Reakce na incidenty na portálu Microsoft Defender

Incident na portálu Microsoft Defender je kolekce souvisejících výstrah a přidružených dat, která tvoří příběh útoku. Je to také soubor případu, který váš SOC může použít k prošetření útoku a správě, implementaci a zdokumentování reakce na něj.

Služby Microsoft Sentinel a Microsoft Defender vytvářejí výstrahy, když zjistí podezřelou nebo škodlivou událost nebo aktivitu. Jednotlivá upozornění poskytují cenné důkazy o dokončeného nebo probíhajícím útoku. Stále rozšířenější a sofistikovanější útoky však obvykle používají různé techniky a vektory proti různým typům entit prostředků, jako jsou zařízení, uživatelé a poštovní schránky. Výsledkem je několik výstrah z více zdrojů pro více entit aktiv v digitálních aktivech.

Vzhledem k tomu, že jednotlivá upozornění vyprávějí jenom část příběhu, a protože ruční seskupení jednotlivých výstrah za účelem získání přehledu o útoku může být náročné a časově náročné, sjednocená platforma operací zabezpečení automaticky identifikuje související výstrahy – ze služby Microsoft Sentinel i Microsoft Defender XDR – a agreguje je a jejich přidružené informace do incidentu.

Jak Microsoft Defender XDR koreluje události z entit do incidentu.

Seskupením výstrah souvisejících do incidentu získáte komplexní přehled o útoku. Můžete například vidět:

  • Kde útok začal.
  • Jaká taktika byla použita.
  • Jak daleko útok zašel do vašeho digitálního majetku.
  • Rozsah útoku, například počet ovlivněných zařízení, uživatelů a poštovních schránek
  • Všechna data spojená s útokem.

Jednotná platforma operací zabezpečení na portálu Microsoft Defender obsahuje metody pro automatizaci a pomoc při třídění, vyšetřování a řešení incidentů.

  • Microsoft Copilot v programu Defender využívá AI k podpoře analytiků se složitými a časově náročnými každodenními pracovními postupy, včetně komplexního vyšetřování incidentů a reakce na ně pomocí jasně popsaných scénářů útoku, podrobných pokynů k nápravě a souhrnných sestav aktivit incidentů, proaktivního vyhledávání KQL v přirozeném jazyce a odborné analýzy kódu – optimalizace efektivity SOC napříč daty Microsoft Sentinelu a XDR defenderu.

    Tato funkce doplňuje další funkce založené na umělé inteligenci, které Microsoft Sentinel přináší na jednotnou platformu, a to v oblastech analýzy chování uživatelů a entit, detekce anomálií, detekce vícefázových hrozeb a dalších.

  • Automatizované přerušení útoku využívá vysoce důvěryhodné signály shromážděné z Microsoft Defender XDR a Microsoft Sentinelu k automatickému přerušení aktivních útoků rychlostí počítače, které hrozbu obsahují a omezují jejich dopad.

  • Pokud je tato možnost povolená, může Microsoft Defender XDR automaticky zkoumat a řešit výstrahy ze zdrojů Microsoft 365 a Entra ID prostřednictvím automatizace a umělé inteligence. K vyřešení útoku můžete také provést další nápravné kroky.

  • Pravidla automatizace služby Microsoft Sentinel můžou automatizovat třídění, přiřazování a správu incidentů bez ohledu na jejich zdroj. Můžou použít značky na incidenty na základě jejich obsahu, potlačit hlučné (falešně pozitivní) incidenty a zavřít vyřešené incidenty, které splňují příslušná kritéria, určit důvod a přidat komentáře.

Důležité

Microsoft Sentinel je teď obecně dostupný v rámci sjednocené platformy microsoftu pro operace zabezpečení na portálu Microsoft Defender. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Incidenty a výstrahy na portálu Microsoft Defender

Incidenty spravujete z vyšetřování & reakce > Incidenty & výstrahy > Incidenty na rychlém spuštění portálu Microsoft Defender. Tady je příklad:

Stránka Incidenty na portálu Microsoft Defender.

Když vyberete název incidentu, zobrazí se stránka incidentu, která začíná celým příběhem útoku incidentu, včetně:

  • Stránka upozornění v rámci incidentu: Rozsah výstrah souvisejících s incidentem a jejich informace na stejné kartě.

  • Graf: Vizuální znázornění útoku, které propojuje různé podezřelé entity, které jsou součástí útoku, s entitami prostředků, které tvoří cíle útoku, jako jsou uživatelé, zařízení, aplikace a poštovní schránky.

Podrobnosti o aktivu a dalších entitách můžete zobrazit přímo z grafu a pracovat s nimi pomocí možností odpovědi, jako je zakázání účtu, odstranění souboru nebo izolace zařízení.

Snímek obrazovky se stránkou s příběhem útoku pro incident na portálu Microsoft Defender

Stránka incidentu se skládá z následujících karet:

  • Příběh útoku

    Výše uvedená karta obsahuje časovou osu útoku, včetně všech výstrah, entit prostředků a nápravných akcí.

