Steg 1. Triangel och analysera den första incidenten
Viktigt
Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.
Gäller för:
- Microsoft 365 Defender
När du ägnar lite tid åt att etablera, implementera och underhålla säkerhetsåtgärder enligt organisationens standarder, kan du konfigurera säkerhetslösningar som hjälper dig att snabbt identifiera säkerhetsrisker och hot. Microsoft 365 Defender kan du identifiera, trediga och undersöka incidenter med hjälp av ett fönster av glas där du kan hitta den information du behöver för att fatta snabba beslut.
När ett säkerhetstillbud har upptäckts visar Microsoft 365 Defender information som du behöver prioritera eller prioritera en händelse framför andra. Efter att ha avbestämt prioritering kan analytiker sedan fokusera på att undersöka ärenden som tilldelats dem.
Identifiering av Microsoft 365 Defender
Microsoft 365 Defender tar emot aviseringar och händelser från flera Microsoft-säkerhetsplattformar som identifieringskällor för att skapa en holistisk bild och kontext för skadlig aktivitet. Det här är de möjliga identifieringskällorna:
- Microsoft Defender för Slutpunkt är en identifiering och åtgärd på slutpunkt lösning (Identifiering och åtgärd på slutpunkt) som använder Microsoft Defender antivirus och molnaktiverad avancerat skydd med Microsofts Graph. Defender för Endpoint är en enhetlig plattform för förebyggande skydd, identifiering efter intrång, automatiserad undersökning och svar. It protects endpoints from cyberthreats, detects advanced attacks and data breaches, automates security incidents, and improves security upp.
- Microsoft Defender för identitet är en molnbaserad säkerhetslösning som använder dina lokala AD DS-signaler (Active Directory Domain Services) för att identifiera, identifiera och undersöka avancerade hot, komprometterade identiteter och skadliga Insider-åtgärder riktade till organisationen.
- Microsoft Defender för Molnappar fungerar som en gatekeeper till företag med åtkomst i realtid mellan dina företagsanvändare och de molnresurser de använder, var användarna än befinner sig och oavsett vilken enhet de använder.
- Microsoft Defender för Office 365 skyddar organisationen mot skadliga hot i e-postmeddelanden, länkar (URL:er) och samarbetsverktyg.
- Azure Security Center är ett enhetligt säkerhetshanteringssystem för infrastruktur som förstärker säkerheten på dina datacenter och som ger avancerat skydd i dina hybridarbetsbelastningar i molnet och lokalt.
I Microsoft 365 Defender identifieras incidenter genom att korrelera aviseringar från de här olika identifieringskällorna. I stället för att använda resurssträngar ihop eller urskilja flera aviseringar i sina respektive incidenter kan du börja med incidentkön i Microsoft 365 Defender direkt. På så sätt kan du hantera incidenter på ett effektivt sätt i alla slutpunkter, identiteter, e-postmeddelanden och program, och minska skadan från en attack.
Se till att dina incidenter
Incidentsvar i Microsoft 365 Defender börjar när du prioriterar listan över incidenter med hjälp av den rekommenderade metoden för prioritering i organisationen. Att bestämma prioritet eller ange ärendets prioritetsnivå, som sedan avgör i vilken ordning de ska undersökas.
Ett användbart exempel på guide för att avgöra vilka incidenter som ska prioriteras i Microsoft 365 Defender kan sammanfattas av formeln: Allvarlighet + Påverkan = Prioritet.
- Allvarlighetsgrad är den nivå som Microsoft 365 Defender och dess integrerade säkerhetskomponenter.
- Påverkan avgörs av organisationen och omfattar i allmänhet, men inte begränsat till, ett tröskelvärde för påverkade användare, enheter, tjänster som påverkas (eller en kombination av dessa) och även aviseringstyp.
Analytiker initierar sedan undersökningar baserat på de prioritetskriterier som angetts av organisationen.
Prioriteringen av incidenter kan variera beroende på organisation. NIST rekommenderar även vad gäller incidentens funktions- och informationseffekter och återställningsmöjligheter.
Det här är bara en metod för triage:
Gå till sidan med incidenter för att påbörja triangeln. Här kan du se en lista över incidenter som påverkar din organisation. Som standard ordnas de från det senaste till det äldsta incidenten. Härifrån kan du även se olika kolumner för varje incident med bland annat allvarlighetsgrad, kategori, antal aktiva aviseringar och berörda enheter. Du kan anpassa uppsättningen kolumner och sortera incidentkön efter några av dessa kolumner genom att välja kolumnnamnet. Du kan också filtrera incidentkön efter dina behov. En fullständig lista över tillgängliga filter finns i Prioritera incidenter.
