Incidentsvar med Microsoft 365 Defender

Viktigt

Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.

Gäller för:

  • Microsoft 365 Defender

Vill du uppleva Microsoft 365 Defender? Du kan utvärdera det i en laboratoriemiljö eller köra ett pilotprojekt i produktionen.

En incident i Microsoft 365 Defender är en samling korrelerade varningar och associerade data som utgör storyn av en attack.

Microsoft 365 och appar skapar aviseringar när de upptäcker misstänkt eller skadlig händelse eller aktivitet. Enskilda aviseringar ger värdefulla ledtrådar om en slutförd eller pågående attack. Men attacker använder vanligtvis olika tekniker mot olika typer av enheter, till exempel enheter, användare och postlådor. Resultatet är flera aviseringar för flera enheter i klientorganisationen.

Eftersom det kan vara svårt och tidskrävande att samla ihop enskilda aviseringar för att få insikt i en attack aggregerar Microsoft 365 Defender automatiskt aviseringarna och deras tillhörande information till en incident.

Hur Microsoft 365 Defender korrelerar händelser från enheter till en incident.

Titta på den här korta översikten över incidenter om Microsoft 365 Defender (4 minuter).


Om du grupperar relaterade aviseringar i en incident får du en omfattande bild av en attack. Du kan till exempel:

  • Var attacken började.
  • Vilka taktiker användes.
  • Hur långt attacken har varit i din klientorganisation.
  • Attackens omfattning, till exempel hur många enheter, användare och postlådor som påverkades.
  • Alla data som är associerade med attacken.

Om denär Microsoft 365 Defender kan data automatiskt undersöka och åtgärda varningar med hjälp av automatisering och artificiell intelligens. Du kan också utföra ytterligare åtgärdssteg för att lösa attacken.

Incidenter och aviseringar i Microsoft 365 Defender portalen

Du hanterar incidenter från & och > incidenter i snabbstarten av Microsoft 365 Defender portalen. Här är ett exempel.

Sidan Incidenter i Microsoft 365 Defender portalen.

När du väljer ett namn på incidenten visas en sammanfattning av händelsen och det ger tillgång till flikar med ytterligare information.

Exempel på sidan Sammanfattning för en incident i Microsoft 365 Defender portalen

Följande flikar visas för ett problem:

  • Varningar

    Alla aviseringar som rör händelsen och deras information.

  • Enheter

    Alla enheter som har identifierats vara en del av eller relaterade till händelsen.

  • Användare

    Alla användare som har identifierats vara en del av eller relaterade till händelsen.

  • Postlådor

    Alla postlådor som har identifierats vara en del av eller relaterade till händelsen.

  • Undersökningar

    Alla automatiserade undersökningar som utlösts av aviseringar i händelsen.

  • Bevis och svar

    Alla händelser som stöds och misstänkta enheter i aviseringarna om händelsen.

  • Graph (förhandsversion)

    En visuell representation av attacken som kopplar ihop olika misstänkta enheter som är en del av attacken med sina relaterade tillgångar, till exempel användare, enheter och postlådor.

Här är förhållandet mellan en incident och dess data och flikarna för en incident i Microsoft 365 Defender portalen.

Förhållandet mellan en händelse och dess data till flikarna för en händelse i Microsoft 365 Defender portalen.

Exempel på arbetsflöde av incidentsvar för Microsoft 365 Defender

Här är ett exempel på ett arbetsflöde för att svara på incidenter Microsoft 365 med Microsoft 365 Defender portalen.

Exempel på ett arbetsflöde för incidentsvar för Microsoft 365.

Identifiera ärenden med högsta prioritet för analys och lösning i incidentkön och gör dem redo för svar. Det här är en kombination av:

  • Prioritera för att fastställa incidenter med högsta prioritet genom filtrering och sortering av incidentkön.
  • Hantera incidenter genom att ändra deras titel, tilldela dem till en analytiker och lägga till taggar och kommentarer.
  1. Påbörja en attack och aviseringsundersökning och analys för varje händelse:

    1. Visa sammanfattningen av incidenten för att förstå dess omfattning och allvarlighetsgrad och vilka enheter som påverkas av flikarna sammanfattning och Graph (förhandsversion).

    2. Börja analysera aviseringarna för att förstå deras ursprung, omfattning och allvarlighetsgrad med fliken Aviseringar.

    3. Vid behov samlar du in information om påverkade enheter, användare och postlådor på flikarna Enheter, Användare och Postlådor.

    4. Se hur Microsoft 365 Defender har löst vissa aviseringar automatiskt med fliken Undersökningar.

    5. Om det behövs använder du informationen i datauppsättningen för incidenten för mer information på fliken Bevis och svar.

