Undersöka incidenter i Microsoft Defender XDR

  • Artikel

Gäller för:

  • Microsoft Defender XDR

Microsoft Defender XDR aggregerar alla relaterade aviseringar, tillgångar, undersökningar och bevis från alla dina enheter, användare och postlådor i en incident för att ge dig en omfattande inblick i hela bredden av en attack.

I en incident analyserar du aviseringarna som påverkar nätverket, förstår vad de innebär och sorterar bevisen så att du kan utforma en effektiv reparationsplan.

Inledande undersökning

Innan du dyker in i detaljerna, ta en titt på egenskaperna och hela attackberättelsen om incidenten.

Du kan börja med att välja incidenten från bockmarkeringskolumnen. Här är ett exempel.

Välja en incident i Microsoft Defender-portalen

När du gör det öppnas ett sammanfattningsfönster med viktig information om incidenten, till exempel allvarlighetsgrad, till vilken den har tilldelats och MITRE ATT-&CK-kategorierna™ för incidenten. Här är ett exempel.

Fönstret som visar sammanfattningsinformationen för en incident i Microsoft Defender-portalen.

Härifrån kan du välja Öppna incidentsida. Då öppnas huvudsidan för incidenten där du hittar den fullständiga informationen och flikarna för aviseringar, enheter, användare, undersökningar och bevis.

Du kan också öppna huvudsidan för en incident genom att välja incidentnamnet i incidentkön.

Attackhistoria

Attackberättelser hjälper dig att snabbt granska, undersöka och åtgärda attacker samtidigt som du visar hela historien om attacken på samma flik. Du kan också granska entitetsinformationen och vidta åtgärder, till exempel att ta bort en fil eller isolera en enhet utan att förlora kontexten.

Attackberättelsen beskrivs kort i följande video.

I attackberättelsen hittar du aviseringssidan och incidentdiagrammet.

Sidan incidentavisering innehåller följande avsnitt:

  • Aviseringsartikel, som omfattar:

    • Vad hände
    • Åtgärder som vidtagits
    • Relaterade händelser

  • Aviseringsegenskaper i den högra rutan (tillstånd, information, beskrivning och andra)

Observera att inte alla aviseringar kommer att ha alla de angivna underavsnitten i avsnittet Aviseringsartikel .

Diagrammet visar hela omfattningen av attacken, hur attacken spred sig genom nätverket över tid, var den startade och hur långt angriparen gick. Den kopplar samman de olika misstänkta entiteter som ingår i attacken med deras relaterade tillgångar, till exempel användare, enheter och postlådor.

Från grafen kan du:

  • Spela upp aviseringarna och noderna i diagrammet när de inträffade över tid för att förstå attackens kronologi.

    Skärmbild som visar uppspelning av aviseringar och noder på sidan med diagram över angreppsberättelser.

  • Öppna ett entitetsfönster så att du kan granska entitetsinformationen och vidta åtgärder, till exempel att ta bort en fil eller isolera en enhet.

    Skärmbild som visar granskningen av entitetsinformationen på sidan med diagram över angreppsberättelser.

  • Markera aviseringarna baserat på den entitet som de är relaterade till.

  • Jaga entitetsinformation för en enhet, fil, IP-adress eller URL.

Alternativet go hunt utnyttjar funktionen avancerad jakt för att hitta relevant information om en entitet. Go Hunt-frågan kontrollerar relevanta schematabeller efter händelser eller aviseringar som rör den specifika entitet som du undersöker. Du kan välja något av alternativen för att hitta relevant information om entiteten:

  • Se alla tillgängliga frågor – alternativet returnerar alla tillgängliga frågor för den entitetstyp som du undersöker.
  • All aktivitet – frågan returnerar alla aktiviteter som är associerade med en entitet, vilket ger dig en omfattande vy över incidentens kontext.
  • Relaterade aviseringar – frågan söker efter och returnerar alla säkerhetsaviseringar som rör en specifik entitet, vilket säkerställer att du inte missar någon information.

Välja alternativet go hunt på en enhet i en attackberättelse

De resulterande loggarna eller aviseringarna kan länkas till en incident genom att välja ett resultat och sedan välja Länka till incident.

Markera länken till incidentalternativet i gå och jaga frågeresultat

Om incidenten eller relaterade aviseringar var resultatet av en analysregel som du har angett kan du också välja Kör fråga för att se andra relaterade resultat.

