaret.
  3. När våra experter har avslutat sin undersökning och stängt en incident som falsk positiv eller informationsbaserad, förväntad aktivitet, har incidentens status uppdaterats till Löst, ägaren uppdateras till Ej tilldelad och en orsak till stängning tillhandahålls.

Skärmbild av Microsoft Sentinel-incidenter.

Andra program

Du kan få insyn i incidenter i ditt SIEM- eller ITSM-program med hjälp av Microsoft Defender XDR-API:et eller anslutningsapparna i Sentinel.

När du har konfigurerat en anslutningsapp kan defender-experternas uppdateringar av fälten Status, Tilldelad till, Klassificering och Bestämning i Microsoft Defender XDR synkroniseras med SIEM- eller ITSM-program från tredje part, beroende på hur fältmappningen har implementerats. För att illustrera kan du ta en titt på anslutningsappen som är tillgänglig från Sentinel till ServiceNow.

Se även

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.