Управляемое обнаружение и реагирование

Область применения:

Инструкции по управляемому обнаружению и реагированию см. в этом коротком видео.

Благодаря сочетанию средств автоматизации и человеческого опыта эксперты Microsoft Defender по XDR расценят инциденты XDR в Microsoft Defender, приоритезирует их от вашего имени, отфильтровывает шум, проводит подробные исследования и предоставляет практические управляемые ответные меры для команд центра управления безопасностью (SOC).

Обновления инцидентов

После того как наши эксперты приступить к расследованию инцидента, поля "Назначено " и "Состояние инцидента" обновляются до "Эксперты Defender" и "Выполняется" соответственно.

Когда наши эксперты завершают расследование инцидента, поле классификации инцидента обновляется до одного из следующих значений в зависимости от выводов экспертов:

  • Истинно положительный результат
  • Ложное срабатывание
  • Информационное, ожидаемое действие

Поле Определения , соответствующее каждой классификации, также обновляется, чтобы предоставить более подробную информацию о выводах, которые привели наших экспертов к определению указанной классификации.

Снимок экрана: страница

Если инцидент классифицируется как ложноположительный результат или информационное ожидаемое действие, поле состояние инцидента обновляется на Разрешено. Затем наши эксперты завершают свою работу над этим инцидентом, и поле Назначено будет обновлено на Unassigned. Наши эксперты могут поделиться обновлениями из своего исследования и их выводами при разрешении инцидента. Эти обновления размещаются в разделе Сводка по расследованию на всплывающей панели управляемого ответа инцидента.

В противном случае, если инцидент классифицируется как True Positive, наши эксперты определяют необходимые действия реагирования, которые необходимо выполнить. Метод, в котором выполняются действия, зависит от разрешений и уровней доступа, предоставленных специалистам Defender для службы XDR. Узнайте больше о предоставлении разрешений нашим экспертам.

  • Если вы предоставили экспертам Defender для XDR рекомендуемые разрешения на доступ к оператору безопасности, наши эксперты могут выполнить необходимые действия реагирования на инцидент от вашего имени. Эти действия, а также сводка по расследованию, отображаются на всплывающей панели управляемого ответа инцидента на портале Microsoft Defender, чтобы вы или ваша команда SOC смогли проверить. Все действия, выполненные экспертами Defender для XDR, отображаются в разделе Завершенные действия . Все ожидающие действия, которые требуют выполнения от вас или команды SOC, перечислены в разделе Ожидающие действия . Дополнительные сведения см. в разделе Действия . После того как наши специалисты предоставили все необходимые меры по инциденту, его поле Состояние обновляется до "Разрешено", а поле "Назначено " обновляется для клиента.

  • Если вы предоставили экспертам Defender для XDR доступ к средству чтения безопасности по умолчанию, необходимые действия ответа вместе с сводкой по расследованию отображаются на всплывающей панели управляемого ответа инцидента в разделе Ожидающие действия на портале Microsoft Defender, которые вы или ваша команда SOC должны выполнить. Дополнительные сведения см. в разделе Действия . Чтобы определить эту передачу, поле Состояние инцидента обновляется на Ожидание действия клиента , а поле Назначено — для клиента.

Количество инцидентов, требующих действий, можно проверить на баннере экспертов Defender в верхней части домашней страницы Microsoft Defender.

Снимок экрана: карточка экспертов Defender на портале Microsoft Defender с количеством инцидентов, ожидающих действий клиента.

Вы можете просмотреть инциденты, связанные с экспертами Defender, отфильтровав очередь инцидентов на портале Microsoft Defender с помощью нескольких наборов фильтров. Дополнительные сведения о добавлении фильтров очереди инцидентов

  • Чтобы просмотреть инциденты, которые в настоящее время расследуют наши эксперты, используйте фильтр Назначения инцидентов и выберите Назначенные экспертам Defender.

  • Чтобы просмотреть инциденты, которые наши эксперты изучили и передали вашей команде для выполнения действий по исправлению, ожидающих исправления, с помощью фильтра назначения инцидентов выберите Назначить команде клиентов.

