Начало работы с экспертами Defender для службы XDR

  • Статья

Область применения:

После завершения шагов по подключению и проверок готовности экспертов Microsoft Defender для XDR наши специалисты начнут мониторинг вашей среды, чтобы упростить службу, чтобы мы могли выполнять комплексное обслуживание от вашего имени. На этом этапе наши специалисты выявляют скрытые угрозы, источники риска и нормальную активность.

После того как наши эксперты начнут выполнять комплексную работу по реагированию от вашего имени, вы начнете получать уведомления об инцидентах, требующих действий по исправлению, и целевые рекомендации по критическим инцидентам. Вы также можете общаться с нашими экспертами или менеджерами по доставке услуг (SDM) о важных запросах и регулярных проверках состояния бизнеса и безопасности, а также просматривать отчеты в режиме реального времени о количестве инцидентов, которые мы исследовали и устранили от вашего имени.

Управляемое обнаружение и реагирование

Благодаря сочетанию автоматизации и человеческого опыта эксперты Defender для XDR анализирует инциденты XDR в Microsoft Defender, назначает им приоритеты от вашего имени, отфильтровывает шум, проводит подробные исследования и предоставляет практические управляемые ответные меры группам центра управления безопасностью (SOC).

Обновления инцидентов

После того как наши эксперты приступить к расследованию инцидента, поля "Назначено " и "Состояние инцидента" обновляются до "Эксперты Defender" и "Выполняется" соответственно.

Когда наши эксперты завершают расследование инцидента, поле классификации инцидента обновляется до одного из следующих значений в зависимости от выводов экспертов:

  • Истинно положительный результат
  • Ложное срабатывание
  • Информационное, ожидаемое действие

Поле Определения , соответствующее каждой классификации, также обновляется, чтобы предоставить более подробную информацию о выводах, которые привели наших экспертов к определению указанной классификации.

Снимок экрана: страница

Если инцидент классифицируется как ложноположительный результат или информационное ожидаемое действие, поле состояние инцидента обновляется на Разрешено. Затем наши эксперты завершают свою работу над этим инцидентом, и поле Назначено будет обновлено на Unassigned. Наши эксперты могут поделиться обновлениями из своего расследования и выводами при разрешении инцидента. Эти обновления размещаются на всплывающей панели примечаний и журнала инцидента.

Примечание.

Комментарии к инциденту — это односторонние публикации. Эксперты Defender не могут отвечать на комментарии или вопросы, добавленные на панели "Комментарии и журнал ". Дополнительные сведения о том, как взаимодействовать с нашими экспертами, см. в статье Общение с экспертами в Службе экспертов Microsoft Defender для XDR.

В противном случае, если инцидент классифицируется как True Positive, наши эксперты определяют необходимые действия реагирования, которые необходимо выполнить. Метод, в котором выполняются действия, зависит от разрешений и уровней доступа, предоставленных специалистам Defender для службы XDR. Узнайте больше о предоставлении разрешений нашим экспертам.

  • Если вы предоставили экспертам Defender для XDR рекомендуемые разрешения на доступ к оператору безопасности, наши эксперты могут выполнить необходимые действия реагирования на инцидент от вашего имени. Эти действия, а также сводка по расследованию, отображаются на всплывающей панели управляемого ответа инцидента на портале Microsoft Defender, чтобы вы или ваша команда SOC смогли проверить. Все действия, выполненные экспертами Defender для XDR, отображаются в разделе Завершенные действия . Все ожидающие действия, которые требуют выполнения от вас или команды SOC, перечислены в разделе Ожидающие действия . Дополнительные сведения см. в разделе Действия . После того как наши специалисты предоставили все необходимые меры по инциденту, его поле Состояние обновляется до "Разрешено ", а поле "Назначено " — на Неназначенные.

  • Если вы предоставили экспертам Defender для XDR доступ к средству чтения безопасности по умолчанию, необходимые действия ответа вместе с сводкой по расследованию отображаются на всплывающей панели управляемого ответа инцидента в разделе Ожидающие действия на портале Microsoft Defender, которые вы или ваша команда SOC должны выполнить. Дополнительные сведения см. в разделе Действия . Чтобы определить эту передачу, поле Состояние инцидента обновляется на Ожидание действия клиента , а поле Назначено — для клиента.

