Изучение оповещений defender для безопасности удостоверений в XDR в Microsoft Defender
Примечание.
Defender для удостоверений не предназначен для использования в качестве решения аудита или ведения журнала, которое фиксирует каждую операцию или действие на серверах, на которых установлен датчик. Он записывает только данные, необходимые для ее механизмов обнаружения и рекомендаций.
В этой статье описаны основы работы с оповещениями системы безопасности Microsoft Defender для удостоверений в XDR в Microsoft Defender.
Оповещения Defender для удостоверений изначально интегрированы в XDR в Microsoft Defender с выделенным форматом страницы оповещений удостоверений.
На странице оповещений удостоверений Microsoft Defender для удостоверений клиентам лучше обогащение сигналов между доменами и новые возможности автоматического реагирования на удостоверения. Это гарантирует безопасность и повышает эффективность операций безопасности.
Одним из преимуществ изучения оповещений с помощью XDR в Microsoft Defender является то, что Microsoft Defender для удостоверений оповещения более тесно связаны с информацией, полученной от каждого из других продуктов в наборе. Эти расширенные оповещения соответствуют другим форматам оповещений XDR в Microsoft Defender, исходящим из Microsoft Defender для Office 365 и Microsoft Defender для конечной точки. Новая страница эффективно устраняет необходимость перехода на другой портал продукта для изучения оповещений, связанных с удостоверением.
Оповещения, исходящие из Defender для удостоверений, теперь могут активировать возможности автоматического исследования и ответа (AIR), включая автоматическое исправление оповещений и устранение средств и процессов, которые могут способствовать подозрительной активности.
Внимание
В рамках конвергенции с XDR в Microsoft Defender некоторые параметры и сведения изменились с их расположения на портале Defender для удостоверений. Ознакомьтесь с приведенными ниже сведениями, чтобы узнать, где найти знакомые и новые функции.
Просмотр оповещений системы безопасности
Оповещения можно получить из нескольких расположений, включая страницу "Оповещения", страницу "Инциденты", страницы отдельных устройств и на странице расширенного поиска. В этом примере мы рассмотрим страницу оповещений.
В XDR в Microsoft Defender перейдите в раздел "Инциденты" и "Оповещения".
Чтобы просмотреть оповещения из Defender для удостоверений, в правом верхнем углу выберите фильтр, а затем в разделе "Источники служб" выберите Microsoft Defender для удостоверений и нажмите кнопку "Применить".
Оповещения отображаются со сведениями в следующих столбцах: имя оповещения, теги, серьезность, состояние исследования, состояние, категория, источник обнаружения, затронутые ресурсы, первое действие и последнее действие.
Категории оповещений системы безопасности
Оповещения системы безопасности удостоверений Defender для удостоверений делятся на следующие категории или этапы, как и этапы, описанные в типичной цепочке убийств кибер-атак.
- Оповещения о разведывательной разведке
- Оповещения о скомпрометированных учетных данных
- Оповещения бокового перемещения
- Оповещения о доминирующем домене
- Оповещения о краже
Управление оповещениями
Если выбрать имя оповещения для одного из оповещений, перейдите на страницу со сведениями об оповещении. В левой области вы увидите сводку о том, что произошло:
Над полем "Что произошло" отображаются кнопки для учетных записей, узла назначения и исходного узла оповещения. Для других оповещений могут отображаться кнопки для получения сведений о дополнительных узлах, учетных записях, IP-адресах, доменах и группах безопасности. Выберите любой из них, чтобы получить дополнительные сведения о сущностях, участвующих.
На правой панели вы увидите сведения о оповещении. Здесь вы можете просмотреть дополнительные сведения и выполнить несколько задач:
Классификация этого оповещения. Здесь можно назначить это оповещение как истинное оповещение или ложное оповещение.
Состояние генерации оповещений — в наборе классификации можно классифицировать оповещение как True или False. Назначаемое вы можете назначить оповещение себе или отменить его назначение.
Сведения об оповещении. В разделе "Сведения об оповещении" можно найти дополнительные сведения о конкретном оповещении, следуйте ссылке на документацию по типу оповещения, см. сведения о том, с каким инцидентом связано оповещение, просмотрите все автоматизированные расследования, связанные с этим типом оповещений, и просмотрите затронутые устройства и пользователей.
Примечания и журнал . Здесь можно добавить комментарии в оповещение и просмотреть журнал всех действий, связанных с оповещением.
Управление оповещением. Если выбрать "Управление оповещением", вы перейдете в область, которая позволит изменить:
Состояние — можно выбрать "Создать", "Разрешено" или "Выполняется".
Классификация . Вы можете выбрать true alert или False alert.
Примечание . Вы можете добавить комментарий о оповещении.
Если выбрать три точки рядом с предупреждением "Управление", можно связать оповещение с другим инцидентом, создать правило подавления (доступно только для пользователей предварительной версии) или попросить экспертов Defender.
Вы также можете экспортировать оповещение в файл Excel. Для этого выберите "Экспорт".
Примечание.
В файле Excel теперь доступны две ссылки: просмотр в Microsoft Defender для удостоверений и просмотр в XDR в Microsoft Defender. Каждая ссылка приведет вас к соответствующему порталу и предоставит сведения о оповещении.
Настройка оповещений
Настройте оповещения, чтобы настроить и оптимизировать их, уменьшая ложные срабатывания. Настройка оповещений позволяет группам SOC сосредоточиться на оповещениях с высоким приоритетом и улучшить охват обнаружения угроз в вашей системе. В Microsoft Defender XDR создайте условия правила на основе типов доказательств, а затем примените правило к любому типу правила, соответствующему вашим условиям.
Дополнительные сведения см. в разделе "Настройка оповещения".
См. также
Подробнее
- Ознакомьтесь с нашим интерактивным руководством. Обнаружение подозрительных действий и потенциальных атак с помощью Microsoft Defender для удостоверений