Steg 2. Åtgärda den första incidenten
Viktigt
Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.
Gäller för:
- Microsoft 365 Defender
Microsoft 365 Defender innehåller inte bara funktioner för identifiering och analys, utan innehåller även inneslutning och intrång i skadlig programvara. Inneslutning innehåller åtgärder för att minska attackens påverkan, medan säkerställer att alla spårningar av attackersaktivitet tas bort från nätverket. Microsoft 365 Defender finns flera åtgärdsåtgärder som kan konfigureras för automatisk åtgärd beroende på operativsystem och attacktyp.
Microsoft 365 Defender erbjuder flera åtgärder som analytiker kan initiera manuellt. Åtgärder är indelade i två kategorier: Åtgärder på enheter och Åtgärder på filer. Vissa åtgärder kan användas för att omedelbart stoppa hoten medan andra åtgärder bidrar till ytterligare analys av konsekvensanalyser.
Åtgärder på enheter
- Isolera enheten – Den här aktiviteten blockerar omedelbart all nätverkstrafik (Internet och intern) för att minimera spridningen av skadlig programvara och tillåta analytiker att fortsätta analysen utan att en illvillig aktör kan fortsätta en attack. Den enda anslutning som tillåts är till Microsoft Defender för identitetstjänstmoln så att Microsoft Defender för identitet kan fortsätta att övervaka enheten.
- Begränsa programkörning – För att hindra ett program från att köras tillämpas en kodintegritetsprincip som bara tillåter att filer körs om de är signerade av ett certifikat som utfärdats av Microsoft. Den här begränsningsmetoden kan förhindra att en attack kontrollerar komprometterade enheter och utför ytterligare skadliga aktiviteter.
- Kör antivirussökning – en Microsoft Defender Antivirus kan köras tillsammans med andra antivirusprogram, oavsett om Defender Antivirus är den aktiva antiviruslösningen eller inte. Om en annan antivirusleverantör är den primära lösning för slutpunktsskydd kan du köra Defender Antivirus i passivt läge.
- Initiera automatisk undersökning – Du kan påbörja en ny, allmän automatisk undersökning på enheten. Medan en undersökning körs kommer alla andra aviseringar som genereras från enheten att läggas till i en pågående automatiserad undersökning tills undersökningen har slutförts. Om samma hot visas på andra enheter läggs dessa enheter dessutom till i undersökningen.
- Initiera livesvar – Live-svar är en funktion som ger dig omedelbar åtkomst till en enhet genom att använda en anslutning för fjärrgränssnitt. Det gör att du kan utföra djupgående undersökningsarbete och vidta omedelbart åtgärder för att snabbt identifiera hot i realtid. Med live-svar kan du förbättra undersökningar genom att samla in tekniska data, köra skript, skicka misstänkta enheter för analys, åtgärda hot och proaktivt leta efter nya hot.
- Paket för insamling av undersökning – Som en del av undersökningen eller svarsprocessen kan du samla in ett undersökningspaket från en enhet. Genom att samla in undersökningspaketet kan du identifiera enhetens aktuella status och ytterligare förstå de verktyg och tekniker som används av attacken.
- Kontakta en expert på hot (finns i både åtgärder på enheter och filer) – Du kan kontakta en Expert på Microsoft-hot för att få mer information om potentiellt komprometterade enheter eller enheter som redan har komprometterats. Microsofts experter kan engagera sig direkt inifrån Microsoft 365 Defender för att få ett snabbt och korrekt svar.
Åtgärder för filer
- Stoppa och sätt filen i karantän – Den här åtgärden omfattar att stoppa processer, kvartilfiler och ta bort beständiga data, till exempel registernycklar. Den här åtgärden gäller på enheter med Windows 11 eller Windows 10, version 1703 eller senare, där filen observerats de senaste 30 dagarna.
- Lägga till indikatorer för att blockera eller tillåta fil – Förhindra ytterligare spridning av en attack i organisationen genom att spärra potentiellt skadliga filer eller misstänkt skadlig programvara. Med den här åtgärden förhindras att filen läses, skrivs eller körs på enheter i organisationen.
- Ladda ned eller samla in en fil – Med den här åtgärden kan analytiker ladda ned en fil i en lösenordsskyddad .zip-arkivfil för vidare analys av organisationen.
- Djupanalys – Med den här åtgärden körs en fil i en säker, fullständigt instrumenterad molnmiljö. Djupanalysresultat visar filens aktiviteter, observerade beteenden och tillhörande artefakter, till exempel neds ignorerade filer, registerändringar och kommunikation med IP-adresser.
Vi fortsätter med exemplet i Identifiera, hantera och analysera incidenter– en analytiker kan åtgärda problemet med följande åtgärder:
Återställa lösenordet för användarkontot omedelbart
Isolera enheten i Microsoft 365 Defender tills djupanalys är klar
Kontrollera att den skadliga filen satts i karantän från SharePoint
Kontrollera vilka slutpunkter som påverkades av skadlig programvara
Bygga om system
Sök efter liknande microsoft Defender-aviseringar om molnappar för andra användare
Skapa en anpassad indikator i Microsoft Defender för Slutpunkt för att blockera en Tor IP-adress
Skapa en styrningsåtgärd i Microsoft Defender för molnappar för den här typen av avisering, till exempel de som visas i följande bild:
De flesta åtgärder kan tillämpas och spåras i Microsoft 365 Defender.
Använda spelböcker
Dessutom kan du skapa automatisk åtgärd med hjälp av spelböcker. För närvarande har Microsoft Playbook-mallar GitHub spelböcker som ger spelböcker för följande scenarier:
- Ta bort känslig fildelning efter begäran om användarvalidering
- Auto-triage oregelade landaviseringar
- Begära åtgärder för chefen innan du inaktiverar ett konto
- Inaktivera regler för skadlig inkorg
Spelböcker använder Power Automate för att skapa anpassade automatiseringsflöden för process för att automatisera vissa aktiviteter när vissa villkor har utlösts. Organisationer kan skapa spelböcker från befintliga mallar eller från grunden.
Här är ett exempel.
Spelböcker kan också skapas under granskning efter incidenter för att skapa åtgärdsåtgärder från incidenter för snabbare åtgärder.
Nästa steg
Lär dig hur du granskar ett incidenter efter ett incident.