    Снимок экрана: очередь инцидентов, отфильтрованной для отображения только тех, кто содержит тег Assigned to Defender Experts (Назначено экспертам Defender).

  • Чтобы просмотреть инциденты, которые наши эксперты изучили и передали вашей команде для выполнения действий по исправлению, ожидающих действий по исправлению, с помощью фильтра Состояние выберите Ожидание действия клиента.

    Снимок экрана: очередь инцидентов на портале Microsoft Defender, отфильтрованной для отображения только тех, кто содержит тег действия клиента в ожидании.

  • Чтобы просмотреть инциденты, по которым наши эксперты завершили расследование (и либо непосредственно разрешены, либо назначены вашей команде для действий по исправлению в ожидании), с помощью фильтра Теги выберите Эксперты Defender.

    Снимок экрана: очередь

Использование управляемого ответа в XDR в Microsoft Defender

На портале Microsoft Defender для инцидента, требующего вашего внимания с помощью управляемого ответа, в поле Состояние задано значение Ожидание действия клиента, для поля Назначено значение Клиент и карточка задачи в верхней части области Инциденты . Назначенные контакты по инциденту также получают соответствующее уведомление по электронной почте со ссылкой на портал Defender для просмотра инцидента. Дополнительные сведения о контактах с уведомлениями. Вы также получите уведомление Teams с уведомлением об обновлениях. Дополнительные сведения о настройке Teams

Выберите Просмотр управляемого ответа на карточке задачи или в верхней части страницы портала (вкладка Управляемый ответ ), чтобы открыть всплывающий элемент, где можно прочитать сводку исследования наших экспертов, выполнить ожидающие действия, выявленные нашими экспертами, или взаимодействовать с ними в чате.

Сводка по расследованию

В разделе Сводка по расследованию вы дается дополнительный контекст об инциденте, проанализированном нашими экспертами, и вы можете получить представление о его серьезности и потенциальном воздействии, если вы не будете немедленно рассмотрены. Он может включать временную шкалу устройства, индикаторы атаки и индикаторы компрометации (IOCs), а также другие сведения.

Снимок экрана: сводка по исследованию управляемого ответа.

Действия

На вкладке Действия отображаются карточки задач, содержащие действия ответа, рекомендованные нашими экспертами.

Эксперты Defender для XDR в настоящее время поддерживают следующие действия управляемого ответа одним щелчком:

Действие Описание
Изоляция устройства Изолирует устройство, что помогает предотвратить его управление злоумышленником и выполнение дальнейших действий, таких как кража данных и боковое перемещение. Изолированное устройство по-прежнему будет подключено к Microsoft Defender для конечной точки.
Файл карантина Останавливает выполнение процессов, помещает файлы в карантин и удаляет постоянные данные, такие как разделы реестра.
Ограничить выполнение приложения Ограничивает выполнение потенциально вредоносных программ и блокирует устройство, чтобы предотвратить дальнейшие попытки.
Освобождение от изоляции Отменяет изоляцию устройства.
Удалить ограничение приложения Отмена освобождения от изоляции.
Отключить пользователя Отключите для удостоверения доступ к сети и различным конечным точкам.

Помимо этих действий одним щелчком, вы также можете получать управляемые ответы от наших экспертов, которые необходимо выполнить вручную.

Примечание.

Прежде чем выполнять какие-либо из рекомендуемых действий управляемого ответа, убедитесь, что они еще не устранены в конфигурациях автоматического исследования и реагирования. Узнайте больше об автоматизированных исследованиях и возможностях реагирования в XDR в Microsoft Defender.

Чтобы просмотреть и выполнить действия управляемого ответа, выполните следующие действия:

  1. Нажмите кнопки со стрелками в карточке действия, чтобы развернуть ее и прочитать дополнительные сведения о требуемом действии.

    Снимок экрана: действие управляемого ответа для изоляции сервера устройства prod.

  2. Для карточек с действиями ответа одним щелчком выберите требуемое действие. Состояние действия в карточке изменяется на Выполняется, а затем на Сбой или Завершено в зависимости от результата действия.

    Снимок экрана: действие управляемого ответа, показывающее выполнение изоляции сервера prod устройства.

