Automatizované šetření a reakce v Microsoft Defender XDR
Platí pro:
- Microsoft Defender XDR
Pokud vaše organizace používá Microsoft Defender XDR, obdrží váš tým pro operace zabezpečení na portálu Microsoft Defender upozornění při každém zjištění škodlivé nebo podezřelé aktivity nebo artefaktu. Vzhledem k zdánlivě nekonečnému toku hrozeb, které mohou přijít, se bezpečnostní týmy často potýkají s výzvou řešit velký objem výstrah. Naštěstí Microsoft Defender XDR zahrnuje funkce automatizovaného vyšetřování a reakce (AIR), které můžou vašemu provoznímu týmu zabezpečení pomoct efektivněji a efektivněji řešit hrozby.
Tento článek obsahuje přehled prostředí AIR a obsahuje odkazy na další kroky a další zdroje informací.
Jak funguje automatizované vyšetřování a samoopravení
Při aktivaci výstrah zabezpečení je na vašem provozním týmu zabezpečení, aby se na ně podíval a podnikl kroky k ochraně vaší organizace. Stanovení priorit a prošetřování výstrah může být časově velmi náročné, zejména v případě, že během vyšetřování stále přicházejí nová upozornění. Týmy operací zabezpečení se můžou cítit zahlcené množstvím hrozeb, které musí monitorovat a chránit před nimi. V Microsoft Defender XDR vám můžou pomoct funkce automatizovaného vyšetřování a reakce se samoopravením.
Podívejte se na následující video, ve které se dozvíte, jak funguje samoopravení:
V Microsoft Defender XDR funguje automatizované vyšetřování a reakce s funkcemi samoopravení napříč vašimi zařízeními, e-mailovými & obsahem a identitami.
Tip
Tento článek popisuje, jak funguje automatizované vyšetřování a reakce. Informace o konfiguraci těchto možností najdete v tématu Konfigurace možností automatizovaného šetření a reakce v Microsoft Defender XDR.
Váš vlastní virtuální analytik
Představte si, že máte virtuálního analytika v týmu operací zabezpečení vrstvy 1 nebo vrstvy 2. Virtuální analytik napodobuje ideální kroky, které by operace zabezpečení podnikly k vyšetřování a nápravě hrozeb. Virtuální analytik by mohl pracovat 24× 7 s neomezenou kapacitou a převzít značnou zátěž vyšetřování a nápravy hrozeb. Takový virtuální analytik by mohl výrazně zkrátit dobu odezvy a uvolnit tak váš tým pro operace zabezpečení pro další důležité hrozby nebo strategické projekty. Pokud tento scénář zní jako sci-fi, není to tak! Takový virtuální analytik je součástí vaší sady Microsoft Defender XDR a jeho název je automatizované vyšetřování a reakce.
Funkce automatizovaného vyšetřování a reakce umožňují vašemu provoznímu týmu zabezpečení výrazně zvýšit kapacitu vaší organizace při řešení výstrah zabezpečení a incidentů. Díky automatizovanému vyšetřování a reakcím můžete snížit náklady na zpracování aktivit vyšetřování a reakcí a získat ze sady ochrany před hrozbami maximum. Funkce automatizovaného vyšetřování a reakce pomáhají vašemu týmu operací zabezpečení:
- Určení, jestli hrozba vyžaduje akci
- Provedení (nebo doporučení) všech potřebných nápravných akcí
- Určení, zda a jaká další šetření by měla proběhnout.
- Opakování procesu podle potřeby pro ostatní výstrahy
Automatizovaný proces šetření
Výstraha vytvoří incident, který může zahájit automatizované šetření. Výsledkem automatizovaného vyšetřování je verdikt u každého důkazu. Verdikty můžou být:
- Škodlivý
- Podezřelé
- Nenašly se žádné hrozby.
Identifikují se akce nápravy škodlivých nebo podezřelých entit. Příklady nápravných akcí:
- Odeslání souboru do karantény
- Zastavení procesu
- Izolace zařízení
- Blokování adresy URL
- Další akce
Další informace najdete v tématu Nápravné akce v Microsoft Defender XDR.
V závislosti na tom , jak jsou pro vaši organizaci nakonfigurované možnosti automatizovaného vyšetřování a reakce , se nápravné akce provádějí automaticky nebo pouze po schválení vaším týmem pro operace zabezpečení. Všechny akce, ať už čekající nebo dokončené, jsou uvedené v Centru akcí.
Během vyšetřování se do vyšetřování přidají všechny ostatní související výstrahy, které se objeví, dokud se šetření neskončí. Pokud se ovlivněná entita zobrazí jinde, automatizované šetření rozšíří její rozsah tak, aby zahrnovalo tuto entitu, a proces šetření se opakuje.
V Microsoft Defender XDR každé automatizované šetření koreluje signály napříč Microsoft Defender for Identity, Microsoft Defender for Endpoint a Microsoft Defender pro Office 365, jak je shrnuto v následující tabulce:
| Entity | Služby ochrany před hrozbami |
|---|---|
| Zařízení (označovaná také jako koncové body nebo počítače) | Defender for Endpoint |
| Místní uživatelé, chování a aktivity entit služby Active Directory | Defender for Identity |
| Email obsah (e-mailové zprávy, které můžou obsahovat soubory a adresy URL) | Defender for Office 365 |
Poznámka
Ne každé upozornění aktivuje automatizované šetření a ne každé šetření vede k automatizovaným nápravným akcím. Záleží na tom, jak je pro vaši organizaci nakonfigurované automatizované vyšetřování a reakce. Viz Konfigurace možností automatizovaného prověřování a reakce.
Zobrazení seznamu vyšetřování
Pokud chcete zobrazit šetření, přejděte na stránku Incidenty . Vyberte incident a pak vyberte kartu Šetření . Další informace najdete v tématu Podrobnosti a výsledky automatizovaného šetření.
Karta odpovědi automatizovaného šetření &
Nová karta odpovědi automatizovaného šetření & je k dispozici na portálu Microsoft Defender (https://security.microsoft.com). Tato nová karta zobrazí celkový počet dostupných nápravných akcí. Karta také poskytuje přehled o všech výstrahách a požadované době schválení jednotlivých výstrah.
Pomocí karty odpovědi automatizovaného šetření & může váš tým pro operace zabezpečení rychle přejít do Centra akcí tak, že vybere odkaz Schválit v Centru akcí a pak provede příslušné akce. Karta umožňuje týmu pro operace zabezpečení efektivněji spravovat akce čekající na schválení.
Další kroky
- Projděte si požadavky na automatizované prověřování a odpovědi.
- Konfigurace automatizovaného vyšetřování a reakce pro vaši organizaci
- Další informace o Centru akcí
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.