在 Microsoft Defender XDR 中调查事件

适用于:

  • Microsoft Defender XDR

Microsoft Defender XDR将来自设备、用户和邮箱的所有相关警报、资产、调查和证据聚合到事件中,以便全面了解攻击的整个范围。

在事件中,可以分析影响网络的警报,了解其含义,并整理证据,以便制定有效的修正计划。

初始调查

在深入了解详细信息之前,请查看事件的属性和整个攻击故事。

首先,可以从“检查标记”列中选择事件。 下面是一个示例。

在Microsoft Defender门户中选择事件

执行此操作时,会打开一个摘要窗格,其中包含有关事件的关键信息,例如,事件分配到的严重性,以及事件的 MITRE ATT&CK™ 类别。 下面是一个示例。

显示Microsoft Defender门户中事件的摘要详细信息的窗格。

在此处,可以选择“ 打开事件”页。 这会打开事件的main页面,你可以在其中找到完整的攻击事件信息和警报、设备、用户、调查和证据选项卡。

还可以通过从事件队列中选择事件名称来打开事件的“main”页。

攻击故事

攻击事件可帮助你快速查看、调查和修正攻击,同时在同一选项卡上查看攻击的完整故事。它还允许查看实体详细信息并采取修正操作,例如删除文件或隔离设备,而不会丢失上下文。

以下视频简要描述了攻击故事。

在攻击事件中,可以找到警报页和事件图。

事件警报页包含以下部分:

  • 警报故事,其中包括:

    • 发生了什么事
    • Mailbox01 会使用新的数据库重新联机。
    • 相关事件
  • 右窗格中的警报属性 (状态、详细信息、说明和其他)

请注意,并非每个警报都将包含 警报情景 部分中列出的所有子部分。

该图显示攻击的全部范围、攻击如何随时间推移在网络中传播、攻击的开始位置以及攻击者走得有多远。 它将属于攻击的不同可疑实体与其相关资产(例如用户、设备和邮箱)连接起来。

从图形中,可以:

  • 播放随时间推移发生的警报和图形上的节点,以了解攻击的年表。

    显示攻击情景图页上的警报和节点的播放的屏幕截图。

  • 打开实体窗格,允许查看实体详细信息并执行修正操作,例如删除文件或隔离设备。

    显示攻击故事图页上实体详细信息的查看的屏幕截图。

  • 根据警报相关的实体突出显示警报。

  • 搜寻设备、文件、IP 地址或 URL 的实体信息。

go 搜寻选项利用高级搜寻功能来查找有关实体的相关信息。 go 搜寻查询会检查相关架构表是否存在涉及你正在调查的特定实体的任何事件或警报。 可以选择任何选项来查找有关实体的相关信息:

  • 查看所有可用查询 - 选项返回正在调查的实体类型的所有可用查询。
  • 所有活动 – 查询返回与实体关联的所有活动,为你提供事件上下文的全面视图。
  • 相关警报 – 查询搜索并返回涉及特定实体的所有安全警报,确保不会错过任何信息。

在攻击故事中,在设备上选择“去搜寻”选项

通过选择结果,然后选择“链接到事件”,可以将生成的日志或警报 链接到事件

突出显示 go 搜寻查询结果中的事件链接选项

如果事件或相关警报是已设置的分析规则的结果,则还可以选择“ 运行查询 ”以查看其他相关结果。

摘要

使用 “摘要 ”页评估事件的相对重要性,并快速访问关联的警报和受影响的实体。 “摘要”页提供快照一目了然地了解有关事件的首要事项。

显示Microsoft Defender门户中事件的摘要信息的屏幕截图。

信息按这些部分进行组织。

说明
警报和类别 针对杀伤链的攻击进度的视觉和数字视图。 与其他Microsoft安全产品一样,Microsoft Defender XDR与 MITRE ATT&CK™ 框架保持一致。 警报时间线显示警报发生的时间顺序,以及每个警报的状态和名称。
范围 显示受影响的设备、用户和邮箱的数量,并按风险级别和调查优先级顺序列出实体。
证据 显示受事件影响的实体数。
事件信息 显示事件的属性,例如标记、状态和严重性。

警报

在“ 警报 ”选项卡上,可以查看与事件相关的警报的警报队列以及有关事件的其他信息,例如:

  • 严重性。
  • 警报中涉及的实体。
  • 警报源 (Microsoft Defender for Identity、Microsoft Defender for Endpoint、Microsoft Defender for Office 365、Defender for Cloud Apps和应用治理加载项) 。
  • 他们联系在一起的原因。

下面是一个示例。

Microsoft Defender门户中事件的“警报”窗格

默认情况下,警报按时间顺序排序,以便查看攻击随时间推移的方式。 在事件中选择警报时,Microsoft Defender XDR显示特定于整个事件的上下文的警报信息。