Sammanfattning

Använd sidan Sammanfattning för att utvärdera incidentens relativa betydelse och snabbt komma åt associerade aviseringar och påverkade entiteter. På sidan Sammanfattning får du en översikt över de viktigaste sakerna att lägga märke till om incidenten.

Skärmbild som visar sammanfattningsinformationen för en incident i Microsoft Defender-portalen.

Informationen ordnas i de här avsnitten.

Sektion Beskrivning
Aviseringar och kategorier En visuell och numerisk vy över hur avancerat attacken har gått mot kill-kedjan. Precis som med andra Microsoft-säkerhetsprodukter är Microsoft Defender XDR anpassat till MITRE ATT&CK-ramverket™. Tidslinjen för aviseringar visar den kronologiska ordning i vilken aviseringarna inträffade och för var och en deras status och namn.
Omfattning Visar antalet berörda enheter, användare och postlådor och visar en lista över entiteter efter risknivå och undersökningsprioritet.
Bevis Visar antalet entiteter som påverkas av incidenten.
Incidentinformation Visar egenskaperna för incidenten, till exempel taggar, status och allvarlighetsgrad.

Varningar

På fliken Aviseringar kan du visa aviseringskö för aviseringar relaterade till incidenten och annan information om dem, till exempel:

  • Allvarlighetsgrad.
  • De entiteter som var inblandade i aviseringen.
  • Källan för aviseringarna (Microsoft Defender for Identity, Microsoft Defender för Endpoint, Microsoft Defender för Office 365, Defender for Cloud Apps och appstyrningstillägget).
  • Anledningen till att de var sammankopplade.

Här är ett exempel.

Fönstret Aviseringar för en incident i Microsoft Defender-portalen

Som standard sorteras aviseringarna kronologiskt så att du kan se hur attacken utspelade sig över tid. När du väljer en avisering inom en incident visar Microsoft Defender XDR aviseringsinformationen som är specifik för kontexten för den övergripande incidenten.

Du kan se händelserna i aviseringen, som andra utlösta aviseringar orsakade den aktuella aviseringen och alla berörda entiteter och aktiviteter som är inblandade i attacken, inklusive enheter, filer, användare och postlådor.

Här är ett exempel.

Information om en avisering i en incident i Microsoft Defender-portalen.

Lär dig hur du använder aviseringskö- och aviseringssidorna i undersöka aviseringar.

Tillgångar

Visa och hantera enkelt alla dina tillgångar på ett ställe med den nya fliken Tillgångar . Den här enhetliga vyn innehåller Enheter, Användare, Postlådor och Appar.

Fliken Tillgångar visar det totala antalet tillgångar bredvid dess namn. En lista över olika kategorier med antalet tillgångar inom den kategorin visas när du väljer fliken Tillgångar.

Sidan Tillgångar för en incident i Microsoft Defender-portalen

Enheter

I vyn Enheter visas alla enheter som är relaterade till incidenten. Här är ett exempel.

Sidan Enheter för en incident i Microsoft Defender-portalen

Om du väljer en enhet i listan öppnas ett fält som gör att du kan hantera den valda enheten. Du kan snabbt exportera, hantera taggar, starta automatiserad undersökning med mera.

Du kan markera bockmarkeringen för en enhet om du vill se information om enheten, katalogdata, aktiva aviseringar och inloggade användare. Välj namnet på enheten för att se enhetsinformation i enhetsinventeringen för Defender för Endpoint. Här är ett exempel.

Alternativen enheter på sidan Tillgångar i Microsoft Defender-portalen.

På enhetssidan kan du samla in ytterligare information om enheten, till exempel alla dess aviseringar, en tidslinje och säkerhetsrekommendationer. På fliken Tidslinje kan du till exempel bläddra igenom enhetens tidslinje och visa alla händelser och beteenden som observerats på datorn i kronologisk ordning, varvat med de utlösta aviseringarna. Här är ett exempel

Information om en enhet på sidan Enhet i Microsoft Defender-portalen.

Tips

Du kan göra genomsökningar på begäran på en enhetssida. I Microsoft Defender-portalen väljer du Slutpunkter > Enhetsinventering. Välj en enhet som har aviseringar och kör sedan en antivirusgenomsökning. Åtgärder, till exempel antivirusgenomsökningar, spåras och visas på sidan Enhetsinventering . Mer information finns i Run Microsoft Defender Antivirus scan on devices (Kör Microsoft Defender Antivirus-genomsökning på enheter).

