Изучение оповещений defender для безопасности удостоверений в XDR в Microsoft Defender

Примечание.

Defender для удостоверений не предназначен для использования в качестве решения аудита или ведения журнала, которое фиксирует каждую операцию или действие на серверах, на которых установлен датчик. Он записывает только данные, необходимые для ее механизмов обнаружения и рекомендаций.

В этой статье описаны основы работы с оповещениями системы безопасности Microsoft Defender для удостоверений в XDR в Microsoft Defender.

Оповещения Defender для удостоверений изначально интегрированы в XDR в Microsoft Defender с выделенным форматом страницы оповещений удостоверений.

На странице оповещений удостоверений Microsoft Defender для удостоверений клиентам лучше обогащение сигналов между доменами и новые возможности автоматического реагирования на удостоверения. Это гарантирует безопасность и повышает эффективность операций безопасности.

Одним из преимуществ изучения оповещений с помощью XDR в Microsoft Defender является то, что Microsoft Defender для удостоверений оповещения более тесно связаны с информацией, полученной от каждого из других продуктов в наборе. Эти расширенные оповещения соответствуют другим форматам оповещений XDR в Microsoft Defender, исходящим из Microsoft Defender для Office 365 и Microsoft Defender для конечной точки. Новая страница эффективно устраняет необходимость перехода на другой портал продукта для изучения оповещений, связанных с удостоверением.

Оповещения, исходящие из Defender для удостоверений, теперь могут активировать возможности автоматического исследования и ответа (AIR), включая автоматическое исправление оповещений и устранение средств и процессов, которые могут способствовать подозрительной активности.

Внимание

В рамках конвергенции с XDR в Microsoft Defender некоторые параметры и сведения изменились с их расположения на портале Defender для удостоверений. Ознакомьтесь с приведенными ниже сведениями, чтобы узнать, где найти знакомые и новые функции.

Просмотр оповещений системы безопасности

Оповещения можно получить из нескольких расположений, включая страницу "Оповещения", страницу "Инциденты", страницы отдельных устройств и на странице расширенного поиска. В этом примере мы рассмотрим страницу оповещений.

В XDR в Microsoft Defender перейдите в раздел "Инциденты" и "Оповещения".

Пункт меню

Чтобы просмотреть оповещения из Defender для удостоверений, в правом верхнем углу выберите фильтр, а затем в разделе "Источники служб" выберите Microsoft Defender для удостоверений и нажмите кнопку "Применить".

Фильтр событий Defender для удостоверений

Оповещения отображаются со сведениями в следующих столбцах: имя оповещения, теги, серьезность, состояние исследования, состояние, категория, источник обнаружения, затронутые ресурсы, первое действие и последнее действие.

События Defender для удостоверений

Категории оповещений системы безопасности

Оповещения системы безопасности удостоверений Defender для удостоверений делятся на следующие категории или этапы, как и этапы, описанные в типичной цепочке убийств кибер-атак.

Управление оповещениями

Если выбрать имя оповещения для одного из оповещений, перейдите на страницу со сведениями об оповещении. В левой области вы увидите сводку о том, что произошло:

Область

Над полем "Что произошло" отображаются кнопки для учетных записей, узла назначения и исходного узла оповещения. Для других оповещений могут отображаться кнопки для получения сведений о дополнительных узлах, учетных записях, IP-адресах, доменах и группах безопасности. Выберите любой из них, чтобы получить дополнительные сведения о сущностях, участвующих.

На правой панели вы увидите сведения о оповещении. Здесь вы можете просмотреть дополнительные сведения и выполнить несколько задач:

  • Классификация этого оповещения. Здесь можно назначить это оповещение как истинное оповещение или ложное оповещение.

    Страница, на которой можно классифицировать оповещение

  • Состояние генерации оповещений — в наборе классификации можно классифицировать оповещение как True или False. Назначаемое вы можете назначить оповещение себе или отменить его назначение.

    Область состояния генерации оповещений

  • Сведения об оповещении. В разделе "Сведения об оповещении" можно найти дополнительные сведения о конкретном оповещении, следуйте ссылке на документацию по типу оповещения, см. сведения о том, с каким инцидентом связано оповещение, просмотрите все автоматизированные расследования, связанные с этим типом оповещений, и просмотрите затронутые устройства и пользователей.

    Страница сведений об оповещении

  • Примечания и журнал . Здесь можно добавить комментарии в оповещение и просмотреть журнал всех действий, связанных с оповещением.

    Страница

  • Управление оповещением. Если выбрать "Управление оповещением", вы перейдете в область, которая позволит изменить:

    • Состояние — можно выбрать "Создать", "Разрешено" или "Выполняется".

    • Классификация . Вы можете выбрать true alert или False alert.

    • Примечание . Вы можете добавить комментарий о оповещении.

    • Если выбрать три точки рядом с предупреждением "Управление", можно связать оповещение с другим инцидентом, создать правило подавления (доступно только для пользователей предварительной версии) или попросить экспертов Defender.

      Параметр

      Вы также можете экспортировать оповещение в файл Excel. Для этого выберите "Экспорт".

      Примечание.

      В файле Excel теперь доступны две ссылки: просмотр в Microsoft Defender для удостоверений и просмотр в XDR в Microsoft Defender. Каждая ссылка приведет вас к соответствующему порталу и предоставит сведения о оповещении.

Настройка оповещений

Настройте оповещения, чтобы настроить и оптимизировать их, уменьшая ложные срабатывания. Настройка оповещений позволяет группам SOC сосредоточиться на оповещениях с высоким приоритетом и улучшить охват обнаружения угроз в вашей системе. В Microsoft Defender XDR создайте условия правила на основе типов доказательств, а затем примените правило к любому типу правила, соответствующему вашим условиям.

Дополнительные сведения см. в разделе "Настройка оповещения".

См. также

Подробнее