可以看到警报的事件,哪些其他触发的警报导致了当前警报,以及攻击涉及的所有受影响的实体和活动,包括设备、文件、用户和邮箱。

下面是一个示例。

Microsoft Defender门户中事件中警报的详细信息。

了解如何在调查警报中使用警报队列和 警报页。

资产

使用新的“资产”选项卡,在一个位置轻松查看和管理所有 资产 。此统一视图包括设备、用户、邮箱和应用。

“资产”选项卡在其名称旁边显示资产的总数。 选择“资产”选项卡时,会显示不同类别的列表,其中包含该类别中的资产数。

Microsoft Defender门户中事件的“资产”页

设备

设备” 视图列出与事件相关的所有设备。 下面是一个示例。

Microsoft Defender门户中事件的“设备”页

从列表中选择设备将打开一个用于管理所选设备的栏。 可以快速导出、管理标记、启动自动调查等。

可以为设备选择检查标记,以查看设备、目录数据、活动警报和登录用户的详细信息。 选择设备名称以查看 Defender for Endpoint 设备清单中的设备详细信息。 下面是一个示例。

Microsoft Defender门户的“资产”页中的“设备”选项。

从设备页中,可以收集有关设备的其他信息,例如设备的所有警报、时间线和安全建议。 例如,在“时间线”选项卡中,可以滚动浏览设备时间线,并按时间顺序查看计算机上观察到的所有事件和行为,并穿插引发的警报。 下面是一个示例

Microsoft Defender门户的“设备”页中的设备详细信息。

提示

可以在设备页上执行按需扫描。 在Microsoft Defender门户中,选择“终结点>设备清单”。 选择包含警报的设备,然后运行防病毒扫描。 将跟踪防病毒扫描等操作,并在 “设备清单 ”页上显示。 若要了解详细信息,请参阅在设备上运行Microsoft Defender防病毒扫描

用户

用户” 视图列出已确定为事件一部分或与事件相关的所有用户。 下面是一个示例。

Microsoft Defender门户中的“用户”页。

你可以为用户选择检查标记,以查看用户帐户威胁、暴露和联系信息的详细信息。 选择用户名以查看其他用户帐户详细信息。

了解如何在调查用户中查看其他用户信息和管理事件 的用户

邮箱

邮箱” 视图列出已确定为事件一部分或与事件相关的所有邮箱。 下面是一个示例。

Microsoft Defender门户中事件的“邮箱”页。

可以选择邮箱的检查标记以查看活动警报的列表。 选择邮箱名称,在“资源管理器”页上查看Defender for Office 365的其他邮箱详细信息。

应用

应用” 视图列出标识为事件一部分或与事件相关的所有应用。 下面是一个示例。

Microsoft Defender门户中事件的“应用”页。

可以为应用选择检查标记,以查看活动警报的列表。 选择应用名称,在“资源管理器”页上查看Defender for Cloud Apps的其他详细信息。

调查

调查 ”选项卡列出了此事件中的警报触发的所有 自动调查 。 自动调查将执行修正操作或等待分析师批准操作,具体取决于将自动化调查配置为在 Defender for Endpoint 中运行的方式,并Defender for Office 365。

Microsoft Defender门户中事件的“调查”页

选择调查以导航到其详细信息页,获取有关调查和修正状态的完整信息。 如果在调查过程中有任何待审批的操作,这些操作将显示在“ 挂起操作历史记录 ”选项卡中。在事件修正过程中采取措施。

还有一个 “调查图 ”选项卡,其中显示:

  • 警报与组织中受影响的资产的连接。
  • 哪些实体与哪些警报以及它们是攻击故事的一部分相关的。
  • 事件的警报。

调查图通过将属于攻击的不同可疑实体与其相关资产(如用户、设备和邮箱)连接起来,帮助你快速了解攻击的全部范围。

有关详细信息,请参阅 Microsoft Defender XDR 中的自动调查和响应

证据和响应

证据和响应 ”选项卡显示事件警报中的所有受支持事件和可疑实体。 下面是一个示例。

Microsoft Defender门户中事件的“证据和响应”页

Microsoft Defender XDR会在警报中自动调查所有事件支持的事件和可疑实体,为你提供有关重要电子邮件、文件、进程、服务、IP 地址等的信息。 这有助于快速检测和阻止事件中的潜在威胁。

每个分析的实体都标有“恶意”、“可疑”、“清理) ”和“修正状态” (判决。 这可帮助你了解整个事件的修正状态,以及可以采取哪些后续步骤。

批准或拒绝修正操作

对于修正状态为 “待审批”的事件,可以从事件中批准或拒绝修正操作。

  1. 在导航窗格中,转到 “事件 & 警报>事件”。
  2. 筛选“自动调查”状态的 “挂起”操作 , (可选) 。
  3. 选择事件名称以打开其摘要页。
  4. 选择“ 证据和响应 ”选项卡。
  5. 在列表中选择一个项目以打开其浮出控件窗格。
  6. 查看信息,然后执行以下步骤之一:
    • 选择“批准挂起的操作”选项以启动挂起的操作。
    • 选择“拒绝挂起的操作”选项以防止执行挂起的操作。

Microsoft Defender门户中事件的“证据和响应管理”窗格中的“批准\拒绝”选项。

后续步骤

根据需要:

另请参阅

提示

想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区