Användare

I vyn Användare visas alla användare som har identifierats vara en del av eller relaterade till incidenten. Här är ett exempel.

Sidan Användare i Microsoft Defender-portalen.

Du kan markera kryssmarkeringen för en användare om du vill se information om hot, exponering och kontaktinformation för användarkontot. Välj användarnamnet om du vill se ytterligare information om användarkontot.

Lär dig hur du visar ytterligare användarinformation och hanterar användare av en incident i undersöka användare.

Postlådor

I vyn Postlådor visas alla postlådor som har identifierats som en del av eller relaterade till incidenten. Här är ett exempel.

Sidan Postlådor för en incident i Microsoft Defender-portalen.

Du kan markera bockmarkeringen för en postlåda för att se en lista över aktiva aviseringar. Välj postlådenamnet om du vill se ytterligare postlådeinformation på sidan Utforskaren för Defender för Office 365.

Apps

I vyn Appar visas alla appar som identifieras som en del av eller relaterade till incidenten. Här är ett exempel.

Sidan Appar för en incident i Microsoft Defender-portalen.

Du kan markera bockmarkeringen för en app om du vill se en lista över aktiva aviseringar. Välj appnamnet om du vill se ytterligare information på sidan Utforskaren för Defender for Cloud Apps.

Utredningar

På fliken Undersökningar visas alla automatiserade undersökningar som utlöses av aviseringar i den här incidenten. Automatiserade undersökningar utför reparationsåtgärder eller väntar på analytikernas godkännande av åtgärder, beroende på hur du har konfigurerat dina automatiserade undersökningar så att de körs i Defender för Endpoint och Defender för Office 365.

Sidan Undersökningar för en incident i Microsoft Defender-portalen

Välj en undersökning för att gå till informationssidan för fullständig information om undersöknings- och reparationsstatus. Om det finns åtgärder som väntar på godkännande som en del av undersökningen visas de på fliken Historik för väntande åtgärder . Vidta åtgärder som en del av incidentreparationen.

Det finns också en undersökningsdiagramflik som visar:

  • Anslutningen av aviseringar till de tillgångar som påverkas i din organisation.
  • Vilka entiteter är relaterade till vilka aviseringar och hur de är en del av historien om attacken.
  • Aviseringarna för incidenten.

Undersökningsdiagrammet hjälper dig att snabbt förstå hela omfattningen av attacken genom att ansluta de olika misstänkta entiteterna som ingår i attacken med deras relaterade tillgångar, till exempel användare, enheter och postlådor.

Mer information finns i Automatiserad undersökning och svar i Microsoft Defender XDR.

Bevis och svar

Fliken Bevis och svar visar alla händelser som stöds och misstänkta entiteter i aviseringarna i incidenten. Här är ett exempel.

Sidan Bevis och svar för en incident i Microsoft Defender-portalen

Microsoft Defender XDR undersöker automatiskt alla incidenters händelser som stöds och misstänkta entiteter i aviseringarna, vilket ger dig information om viktiga e-postmeddelanden, filer, processer, tjänster, IP-adresser med mera. På så sätt kan du snabbt identifiera och blockera potentiella hot i incidenten.

Var och en av de analyserade entiteterna markeras med en bedömning (skadlig, misstänkt, ren) och en reparationsstatus. Detta hjälper dig att förstå reparationsstatusen för hela incidenten och vilka nästa steg som kan vidtas.

Godkänna eller avvisa reparationsåtgärder

För incidenter med reparationsstatusen Väntar på godkännande kan du godkänna eller avvisa en åtgärd inifrån incidenten.

  1. I navigeringsfönstret går du till Incidenter & aviseringar>Incidenter.
  2. Filtrera på Väntande åtgärd för tillståndet Automatiserad undersökning (valfritt).
  3. Välj ett incidentnamn för att öppna sammanfattningssidan.
  4. Välj fliken Bevis och svar .
  5. Välj ett objekt i listan för att öppna dess utfällbara fönster.
  6. Granska informationen och utför sedan något av följande steg:
    • Välj alternativet Godkänn väntande åtgärd för att initiera en väntande åtgärd.
    • Välj alternativet Avvisa väntande åtgärd för att förhindra att en väntande åtgärd vidtas.

Alternativet Godkänn\Avvisa i fönstret Bevis- och svarshantering för en incident i Microsoft Defender-portalen.

Nästa steg

Efter behov:

Se även

Tips

Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.