  2. Efter eller under analysen bör du utföra inneslutning för att minska eventuella ytterligare effekter av attacken och säkerhetshotet.

  3. Återställ så mycket som möjligt av attacken genom att återställa klientorganisationens resurser till den status de var i innan händelsen.

  4. Lös incidenten och ta dig tid för efter incidentinlärning att:

    • Förstå typen av attack och dess påverkan.
    • Undersöka attacken i Hotanalys och säkerhets-communityn för en trend för säkerhetsattacker.
    • Återkalla det arbetsflöde som du använde för att lösa problemet och uppdatera standardarbetsflöden, processer, principer och spelböcker efter behov.
    • Avgör om ändringar i säkerhetskonfigurationen behövs och implementera dem.

Om du inte har varit så bra på säkerhetsanalys kan du gå till introduktionen till att svara på din första incident för ytterligare information och gå igenom en exempelhändelse.

Mer information om åtgärder vid incidenter i microsoft-produkter finns i den här artikeln.

Exempel på säkerhetsåtgärder för Microsoft 365 Defender

Här är ett exempel på säkerhetsåtgärder (SecOps) för Microsoft 365 Defender.

Ett exempel på säkerhetsåtgärder för Microsoft 365 Defender.

Dagliga uppgifter kan omfatta:

Månadsvisa uppgifter kan omfatta:

Kvartalsvisa uppgifter kan innehålla en rapport och genomgång av säkerhetsresultat för Chief Information Security Officer (CISO).

Årliga uppgifter kan omfatta att utföra större incidenter eller intrång för att testa din personal, system och processer.

Dagliga, månatliga, kvartals- och årliga uppgifter kan användas för att uppdatera eller förfina processer, principer och säkerhetskonfigurationer.

Mer information Microsoft 365 Defender integrera data i dina säkerhetsåtgärder.

SecOps-resurser i alla Microsoft-produkter

Mer information om SecOps i Microsofts produkter finns i följande resurser:

Få incidentaviseringar via e-post

Du kan konfigurera Microsoft 365 Defender att meddela personalen via e-post om nya incidenter eller uppdateringar av befintliga incidenter. Du kan välja att få aviseringar baserat på:

  • Incidentens allvarlighetsgrad.
  • Enhetsgrupp.
  • Endast vid den första uppdateringen per incident.

E-postmeddelandet innehåller viktig information om incidenten, bland annat incidentens namn, allvarlighetsgrad och kategorier. Du kan också gå direkt till incidenten och börja analysera direkt. Mer information finns i Undersöka incidenter.

Du kan lägga till eller ta bort mottagare i e-postaviseringarna. Nya mottagare får ett meddelande om incidenter när de har lagts till.

Anteckning

Du behöver behörigheten Hantera säkerhetsinställningar för att konfigurera inställningar för e-postaviseringar. Om du har valt att använda grundläggande behörighetshantering kan användare med roller som säkerhetsadministratör eller global administratör konfigurera e-postaviseringar åt dig.

På samma sätt kan du, om din organisation använder rollbaserad åtkomstkontroll (RBAC), bara skapa, redigera, ta bort och ta emot meddelanden baserat på enhetsgrupper som du har behörighet att hantera.

Skapa en regel för e-postaviseringar

Följ de här anvisningarna för att skapa en ny regel och anpassa inställningarna för e-postaviseringar.

  1. Välj Incident-e-postmeddelanden Inställningar > Microsoft 365 Defender > i navigeringsfönstret.

  2. Välj Lägg till objekt.

  3. Skriv regelnamnet och en beskrivning på sidan Grunder och välj sedan Nästa.

  4. På sidan Meddelandeinställningar konfigurerar du:

    • Aviserings allvarlighetsgrad – Välj den aviserings allvarlighetsgrad som utlöser en incidentavisering. Om du till exempel bara vill informeras om incidenter med hög allvarlighetsgrad väljer du Hög.
    • Enhetsgruppomfattning – Du kan ange alla enhetsgrupper eller välja i listan över enhetsgrupper i klientorganisationen.
    • Meddela endast vid första förekomsten per incident – Välj om du bara vill ha en avisering på den första aviseringen som matchar dina andra val. Senare uppdateringar eller aviseringar relaterade till händelsen skickar inga ytterligare meddelanden.
    • Inkludera organisationens namn i e-postmeddelandet – Välj om du vill att organisationens namn ska visas i e-postmeddelandet.
    • Inkludera klientspecifik portallänk – välj om du vill lägga till en länk med klientorganisations-ID:t i e-postmeddelandet för åtkomst till en Microsoft 365 klientorganisation.