  • Upozornění

    Všechny výstrahy související s incidentem, jejich zdroji a informacemi

  • Aktiva

    Všechny prostředky (chráněné entity, jako jsou zařízení, uživatelé, poštovní schránky, aplikace a cloudové prostředky), které byly identifikovány jako součást incidentu nebo s ním souvisejí.

  • Vyšetřování

    Všechna automatizovaná šetření aktivovaná výstrahami v incidentu, včetně stavu vyšetřování a jejich výsledků.

  • Evidence a reakce

    Všechny podezřelé entity v výstrahách incidentu, které představují důkazy podporující příběh útoku. Tyto entity můžou zahrnovat IP adresy, soubory, procesy, adresy URL, klíče registru a hodnoty a další.

  • Souhrn

    Rychlý přehled ovlivněných prostředků přidružených k výstrahám

Poznámka

Pokud se zobrazí stav upozornění typu Nepodporovaný , znamená to, že funkce automatizovaného vyšetřování nemůžou tuto výstrahu vyzvednout, aby spustily automatizované šetření. Tyto výstrahy ale můžete prozkoumat ručně.

Příklad pracovního postupu reakce na incidenty na portálu Microsoft Defender

Tady je příklad pracovního postupu pro reakci na incidenty v Microsoftu 365 pomocí portálu Microsoft Defender.

Příklad pracovního postupu reakce na incidenty pro portál Microsoft Defender.

Průběžně identifikujte incidenty s nejvyšší prioritou pro analýzu a řešení ve frontě incidentů a připravte je k reakci. Toto je kombinace:

  • Posouzení pro určení incidentů s nejvyšší prioritou prostřednictvím filtrování a řazení fronty incidentů
  • Incidenty můžete spravovat tak, že upravíte jejich název, přiřadíte je analytikům a přidáte značky a komentáře.

Pomocí pravidel automatizace služby Microsoft Sentinel můžete automaticky určit prioritu a spravovat (a dokonce i reagovat) na některé incidenty při jejich vytváření. Tím zabráníte tomu, aby nejsnadnější incidenty zabíjely místo ve vaší frontě.

Pro vlastní pracovní postup reakce na incidenty zvažte tyto kroky:

Etapa Kroky
U každého incidentu zahajte šetření a analýzu útoku a výstrah.
  1. Podívejte se na příběh útoku incidentu a seznamte se s jeho rozsahem, závažností, zdrojem detekce a entitami prostředků, které jsou ovlivněny.
  2. Začněte analyzovat výstrahy, abyste porozuměli jejich původu, rozsahu a závažnosti pomocí scénáře upozornění v rámci incidentu.
  3. Podle potřeby shromážděte pomocí grafu informace o ovlivněných zařízeních, uživatelích a poštovních schránkách. Výběrem libovolné entity otevřete informační panel se všemi podrobnostmi. Další přehledy najdete na stránce entity.
  4. Na kartě Vyšetřování se můžete podívat, jak Microsoft Defender XDR automaticky vyřešil některá upozornění.
  5. Podle potřeby použijte informace v datové sadě pro incident, kde najdete další informace na kartě Důkazy a odpověď .
Po analýze nebo během analýzy proveďte uzavření, abyste snížili jakýkoli další dopad útoku a vymýcení bezpečnostní hrozby. Například,
  • Zakázání ohrožených uživatelů
  • Izolace ovlivněných zařízení
  • Blokovat nepřátelské IP adresy.
  • Pokud je to možné, obnovte se z útoku obnovením prostředků tenanta do stavu, ve který byly před incidentem.
    Vyřešte incident a zdokumentujte svá zjištění. Udělejte si čas na to, aby se po incidentu naučili:
  • Seznamte se s typem útoku a jeho dopadem.
  • V analýze hrozeb a v komunitě zabezpečení vyhledejte trend útoků na zabezpečení.
  • Vzpomeňte si na pracovní postup, který jste použili k vyřešení incidentu, a podle potřeby aktualizujte standardní pracovní postupy, procesy, zásady a playbooky.
  • Určete, jestli jsou potřeba změny v konfiguraci zabezpečení, a implementujte je.
  • Pokud s analýzou zabezpečení teprve začínáte, přečtěte si úvod k reakci na první incident , kde najdete další informace a postup mezi ukázkovými incidenty.

    Další informace o reakcích na incidenty napříč produkty Microsoftu najdete v tomto článku.

    Integrace operací zabezpečení na portálu Microsoft Defender

    Tady je příklad integrace procesů operací zabezpečení (SecOps) na portálu Microsoft Defender.

    Příklad operací zabezpečení pro Microsoft Defender XDR

    Mezi každodenní úkoly patří:

    Měsíční úkoly můžou zahrnovat:

    Čtvrtletní úkoly mohou zahrnovat zprávu a instruktážní výsledky zabezpečení pro hlavního pracovníka pro zabezpečení informací (CISO).

