Analysera din första incident i Microsoft Defender XDR

Obs!

Vill du uppleva Microsoft Defender XDR? Läs mer om hur du kan utvärdera och pilottesta Microsoft Defender XDR.

Gäller för:

• Microsoft Defender XDR

Det är viktigt att förstå kontexten som omger incidenter för att analysera attacker. Genom att kombinera din expertis och erfarenhet med Microsoft Defender XDR funktioner och funktioner kan du lösa incidenter snabbare och din organisations säkerhet mot cyberattacker.

Dagens hot om datasäkerhet – kompropromisser för affärs-e-post (BEC), skadlig kod som bakdörrar och utpressningstrojaner, organisationsöverträdelser och nationella attacker – kräver snabba, intelligenta och beslutsamma åtgärder från incidenthanteringspersonal. Verktyg som Microsoft Defender XDR göra det möjligt för svarsteam att identifiera, sortera och undersöka incidenter via en enda fönsterruta och hitta den information som behövs för att fatta dessa snabba beslut.

Undersökningsuppgifter

Undersökningar omfattar vanligtvis svarare som visar flera appar samtidigt som de kontrollerar olika hotinformationskällor. Ibland utökas utredningar till att jaga andra hot. Att dokumentera fakta och lösningar i en attackundersökning är ytterligare en viktig uppgift som ger historik och kontext för andra utredares användning eller för senare undersökningar. De här undersökningsuppgifterna förenklas när du använder Microsoft Defender XDR via följande:

• Pivotering – portalen aggregerar viktig attackinformation som kontextualiseras över de Defender-arbetsbelastningar som är aktiverade i din organisation. Portalen konsoliderar all information över en enskild attacks komponenter (fil, URL, postlåda, ett användarkonto eller enhet) som visar relationer och tidslinje för aktiviteter. Med all information som är tillgänglig på en sida gör portalen att incidentsvarare kan pivotleda över relaterade entiteter och händelser för att hitta den information de behöver för att fatta beslut.

• Jakt – hotjägare kan hitta kända och möjliga hot inom en organisation via portalens avancerade jaktfunktion med hjälp av Kusto-frågor. Om kusto är nytt för dig använder du det guidade läget för att jaga hot.

• Insight – i förekommande fall kan incidentsvarare visa åtgärder för tidigare identifierade händelser och aviseringar för att hjälpa till med aktuella undersökningar. Ytterligare insikter läggs också automatiskt till händelser och aviseringar via Microsofts egna hotinformationsinsatser och från källor som MITRE ATT&CK-ramverket® och VirusTotal.

• Samarbete – säkerhetsteam kan visa varje gruppmedlemmars beslut och åtgärder för tidigare och aktuella incidenter och aviseringar via portalfunktioner som kommentarer, taggning, flaggande och tilldelning. Ytterligare samarbete med Microsofts tjänst för hanterad identifiering och svar via Defender-experter för XDR och Defender jaktexperter är också tillgängligt när en organisation kräver ett utökat svar.

Översikt över angrepp

Attackberättelsen ger incidentpersonalen en fullständig, sammanhangsberoende översikt över vad som hände i en attack. De som svarar kan visa alla relaterade aviseringar och händelser, inklusive de automatiserade reparationsåtgärder som vidtas av Microsoft Defender XDR för att åtgärda en attack.

Från attackberättelsen kan du fördjupa dig i detaljerna i en attack genom att utforska flikarna som är tillgängliga på incidentsidan. Du kan snabbt åtgärda vanliga attacker som nätfiske, lösenordsspray och skadliga appkompromisser via spelböcker för incidenthantering som är tillgängliga i portalen. Dessa spelböcker innehåller vägledning för identifiering, svar och åtgärder som stöder incidentundersökningar.

Den här videon om hur du undersöker en attack i Microsoft Defender XDR och hur du använder portalens funktioner i din undersökning vägleder dig genom attackberättelsen och incidentsidan.

Undersöka hot

Komplexa hot som attacker i mitten och utpressningstrojaner kräver ofta manuell undersökning. En incidenthantering som hanterar dessa komplicerade attacker söker efter följande viktiga information:

• Förekomst av skadlig kod eller misstänkt användning av verktyg och appar
• Ledtrådar om kommunikationskanaler eller startpunkter som används av skadliga eller misstänkta entiteter
• Ledtrådar som pekar på möjlig identitetskompromiss
• Identifiera hur organisationens data och säkerhetsstatus påverkas

Följande avsnitt innehåller självstudier och videor med Microsoft Defender XDR funktioner som hjälper incidenthanteringsteam att undersöka olika komplexa attacker.

Undersökningar av utpressningstrojaner

Utpressningstrojaner fortsätter att vara ett betydande hot mot organisationer. Microsoft har följande resurser som hjälper dig att undersöka och reagera på utpressningstrojanattacker:

• Guider: Från identifiering till skydd: Microsofts guide till att bekämpa utpressningstrojanattacker
• Självstudie: Spelbok för undersökning av utpressningstrojaner
• Video: Undersöka utpressningstrojanattacker i Microsoft Defender XDR (del 1)
• Video: Undersöka utpressningstrojanattacker i Microsoft Defender XDR (del 2)

Email-baserad attackanalys

Det är viktigt att identifiera och spåra ändrade, skapade eller stulna identiteter för att undersöka nätfiske- och BEC-attacker. Använd följande resurser när du undersöker dessa attacker:

• Självstudie: Undersöka skadlig e-post
• Självstudie: Undersöka användare
• Självstudie: Undersöka ett användarkonto
• Blogg: Total identitetskompromiss: Microsoft Incident Response-lektioner om att skydda Active Directory-identitetskompromisser kan också undersökas med hjälp av Defender för identitetssignaler.
• Självstudie: Exempel på en nätfiskeattack via e-post
• Självstudie: Exempel på en identitetsbaserad attack

Följande videor beskriver hur du undersöker nätfiske- och BEC-attacker i Microsoft Defender XDR:

• Video: Undersöka BEC- och AiTM-nätfiske i Microsoft Defender XDR
• Video: Skydd mot spearphishing och nätfiske med hjälp av Defender för Office 365

Undersök en identitetskompromiss och vet vad du kan göra för att begränsa en attack via den här videon:

• Undersöka identitetshot med hjälp av Defender for Identity

Analys av skadlig kod

Information och funktioner i en skadlig fil är nyckeln till att undersöka skadlig kod. Microsoft Defender XDR kan i de flesta fall detonera filen för att visa kritiska data, inklusive hash, metadata, prevalens inom organisationen och filfunktioner baserat på MITRE ATT&CK-tekniker®. Detta tar bort behovet av att utföra black box-testning eller statisk analys av filer. Du kan visa filinformation från incidentdiagrammet eller genom att visa ett aviseringsprocessträd, en tidslinje för artefakt eller en tidslinje för enheten.

Följande resurser innehåller information om hur du använder portalens funktioner för att undersöka filer:

• Självstudie: Undersöka filer
• Video: Undersöka skadlig kod i Microsoft Defender XDR

Analys av riskfyllda appar och molnbaserat skydd mot hot

Skadliga aktörer kan utnyttja molnbaserade appar. Appar kan oavsiktligt läcka känslig information genom missbruk eller missbruk. Incidenthanteringspersonal som undersöker och skyddar appar i molnmiljöer kan använda följande resurser där Defender för molnappar distribueras i sina organisationer:

• Självstudie: Undersöka skadliga och komprometterade appar
• Självstudie: Undersöka riskfyllda OAuth-appar
• Självstudie: Skydda molnappar
• Självstudie: Skydda appar i realtid

Upptäck hur du kan skydda dina molnappar i realtid med den här videon om arbetsbelastningen Defender för Cloud Apps:

• Video: Skydda molnappar och relaterade filer via Defender for Cloud Apps

Analys av intrång

Nationalstatsattacker, attacker mot kritisk infrastruktur och organisationsöverträdelser kräver ofta att en angripare upprättar kommunikationspunkter när de befinner sig i ett nätverk. Incidentpersonal letar efter ledtrådar genom att identifiera misstänkt trafik eller utbyten mellan en källa och ett mål. Microsoft har följande självstudier för att undersöka kommunikationskomponenter:

• Undersöka domäner och URL:er
• Undersöka en IP-adress
• Undersöka anslutningshändelser som inträffar bakom vidarebefordrade proxy
• Undersöka misstänkta användar- och enhetsaktiviteter via Defender for Identity
• Identifiera och undersöka laterala förflyttningsvägar i Defender för identitet
• Undersök enheter i listan Defender för Endpoint-enheter

Angripare använder ofta sårbarheter för att få åtkomst till en organisation. Vissa utpressningstrojanattacker utnyttjar till en början oparcherade sårbarheter som Log4Shell-sårbarheten. Följande resurser hjälper incidenthanteringspersonal att identifiera sårbarheter och sårbara enheter i organisationen via tjänsten Defender för sårbarhetshantering:

• Självstudie: Identifiera sårbarheter i din organisation
• Självstudie: Jaga efter exponerade enheter
• Självstudie: Utvärdera din organisations risk med hjälp av exponeringspoängen
• Video: Hantering av hot och sårbarheter via Defender Vulnerability Management

Överträdelser sker också via olika enheter som telefoner och surfplattor som ansluter till organisationens nätverk. Incidentpersonal kan undersöka dessa enheter ytterligare i portalen. I följande video beskrivs de främsta hoten från mobila enheter och hur du kan undersöka dessa:

• Skydd mot mobilhot i Microsoft Defender XDR

Resurser för hotinformation och jakt

Microsoft Defender XDR inbyggda funktioner för hotinformation och incidenthanteringsteam för jakthjälp för att utföra proaktivt skydd mot nya hot och attacker. Du har direkt åtkomst till den senaste informationen om nya hot och attacker via portalens hotanalys.

Använd intelligensen i Hotanalys för att fördjupa dig i nya hot med följande video:

Jaga proaktivt efter hot inom organisationen med hjälp av portalens inbyggda avancerade jaktkapacitet .

Följande resurser innehåller mer information om hur du använder avancerad jakt:

• Lär dig kusto-frågespråket
• Skapa jaktfrågor med hjälp av det guidade läget
• Jaga efter hot mellan entiteter

Utöka din hotinformation med de senaste säkerhetsforskningarna och ändringarna från Microsofts säkerhetsforskningsteam:

• Microsofts säkerhetsblogg
• Information om Microsofts hotskådespelare

Samarbeta med Microsofts experter för incidenthantering och hotjakt för att förbättra säkerhetsteamens funktioner. Lär dig mer om våra experter och hur du engagerar dem i följande resurser:

• Defender-experter för XDR
• Hotjakt med Defender jaktexperter

Nästa steg

• Åtgärda din första incident
• Utforska portalens funktioner via videodemonstrationer i Microsoft Defender XDR Virtual Ninja Training

Se även

• Förstå incidenter
• Undersöka incidenter
• Undersöka varningar
• Lär dig portalens funktioner via Microsoft Defender XDR Ninja-träning

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.