Количество инцидентов, требующих действий, можно проверить на баннере экспертов Defender в верхней части домашней страницы Microsoft Defender.

Снимок экрана: карточка экспертов Defender на портале Microsoft Defender с количеством инцидентов, ожидающих действий клиента.

Чтобы просмотреть инциденты, которые наши эксперты изучили или расследуют в настоящее время, отфильтруйте очередь инцидентов на портале Microsoft Defender с помощью тега Эксперты Defender .

Снимок экрана: очередь инцидентов на портале Microsoft Defender, отфильтрованной для отображения только тех, кто содержит тег экспертов Defender.

Использование управляемого ответа в XDR в Microsoft Defender

На портале Microsoft Defender для инцидента, требующего вашего внимания с помощью управляемого ответа, в поле Назначено задано значение Клиент , а в верхней части области Инциденты — карточка задачи. Назначенные контакты по инциденту также получают соответствующее уведомление по электронной почте со ссылкой на портал Defender для просмотра инцидента. Дополнительные сведения о контактах с уведомлениями.

Выберите Просмотр управляемого ответа на карточке задачи или в верхней части страницы портала (вкладка Управляемый ответ ), чтобы открыть всплывающий элемент, где можно прочитать сводку исследования наших экспертов, выполнить ожидающие действия, выявленные нашими экспертами, или взаимодействовать с ними в чате.

Сводка по расследованию

В разделе Сводка по расследованию вы дается дополнительный контекст об инциденте, проанализированном нашими экспертами, и вы можете получить представление о его серьезности и потенциальном воздействии, если вы не будете немедленно рассмотрены. Он может включать временную шкалу устройства, индикаторы атаки и индикаторы компрометации (IOCs), а также другие сведения.

Снимок экрана: сводка по исследованию управляемого ответа.

Действия

На вкладке Действия отображаются карточки задач, содержащие действия ответа, рекомендованные нашими экспертами.

Эксперты Defender для XDR в настоящее время поддерживают следующие действия управляемого ответа одним щелчком:

Действие Описание
Изоляция устройства Изолирует устройство, что помогает предотвратить его управление злоумышленником и выполнение дальнейших действий, таких как кража данных и боковое перемещение. Изолированное устройство по-прежнему будет подключено к Microsoft Defender для конечной точки.
Файл карантина Останавливает выполнение процессов, помещает файлы в карантин и удаляет постоянные данные, такие как разделы реестра.
Ограничить выполнение приложения Ограничивает выполнение потенциально вредоносных программ и блокирует устройство, чтобы предотвратить дальнейшие попытки.
Освобождение от изоляции Отменяет изоляцию устройства.
Удалить ограничение приложения Отмена освобождения от изоляции.

Помимо этих действий одним щелчком, вы также можете получать управляемые ответы от наших экспертов, которые необходимо выполнить вручную.

Примечание.

Прежде чем выполнять какие-либо из рекомендуемых действий управляемого ответа, убедитесь, что они еще не устранены в конфигурациях автоматического исследования и реагирования. Узнайте больше об автоматизированных исследованиях и возможностях реагирования в XDR в Microsoft Defender.

Чтобы просмотреть и выполнить действия управляемого ответа, выполните следующие действия:

  1. Нажмите кнопки со стрелками в карточке действия, чтобы развернуть ее и прочитать дополнительные сведения о требуемом действии.

    Снимок экрана: действие управляемого ответа для изоляции сервера устройства prod.

  2. Для карточек с действиями ответа одним щелчком выберите требуемое действие. Состояние действия в карточке изменяется на Выполняется, а затем на Сбой или Завершено в зависимости от результата действия.

    Снимок экрана: действие управляемого ответа, показывающее выполнение изоляции сервера prod устройства.

    Совет

    Вы также можете отслеживать состояние действий ответа на портале в центре уведомлений. Если действие ответа завершается сбоем, попробуйте выполнить его еще раз на странице Просмотр сведений об устройстве или начать чат с экспертами Defender.

  3. Для карточек с обязательными действиями, которые необходимо выполнить вручную, выберите Я выполнил это действие после их выполнения, а затем выберите Да, я сделал это в появившемся диалоговом окне подтверждения.

    Снимок экрана: действие управляемого ответа для подтверждения завершения действия.