    Roční úkoly můžou zahrnovat provedení závažného incidentu nebo porušení zabezpečení za účelem testování zaměstnanců, systémů a procesů.

    Denní, měsíční, čtvrtletní a roční úkoly je možné použít k aktualizaci nebo upřesňování procesů, zásad a konfigurací zabezpečení.

    Další podrobnosti najdete v tématu Integrace Microsoft DefenderU XDR do operací zabezpečení .

    Prostředky SecOps napříč produkty Microsoftu

    Další informace o nástroji SecOps v produktech Microsoftu najdete v těchto zdrojích informací:

    Oznámení o incidentech e-mailem

    Portál Microsoft Defender můžete nastavit tak, aby informoval zaměstnance e-mailem o nových incidentech nebo aktualizacích stávajících incidentů. Můžete se rozhodnout, že chcete dostávat oznámení na základě:

    • Závažnost upozornění
    • Zdroje upozornění
    • Skupina zařízení

    Informace o nastavení e-mailových oznámení pro incidenty najdete v tématu Získání e-mailových oznámení o incidentech.

    Školení pro analytiky zabezpečení

    V tomto výukovém modulu z Microsoft Learn se dozvíte, jak používat Microsoft Defender XDR ke správě incidentů a upozornění.

    Školení: Vyšetřování incidentů pomocí Microsoft DefenderU XDR
    Prošetřujte incidenty pomocí ikony trénování XDR v programu Microsoft Defender. Microsoft Defender XDR sjednocuje data hrozeb z více služeb a pomocí umělé inteligence je kombinuje do incidentů a výstrah. Zjistěte, jak minimalizovat dobu mezi incidentem a jeho správou pro následnou reakci a řešení.

    27 min - 6 jednotek

    Další kroky

    Použijte uvedené kroky na základě vaší úrovně zkušeností nebo role v týmu zabezpečení.

    Úroveň zkušeností

    Podle této tabulky získáte úroveň zkušeností s analýzou zabezpečení a reakcí na incidenty.

    Úroveň Kroky
    Nový
    1. Podívejte se na názorný postup reakce na první incident a podívejte se na průvodce typickým procesem analýzy, nápravy a závěrečné kontroly na portálu Microsoft Defenderu s ukázkovým útokem.
    2. Podívejte se, které incidenty by měly mít prioritu na základě závažnosti a dalších faktorů.
    3. Správa incidentů, která zahrnuje přejmenování, přiřazení, klasifikaci a přidávání značek a komentářů na základě pracovního postupu řízení incidentů.
    Zkušený
    1. Začněte s frontou incidentů na stránce Incidenty na portálu Microsoft Defender. Tady můžete:
      • Podívejte se, které incidenty by měly mít prioritu na základě závažnosti a dalších faktorů.
      • Správa incidentů, která zahrnuje přejmenování, přiřazení, klasifikaci a přidávání značek a komentářů na základě pracovního postupu řízení incidentů.
      • Prošetření incidentů.
    2. Sledujte nově vznikající hrozby a reagujte na ně pomocí analýzy hrozeb.
    3. Proaktivní vyhledávání hrozeb pomocí pokročilého proaktivního vyhledávání hrozeb.
    4. Podrobné pokyny k útokům phishing, password spray a útokům na udělení souhlasu aplikací najdete v těchto playbookech reakcí na incidenty.

    Role týmu zabezpečení

    Postupujte podle této tabulky na základě role bezpečnostního týmu.

    Role Kroky
    Reakce na incidenty (vrstva 1) Začněte s frontou incidentů na stránce Incidenty na portálu Microsoft Defender. Tady můžete:
    • Podívejte se, které incidenty by měly mít prioritu na základě závažnosti a dalších faktorů.
    • Správa incidentů, která zahrnuje přejmenování, přiřazení, klasifikaci a přidávání značek a komentářů na základě pracovního postupu řízení incidentů.
    Bezpečnostní vyšetřovatel nebo analytik (vrstva 2)
    1. Prošetření incidentů můžete provádět na stránce Incidenty na portálu Microsoft Defender.
    2. Podrobné pokyny k útokům phishing, password spray a útokům na udělení souhlasu aplikací najdete v těchto playbookech reakcí na incidenty.
    Pokročilý analytik zabezpečení nebo lovec hrozeb (vrstva 3)
    1. Prošetření incidentů můžete provádět na stránce Incidenty na portálu Microsoft Defender.
    2. Sledujte nově vznikající hrozby a reagujte na ně pomocí analýzy hrozeb.
    3. Proaktivní vyhledávání hrozeb pomocí pokročilého proaktivního vyhledávání hrozeb.
    4. Podrobné pokyny k útokům phishing, password spray a útokům na udělení souhlasu aplikací najdete v těchto playbookech reakcí na incidenty.
    Manažer SOC Podívejte se, jak integrovat Microsoft Defender XDR do služby Security Operations Center (SOC).

    Tip

    Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.