Šetření a reakce pomocí Microsoft Defender XDR
Tady jsou hlavní úlohy šetření a reakce na Microsoft Defender XDR:
- Reakce na incidenty
- Kontrola a schválení automatických nápravných akcí
- Search pro známé hrozby ve vašich datech
- Vysvětlení nejnovějších kybernetických útoků
Reakce na incidenty
Služby a aplikace Microsoftu 365 vytvářejí upozornění, když zjistí podezřelou nebo škodlivou událost nebo aktivitu. Jednotlivá upozornění poskytují cenné stopy o dokončených nebo probíhajících útocích. Útoky však obvykle používají různé techniky proti různým typům entit, jako jsou zařízení, uživatelé a poštovní schránky. Výsledkem je několik výstrah pro více entit ve vašem tenantovi. Vzhledem k tomu, že vytváření jednotlivých výstrah za účelem získání přehledu o útoku může být náročné a časově náročné, Microsoft Defender XDR automaticky agreguje výstrahy a související informace do incidentu.
Průběžně potřebujete identifikovat incidenty s nejvyšší prioritou pro analýzu a řešení ve frontě incidentů a připravit je k reakci. Toto je kombinace:
- Stanovení priority pro určení incidentů s nejvyšší prioritou prostřednictvím filtrování a řazení fronty incidentů To se také označuje jako třídění.
- Incidenty můžete spravovat tak, že upravíte jejich název, přiřadíte je analytikům, přidáte značky a komentáře a po vyřešení je klasifikujte.
Pro každý incident použijte pracovní postup reakce na incidenty k analýze incidentu a jeho výstrah a dat, abyste mohli útok pojmout, vymýtit hrozbu, zotavit se z útoku a poučit se z něj. Informace o Microsoft Defender XDR najdete v tomto příkladu.
Automatizované šetření a náprava
Pokud vaše organizace používá Microsoft Defender XDR, obdrží váš tým pro operace zabezpečení na portálu Microsoft Defender upozornění při každém zjištění škodlivé nebo podezřelé aktivity nebo artefaktu. Vzhledem k nekonečnému toku hrozeb, které mohou přijít, se bezpečnostní týmy často potýkají s problémem řešit velký objem výstrah. Naštěstí Microsoft Defender XDR zahrnuje funkce automatizovaného vyšetřování a reakce (AIR), které můžou vašemu provoznímu týmu zabezpečení pomoct efektivněji a efektivněji řešit hrozby.
Po dokončení automatizovaného vyšetřování se dosáhne verdiktu pro každý důkaz incidentu. V závislosti na rozsudku se identifikují nápravné akce. V některých případech se nápravné akce provádí automaticky; v ostatních případech čekají akce nápravy na schválení prostřednictvím centra akcí Microsoft Defender XDR.
Další informace najdete v tématu Automatizované šetření a reakce v Microsoft Defender XDR.
Proaktivní vyhledávání hrozeb s pokročilým proaktivním vyhledáváním
Nestačí reagovat na útoky tak, jak k nim dojde. U rozšířených vícefázových útoků, jako je ransomware, musíte proaktivně hledat důkazy o probíhajícím útoku a před dokončením ho zastavit.
Rozšířené proaktivní vyhledávání je nástroj proaktivního vyhledávání hrozeb založený na dotazech v Microsoft Defender XDR, který umožňuje prozkoumat nezpracovaná data po dobu až 30 dnů. Můžete proaktivně kontrolovat události ve vaší síti a vyhledávat indikátory hrozeb a entity. Tento flexibilní přístup k datům Microsoft Defender XDR umožňuje unconstrained proaktivní vyhledávání známých i potenciálních hrozeb.
Stejné dotazy proaktivního vyhledávání hrozeb můžete použít k vytvoření vlastních pravidel detekce. Tato pravidla se spouští automaticky, aby zkontrolovala a pak reagovala na podezřelou aktivitu porušení zabezpečení, chybně nakonfigurované počítače a další zjištění.
Další informace najdete v tématu Proaktivní vyhledávání hrozeb s pokročilým proaktivním vyhledáváním v Microsoft Defender XDR.
Získejte náskok před vznikajícími hrozbami pomocí analýzy hrozeb
Analýza hrozeb je funkce analýzy hrozeb v Microsoft Defender XDR navržená tak, aby pomohla vašemu bezpečnostnímu týmu, aby byl při řešení vznikajících hrozeb co nejefektivnější. Obsahuje podrobnou analýzu a informace o:
- Aktivní aktéři hrozeb a jejich kampaně
- Oblíbené a nové techniky útoku
- Kritická ohrožení zabezpečení
- Běžné možnosti útoku
- Převládá malware
Analýza hrozeb také zahrnuje informace o souvisejících incidentech a ovlivněných prostředcích v rámci vašeho tenanta Microsoftu 365 pro každou identifikovanou hrozbu.
Každá identifikovaná hrozba obsahuje analytickou zprávu, což je komplexní analýza hrozeb zpracovaná výzkumníky v oblasti zabezpečení Microsoftu, kteří stojí v popředí detekce a analýzy kybernetické bezpečnosti. Tyto sestavy můžou také poskytovat informace o tom, jak se útoky zobrazují v Microsoft Defender XDR.
Další informace najdete v tématu Analýza hrozeb v Microsoft Defender XDR.
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.