Undersöka Säkerhetsaviseringar för Defender för identiteter i Microsoft Defender XDR

Den här artikeln beskriver grunderna i hur du arbetar med Säkerhetsaviseringar för Microsoft Defender för identiteter i Microsoft Defender XDR.

Defender for Identity-aviseringar är inbyggt integrerade i Microsoft Defender XDR med ett dedikerat sidformat för identitetsaviseringar.

Sidan Identitetsavisering ger Microsoft Defender för identitetskunder bättre signalberikning mellan domäner och nya funktioner för automatiserad identitetshantering. Det säkerställer att du håller dig säker och hjälper till att förbättra effektiviteten i dina säkerhetsåtgärder.

En av fördelarna med att undersöka aviseringar via Microsoft Defender XDR är att Microsoft Defender för identitetsaviseringar är ytterligare korrelerade med information som hämtas från var och en av de andra produkterna i sviten. Dessa förbättrade aviseringar överensstämmer med de andra Microsoft Defender XDR-aviseringsformaten från Microsoft Defender för Office 365 och Microsoft Defender för Endpoint. Den nya sidan eliminerar effektivt behovet av att gå till en annan produktportal för att undersöka aviseringar som är associerade med identitet.

Aviseringar från Defender for Identity kan nu utlösa funktionerna för automatisk undersökning och svar (AIR) i Microsoft Defender XDR, inklusive automatisk reparation av aviseringar och minskning av verktyg och processer som kan bidra till den misstänkta aktiviteten.

Viktigt!

Som en del av konvergensen med Microsoft Defender XDR har vissa alternativ och information ändrats från deras plats i Defender för identitetsportalen. Läs informationen nedan för att se var du hittar både de välbekanta och nya funktionerna.

Granska säkerhetsaviseringar

Aviseringar kan nås från flera platser, inklusive sidan Aviseringar , sidan Incidenter , sidorna för enskilda enheter och från sidan Avancerad jakt . I det här exemplet granskar vi sidan Aviseringar.

I Microsoft Defender XDR går du till Incidenter och aviseringar och sedan till Aviseringar.

Om du vill se aviseringar från Defender för identitet väljer du Filter längst upp till höger och under Tjänstkällor väljer du Microsoft Defender för identitet och väljer Tillämpa:

Aviseringarna visas med information i följande kolumner: Aviseringsnamn, Taggar, Allvarlighetsgrad, Undersökningstillstånd, Status, Kategori, Identifieringskälla, Påverkade tillgångar, Första aktiviteten och Senaste aktivitet.

Kategorier för säkerhetsaviseringar

Säkerhetsaviseringar för Defender for Identity är indelade i följande kategorier eller faser, som faserna som visas i en typisk kedja för cyberattacker.

• Rekognoseringsaviseringar
• Aviseringar om komprometterade autentiseringsuppgifter
• Aviseringar om lateral förflyttning
• Aviseringar om domändominans
• Exfiltreringsaviseringar

Hantera aviseringar

Om du väljer aviseringsnamnet för en av aviseringarna går du till sidan med information om aviseringen. I den vänstra rutan visas en sammanfattning av vad som hände:

Ovanför rutan Vad hände finns knappar för aviseringens konton, målvärd och källvärd . För andra aviseringar kan du se knappar för mer information om ytterligare värdar, konton, IP-adresser, domäner och säkerhetsgrupper. Välj någon av dem för att få mer information om de entiteter som berörs.

I den högra rutan visas aviseringsinformationen. Här kan du se mer information och utföra flera uppgifter:

• Klassificera den här aviseringen – Här kan du ange den här aviseringen som en sann avisering eller falsk avisering

  

• Aviseringstillstånd – I Ange klassificering kan du klassificera aviseringen som Sant eller Falskt. I Tilldelad till kan du tilldela aviseringen till dig själv eller avtilldela den.

  

• Aviseringsinformation – Under Aviseringsinformation kan du hitta mer information om den specifika aviseringen, följa en länk till dokumentationen om typen av avisering, se vilken incident aviseringen är associerad med, granska eventuella automatiserade undersökningar som är kopplade till den här aviseringstypen och se vilka enheter och användare som påverkas.

  

• Kommentarer och historik – Här kan du lägga till dina kommentarer i aviseringen och se historiken för alla åtgärder som är associerade med aviseringen.

  

• Hantera avisering – Om du väljer Hantera avisering går du till ett fönster där du kan redigera:

  • Status – Du kan välja Ny, Löst eller Pågår.

  • Klassificering – Du kan välja Sann avisering eller Falsk avisering.

  • Kommentar – Du kan lägga till en kommentar om aviseringen.

  • Om du väljer de tre punkterna bredvid Hantera avisering kan du länka avisering till en annan incident, Skapa undertryckningsregel (endast tillgänglig för förhandsversionskunder) eller Fråga Defender-experter.

    

    Du kan också exportera aviseringen till en Excel-fil. Det gör du genom att välja Exportera.

    Kommentar

    I Excel-filen har du nu två länkar: Visa i Microsoft Defender för identitet och vy i Microsoft Defender XDR. Varje länk tar dig till relevant portal och ger information om aviseringen där.

Justera aviseringar

Justera aviseringarna för att justera och optimera dem, vilket minskar falska positiva identifieringar. Med aviseringsjustering kan dina SOC-team fokusera på aviseringar med hög prioritet och förbättra täckningen för hotidentifiering i hela systemet. I Microsoft Defender XDR skapar du regelvillkor baserat på bevistyper och tillämpar sedan din regel på alla regeltyper som matchar dina villkor.

Mer information finns i Justera en avisering.

Se även

• Säkerhetsaviseringar för Microsoft Defender för identitet

Läs mer

• Prova vår interaktiva guide: Identifiera misstänkta aktiviteter och potentiella attacker med Microsoft Defender för identitet