Совет

Вы также можете отслеживать состояние действий ответа на портале в центре уведомлений. Если действие ответа завершается сбоем, попробуйте выполнить его еще раз на странице Просмотр сведений об устройстве или начать чат с экспертами Defender.

  1. Для карточек с обязательными действиями, которые необходимо выполнить вручную, выберите Я выполнил это действие после их выполнения, а затем выберите Да, я сделал это в появившемся диалоговом окне подтверждения.

    Снимок экрана: действие управляемого ответа для подтверждения завершения действия.

  2. Если вы не хотите сразу выполнять требуемое действие, выберите Пропустить, а затем — Да, пропустите это действие в появившемся диалоговом окне подтверждения.

Важно!

Если вы заметили, что какие-либо кнопки на карточках действий неактивны, это может означать, что у вас нет необходимых разрешений для выполнения действия. Убедитесь, что вы вошли на портал XDR в Microsoft Defender с соответствующими разрешениями. Для большинства управляемых действий реагирования требуется по крайней мере доступ к оператору безопасности. Если вы по-прежнему сталкиваетесь с этой проблемой, даже с соответствующими разрешениями, перейдите в раздел Просмотр сведений об устройстве и выполните действия.

Получение сведений о исследованиях экспертов Defender в приложении SIEM или ITSM

Как эксперты Defender для XDR расследуют инциденты и придумываете действия по исправлению, вы можете видеть их работу над инцидентами в приложениях управления информационной безопасностью и событиями безопасности (SIEM) и управления ИТ-службами (ITSM), включая приложения, доступные по умолчанию.

Microsoft Sentinel

Вы можете получить видимость инцидентов в Microsoft Sentinel, включив встроенный соединитель данных XDR в Microsoft Defender. Подробнее.

После включения соединителя в соответствующие поля Состояние, Владелец и Причина закрытия в Sentinel появятся обновления экспертами Defender для полей Состояние, Назначено, Классификация и Определение В Microsoft Defender XDR.

Примечание.

Состояние инцидентов, расследованных экспертами Defender в XDR в Microsoft Defender, обычно переходит из активногов выполняется в ожидание действия клиента на Разрешено, а в Sentinel он следует пути New to Active to Resolved . В microsoft Defender XDR Status Awaiting Customer Action нет эквивалентного поля в Sentinel; Вместо этого он отображается в виде тега в инциденте в Sentinel.

В следующем разделе описывается, как инцидент, обрабатываемый нашими экспертами, обновляется в Sentinel по мере его продвижения в ходе расследования.

  1. Для инцидента, расследуемого нашими экспертами, указано состояние"Активный" и "Владелец""Эксперты Defender".

  2. Инцидент, который наши эксперты подтвердили как true positive, имеет управляемый ответ, размещенный в XDR в Microsoft Defender, а тегожидает действия клиента , а владелец указан в качестве клиента. Необходимо действовать в случае инцидента на основе предоставленного управляемого ответа на портале Defender.

  3. Инцидент, который наши эксперты подтвердили как истинный положительный, со всеми действиями по исправлению, предпринятыми экспертами Defender, имеет состояние инцидента обновлено на Разрешено , а владелец указан в качестве клиента. Вы можете просмотреть действия, выполненные по инциденту, с помощью предоставленного управляемого ответа на портале Defender.

  4. После того как наши эксперты завершили расследование и закрыли инцидент как ложноположительные или информационныеожидаемые действия, состояние инцидента обновляется на "Разрешено", владелец обновляется на Неназначенные и предоставляется причина закрытия .

    Снимок экрана: инциденты Microsoft Sentinel.

Другие приложения

Вы можете получить видимость инцидентов в приложении SIEM или ITSM с помощью API XDR Microsoft Defender или соединителей в Sentinel.

После настройки соединителя обновления экспертами Defender для полей Состояния инцидента, Назначено, Классификация и Определение В XDR Microsoft Defender можно синхронизировать со сторонними приложениями SIEM или ITSM в зависимости от того, как было реализовано сопоставление полей. Чтобы проиллюстрировать, можно просмотреть соединитель, доступный из Sentinel в ServiceNow.

См. также

Совет

Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.