  4. Если вы не хотите сразу выполнять требуемое действие, выберите Пропустить, а затем — Да, пропустите это действие в появившемся диалоговом окне подтверждения.

Важно!

Если вы заметили, что какие-либо кнопки на карточках действий неактивны, это может означать, что у вас нет необходимых разрешений для выполнения действия. Убедитесь, что вы вошли на портал XDR в Microsoft Defender с соответствующими разрешениями. Для большинства управляемых действий реагирования требуется по крайней мере доступ к оператору безопасности.

Если вы по-прежнему сталкиваетесь с этой проблемой, даже с соответствующими разрешениями, перейдите в раздел Просмотр сведений об устройстве и выполните действия.

Получение сведений о исследованиях экспертов Defender в приложении SIEM или ITSM

Как эксперты Defender для XDR расследуют инциденты и придумываете действия по исправлению, вы можете видеть их работу над инцидентами в приложениях управления информационной безопасностью и событиями безопасности (SIEM) и управления ИТ-службами (ITSM), включая приложения, доступные по умолчанию.

Microsoft Sentinel

Вы можете получить видимость инцидентов в Microsoft Sentinel, включив встроенный соединитель данных XDR в Microsoft Defender. Подробнее.

После включения соединителя в соответствующие поля Состояние, Владелец и Причина закрытия в Sentinel появятся обновления экспертами Defender для полей Состояние, Назначено, Классификация и Определение В Microsoft Defender XDR.

Примечание.

Состояние инцидентов, расследованных экспертами Defender в XDR в Microsoft Defender, обычно переходит из активногов выполняется в ожидание действия клиента на Разрешено, а в Sentinel он следует пути New to Active to Resolved . В microsoft Defender XDR Status Awaiting Customer Action нет эквивалентного поля в Sentinel; Вместо этого он отображается в виде тега в инциденте в Sentinel.

В следующем разделе описывается, как инцидент, обрабатываемый нашими экспертами, обновляется в Sentinel по мере его продвижения в ходе расследования.

  1. Для инцидента, расследуемого нашими экспертами, указано состояние"Активный" и "Владелец""Эксперты Defender".
  2. Инцидент, который наши эксперты подтвердили как true positive, имеет управляемый ответ, размещенный в XDR в Microsoft Defender, а тегожидает действия клиента , а владелец указан в качестве клиента. Необходимо действовать в случае инцидента на основе предоставленного управляемого ответа.
  3. После того как наши эксперты завершили расследование и закрыли инцидент как ложноположительные или информационныеожидаемые действия, состояние инцидента обновляется на "Разрешено", владелец обновляется на Неназначенные и предоставляется причина закрытия .

Снимок экрана: инциденты Microsoft Sentinel.

Другие приложения

Вы можете получить видимость инцидентов в приложении SIEM или ITSM с помощью API XDR Microsoft Defender или соединителей в Sentinel.

После настройки соединителя обновления экспертами Defender для полей Состояния инцидента, Назначено, Классификация и Определение В XDR Microsoft Defender можно синхронизировать со сторонними приложениями SIEM или ITSM в зависимости от того, как было реализовано сопоставление полей. Чтобы проиллюстрировать, можно просмотреть соединитель, доступный из Sentinel в ServiceNow.

Получение видимости в режиме реального времени с помощью экспертов Defender для отчетов XDR

Эксперты Defender для XDR включают интерактивный отчет по запросу, который содержит четкое резюме работы, которую наши эксперты-аналитики выполняют от вашего имени, агрегированные сведения о вашем ландшафте инцидентов и детализированные сведения о конкретных инцидентах. Ваш менеджер по доставке служб (SDM) также использует отчет, чтобы предоставить вам дополнительный контекст в отношении службы во время ежемесячной бизнес-проверки.

Снимок экрана: отчет экспертов Defender для XDR.

Каждый раздел отчета предназначен для предоставления дополнительных сведений об инцидентах, которые наши эксперты исследовали и разрешали в вашей среде в режиме реального времени. Вы также можете выбрать диапазон дат , чтобы получить подробные сведения об инцидентах на основе серьезности, категории и понять время, затраченное на расследование и разрешение инцидента в течение определенного периода.