Ett exempel på hur du kan utföra tre åtgärder för den här uppsättningen ärenden är att prioritera incidenter som påverkade fler användare och enheter. I det här exemplet kan du prioritera incident-ID 6769 eftersom det påverkade det största antalet enheter: 7 enheter, 6 användare och 2 postlådor. Dessutom ser händelsen ut att innehålla aviseringar från Microsoft Defender för identitet, som anger en identitetsbaserad avisering och möjlig autentiseringsstöld.
Markera cirkeln bredvid namnet på incidenten om du vill granska informationen. Ett sidofönster visas till höger, som innehåller ytterligare information som kan hjälpa dig ytterligare.
Om du till exempel tittar på vilka MITRE ATT&CK-taktiker attackerarna använde baserat på incidentens kategorier, kan du prioritera incidenten eftersom attackeraren använde stulna autentiseringsuppgifter, etablerat kommando och kontroll, utfört rörelser från användaren och lagrat vissa data. Det här föreslår att attackeraren redan har varit inne i nätverket och eventuellt stulen konfidentiell information.
Om organisationen har implementerat ramverket Nollförtroende kan du överväga att prioritera åtkomst till autentiseringsuppgifter som ett viktigt säkerhetsfel.
När du rullar nedåt i sidofönstret ser du de specifika berörda enheterna, till exempel användare, enheter och postlådor. Du kan kontrollera exponeringsnivån för varje enhet och ägare av berörda postlådor.
Du hittar de associerade aviseringarna längre ned i sidofönstret. Microsoft 365 Defender har redan utfört korrelationen för sa varningar till en enda incident, vilket sparar tid och resurser bättre läggs på att åtgärda attacken. Aviseringar är misstänkta och därmed eventuellt skadliga systemhändelser som föreslår en närvaro av en attacker i ett nätverk.
I det här exemplet har 87 enskilda aviseringar fastställt vara en del av ett säkerhetstillbud. Du kan visa alla aviseringar för att få en snabb bild av hur attacken utspelade sig.
Analysera den första incidenten
Det är lika viktigt att förstå sammanhangs omgivande aviseringar. Ofta är ett meddelande inte en enskild oberoende händelse. Det finns en kedja av processer som skapats, kommandon och åtgärder som kanske inte har inträffat samtidigt. Därför måste en analytiker leta efter den första och sista aktiviteterna i den misstänkta enhetens tidslinjer för att förstå sammanhanget för aviseringarna.
Det finns flera sätt att läsa och analysera data med hjälp Microsoft 365 Defender men målet för analytiker är att svara på incidenter så snabbt som möjligt. Även Microsoft 365 Defender kan avsevärt minska medelvärdet för att åtgärda (MTTR) genom den branschledande automatiska undersöknings- och svarsfunktionen, finns det alltid fall som kräver manuell analys.
Här är ett exempel:
När prioriterad prioritet har fastställts påbörjar en analytiker en detaljerad analys genom att välja incidentnamnet. Den här sidan visar Incidentsammanfattning där data visas på flikar för att hjälpa dig med analysen. Under fliken Aviseringar visas typen av aviseringar. Analytiker kan klicka på varje avisering för att öka detaljgranskningen mot respektive identifieringskälla.
En snabb guide om vilka domäner som varje identifieringskälla omfattar finns i avsnittet Identifiera i den här artikeln.
Från fliken Aviseringar kan en analytiker pivotera till identifieringskällan för en mer detaljerad undersökning och analys. Om du till exempel väljer Identifiering av skadlig programvara med Microsoft Defender för molnappar som identifieringskälla kommer analytikern till motsvarande aviseringssida.
Om du vill undersöka exemplet ytterligare bläddrar du längst ned på sidan för att visa de användare som påverkas. Om du vill se aktiviteten och kontexten runt identifieringen av skadlig programvara väljer du An hills användarsida .
På användarsidan finns en kronologisk lista över händelser som börjar med en riskabel inloggning från en IP-adressavisering för tor-nätverket. Även om en aktivitet är misstänkt beror på hur en organisation bedriver verksamhet, kan i de flesta fall användningen av The Router (TOR), ett nätverk där användarna kan surfa på webben anonymt, ses som mycket osannolikt och onödigt i företagsmiljöer för vanliga onlineåtgärder.
Varje avisering kan väljas för att få mer information om aktiviteten. Om du till exempel väljer Aktivitet från en IP-adressavisering för tor får du en egen sida för den aviseringen. An incident är administratör för Office 365, vilket innebär att hon har förhöjda behörigheter och att källan kan ha lett till konfidentiell information.
Genom att välja andra aviseringar kan en analytiker få en fullständig bild av attacken.
Nästa steg
Lär dig hur du åtgärdar incidenter.