    Meddelandeinställningar för incidentmeddelanden via e-post.

  5. Välj Nästa. På sidan Mottagare lägger du till de e-postadresser som ska ta emot incidentaviseringarna. Välj Lägg till när du har skrivit varje ny e-postadress. Om du vill testa aviseringar och se till att mottagarna får dem i inkorgarna väljer du Skicka test-e-post.

  6. Välj Nästa. Granska inställningarna för regeln på sidan Granska regel och välj sedan Skapa regel. Mottagarna får incidentaviseringar via e-post baserat på inställningarna.

Om du vill redigera en befintlig regel väljer du den i listan med regler. I fönstret med regelnamnet väljer du Redigera regel och gör ändringarna på sidorna Grunder, Meddelandeinställningar och Mottagare.

Om du vill ta bort en regel markerar du den i listan med regler. I fönstret med regelnamnet väljer du Ta bort.

Utbildning för säkerhetsanalytiker

Använd den här utbildningsmodulen från Microsoft Learn för att förstå hur du använder Microsoft 365 Defender för att hantera incidenter och aviseringar.

Utbildning: Undersöka ärenden med Microsoft 365 Defender
Undersöka ärenden med Microsoft 365 Defender utbildningsikon. Microsoft 365 Defender kan slå samman hotdata från flera tjänster och använder AI för att kombinera dem i incidenter och aviseringar. Lär dig hur du minimerar tiden mellan en incident och dess hantering för efterföljande åtgärder och lösningar.

27 min - 6 enheter

Nästa steg

Använd de listade stegen utifrån din upplevelsenivå eller roll i ditt säkerhetsteam.

Upplevelsenivå

Följ den här tabellen för din upplevelsenivå av säkerhetsanalys och incidentsvar.

Nivå Steg
Ny
  1. I genomgången Svara på din första incident finns en guidad genomgång av en typisk process av analys, åtgärder och granskning efter incident i Microsoft 365 Defender-portalen med ett exempel på en attack.
  2. Se vilka incidenter som ska prioriteras utifrån allvarlighetsgrad och andra faktorer.
  3. Hantera incidenter,som omfattar att byta namn på, tilldela, klassificera och lägga till taggar och kommentarer baserat på arbetsflödet för hantering av incidenter.
Erfaren
  1. Kom igång med incidentkön på sidan Incidenter i Microsoft 365 Defender portalen. Härifrån kan du:
    • Se vilka incidenter som ska prioriteras utifrån allvarlighetsgrad och andra faktorer.
    • Hantera incidenter,som omfattar att byta namn på, tilldela, klassificera och lägga till taggar och kommentarer baserat på arbetsflödet för hantering av incidenter.
    • Utföra undersökningar av incidenter.
  2. Spåra och svara på nya hot med hotanalyser.
  3. Proaktivt leta efter hot med avancerad hot-sökning.
  4. I de här spelböckerna för incidenter finns detaljerad vägledning för attacker för nätfiske, lösenordsförsök och att bevilja åtkomst till appar.

Säkerhetsgrupproll

Följ den här tabellen baserat på din roll i säkerhetsteamet.

Roll Steg
Incident svarare (nivå 1) Kom igång med incidentkön på sidan Incidenter i Microsoft 365 Defender portalen. Härifrån kan du:
  • Se vilka incidenter som ska prioriteras utifrån allvarlighetsgrad och andra faktorer.
  • Hantera incidenter,som omfattar att byta namn på, tilldela, klassificera och lägga till taggar och kommentarer baserat på arbetsflödet för hantering av incidenter.
Säkerhetsundersökning eller analytiker (nivå 2)
  1. Utföra undersökningar av incidenter från sidan Incidenter på Microsoft 365 Defender portal.
  2. I de här spelböckerna för incidenter finns detaljerad vägledning för attacker för nätfiske, lösenordsförsök och att bevilja åtkomst till appar.
Avancerad säkerhetsanalytiker eller hot (Tier 3)
  1. Utföra undersökningar av incidenter från sidan Incidenter på Microsoft 365 Defender portal.
  2. Spåra och svara på nya hot med hotanalyser.
  3. Proaktivt leta efter hot med avancerad hot-sökning.
  4. I de här spelböckerna för incidenter finns detaljerad vägledning för attacker för nätfiske, lösenordsförsök och att bevilja åtkomst till appar.
SOC-hanterare Se hur du Microsoft 365 Defender med Security Operations Center (SOC).