Общие сведения о отчете экспертов Defender для XDR

Самый верхний раздел отчета экспертов Defender для XDR содержит процент инцидентов, которые мы устранили в вашей среде, обеспечивая прозрачность наших операций. Этот процент является производным от следующих цифр, которые также представлены в отчете:

  • Расследованное — количество активных угроз и других инцидентов из очереди инцидентов, которые мы изучили, изучили или в настоящее время исследуем в пределах нашей области.
  • Устранено — общее количество расследованных инцидентов, которые были закрыты.
  • Устранено напрямую — количество расследованных инцидентов, которые мы смогли закрыть непосредственно от вашего имени.
  • Устранено с вашей помощью — количество расследованных инцидентов, которые были разрешены из-за действий над одной или несколькими задачами управляемого реагирования.

В разделе Среднее время для разрешения инцидентов отображается линейчатая диаграмма среднего времени (в минутах), затраченного нашими экспертами на расследование и закрытие инцидентов в вашей среде, а также среднее время, затраченное на выполнение необходимых действий управляемого реагирования.

Разделы Инциденты по серьезности, Инциденты по категориям и Инциденты по источнику службы разбивают разрешенные инциденты по серьезности, методу атаки и источнику службы безопасности Майкрософт соответственно. Эти разделы позволяют определить потенциальные точки входа атак и типы угроз, обнаруженных в вашей среде, оценить их влияние и разработать стратегии их устранения и предотвращения. Выберите Просмотреть инциденты , чтобы получить отфильтрованное представление очереди инцидентов на основе выбранных вариантов в каждом из двух разделов.

В разделе Наиболее затронутые ресурсы отображаются пользователи и устройства в вашей среде, которые были вовлечены в наибольшее количество инцидентов в течение выбранного диапазона дат. Вы можете увидеть объем инцидентов, в которых участвовал каждый ресурс. Выберите ресурс, чтобы получить отфильтрованное представление очереди инцидентов на основе инцидентов, которые включали указанный ресурс.

Упреждающая управляемая охота

Эксперты Defender для XDR также включают упреждающее охоту на угрозы, предлагаемые экспертами Microsoft Defender для охоты. Эксперты Defender для охоты были созданы для клиентов, которые имеют надежный центр управления безопасностью, но хотят, чтобы корпорация Майкрософт помогала им в упреждающем поиске угроз с помощью данных Microsoft Defender. Эта служба упреждающей охоты на угрозы выходит за рамки конечной точки для поиска в конечных точках, Office 365, облачных приложениях и удостоверениях. Наши специалисты исследуют все, что они находят, а затем передают контекстную информацию об оповещениях вместе с инструкциями по исправлению, чтобы вы могли быстро ответить.

Запрос расширенных экспертных знаний по угрозам по запросу

Выберите Задать вопросы экспертам Defender непосредственно на портале Microsoft Defender XDR, чтобы получить быстрые и точные ответы на все ваши вопросы об угрозах. Эксперты могут предоставить аналитические сведения, чтобы лучше понять сложные угрозы, с которыми может столкнуться ваша организация. Обратитесь к эксперту, чтобы:

  • Соберите дополнительные сведения об оповещениях и инцидентах, включая первопричины и область.
  • Получите ясность в подозрительных устройствах, оповещениях или инцидентах и получите дальнейшие действия, если вы столкнулись с продвинутым злоумышленником.
  • Определите риски и доступные средства защиты, связанные с группами действий, кампаниями или новыми методами злоумышленников.

Примечание.

Ask Defender Experts не является службой реагирования на инциденты безопасности. Он предназначен для лучшего понимания сложных угроз, влияющих на вашу организацию. Обратитесь к вашей собственной группе реагирования на инциденты безопасности для решения срочных проблем реагирования на инциденты безопасности. Если у вас нет собственной группы реагирования на инциденты безопасности и вы хотите получить помощь майкрософт, создайте запрос на поддержку в Premier Services Hub.

На страницах инцидентов и оповещений можно задать контекстные вопросы о конкретном инциденте или оповещении:

  • Всплывающее меню страницы оповещений:

Снимок экрана: пункт меню

  • Меню действий страницы инцидентов:

IScreenshot of the Ask Defender Experts in the Incidents page actions menu in the Incidents page actions (Действия страницы инцидентов) на портале Microsoft Defender.

См. также

Совет

Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender XDR Tech Community.