Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dotyczy:
- Eksperci usługi Microsoft Defender w zakresie XDR
- eksperci Microsoft Defender dla serwerów
Aby uzyskać instrukcje dotyczące wykrywania zarządzanego i odpowiedzi, zapoznaj się z tym krótkim filmem wideo.
Dzięki połączeniu automatyzacji i ludzkiej wiedzy Eksperci usługi Microsoft Defender w zakresie XDR klasyfikacje Microsoft Defender XDR incydentów, priorytetyzowanie ich w Twoim imieniu, filtrowanie szumu, przeprowadzanie szczegółowych badań i zapewnia zarządzaną reakcję z możliwością działania na centrum operacji zabezpieczeń (SOC) Zespołów.
Aktualizacje zdarzeń
Gdy nasi eksperci rozpoczną badanie incydentu, pola Przypisane do zdarzenia i Stan zostaną zaktualizowane odpowiednio do ekspertów usługi Defender i w toku.
Gdy nasi eksperci zakończą dochodzenie w sprawie incydentu, pole Klasyfikacja incydentu zostanie zaktualizowane do jednego z następujących, w zależności od ustaleń ekspertów:
- Prawdziwie dodatnie
- Wynik fałszywie dodatni
- Działanie informacyjne, oczekiwane
Pole Determinacja odpowiadające każdej klasyfikacji jest również aktualizowane, aby zapewnić więcej szczegółowych informacji na temat ustaleń, które doprowadziły naszych ekspertów do określenia wspomnianej klasyfikacji.
Jeśli zdarzenie jest klasyfikowane jako fałszywie dodatnie lub informacyjne, oczekiwane działanie, pole Stan zdarzenia zostanie zaktualizowane do rozwiązanego. Następnie nasi eksperci kończą pracę nad tym incydentem, a pole Przypisane do zostaje zaktualizowane do nieprzypisanych. Nasi eksperci mogą udostępniać aktualizacje z badania i ich wnioski podczas rozwiązywania incydentu. Te aktualizacje są publikowane w obszarze Podsumowanie badania w panelu wysuwanej odpowiedzi zarządzanej zdarzenia.
W przeciwnym razie, jeśli zdarzenie zostanie sklasyfikowane jako prawdziwie pozytywne, nasi eksperci zidentyfikują wymagane akcje reagowania, które należy wykonać. Metoda, w której są wykonywane akcje, zależy od uprawnień i poziomów dostępu udzielonych usłudze Eksperci usługi Defender w zakresie XDR. Dowiedz się więcej na temat udzielania uprawnień naszym ekspertom.
Jeśli udzielono ci Eksperci usługi Defender w zakresie XDR zalecanych uprawnień dostępu operatora zabezpieczeń, nasi eksperci mogą wykonywać wymagane akcje reagowania na zdarzenie w Twoim imieniu. Te akcje wraz z podsumowaniem badania są wyświetlane w panelu wysuwanym Zarządzana odpowiedź incydentu w portalu Microsoft Defender, aby można było przejrzeć Tobie lub Zespołowi SOC. Wszystkie akcje, które są wykonywane przez Eksperci usługi Defender w zakresie XDR, są wyświetlane w sekcji Ukończone akcje. Wszystkie oczekujące akcje, które wymagają ukończenia przez Ciebie lub Ciebie zespołu SOC, są wymienione w sekcji Oczekujące akcje . Aby uzyskać więcej informacji, zobacz sekcję Akcje . Gdy nasi eksperci wykonali wszystkie niezbędne działania dotyczące zdarzenia, jego pole Stan zostanie zaktualizowane do pozycji Rozwiązano , a pole Przypisane do zostanie zaktualizowane do klienta.
Jeśli udzielono Eksperci usługi Defender w zakresie XDR domyślnego dostępu czytelnika zabezpieczeń, wymagane akcje odpowiedzi wraz z podsumowaniem badania są wyświetlane w panelu wysuwanym Zarządzana odpowiedź zdarzenia w sekcji Oczekujące akcje w portalu Microsoft Defender dla Ciebie lub zespołu SOC do wykonania. Aby uzyskać więcej informacji, zobacz sekcję Akcje . Aby zidentyfikować to przekazanie, pole Stan zdarzenia zostanie zaktualizowane do pozycji Oczekiwanie na akcję klienta , a pole Przypisane do zostanie zaktualizowane do klienta.
Możesz sprawdzić liczbę zdarzeń, które wymagają twojej akcji, na banerze Defender Experts w górnej części strony głównej Microsoft Defender.
Zdarzenia związane z ekspertami usługi Defender można wyświetlić, filtrując kolejkę zdarzeń w portalu Microsoft Defender przy użyciu kilku zestawów filtrów. Dowiedz się więcej o dodawaniu filtrów kolejki zdarzeń
Aby wyświetlić zdarzenia, które obecnie badają nasi eksperci, użyj filtru Przypisania incydentu , wybierz pozycję Przypisano do ekspertów usługi Defender.
Aby wyświetlić zdarzenia, które nasi eksperci zbadali i przekazali twojemu zespołowi w celu podjęcia działań w celu podjęcia oczekujących działań korygujących, korzystając z filtru Przypisania zdarzenia , wybierz pozycję Przypisano do zespołu klienta.
Aby wyświetlić zdarzenia, które nasi eksperci zbadali i przekazali twojemu zespołowi w celu podjęcia działań w oczekiwaniu na akcje korygujące, korzystając z filtru Stan , wybierz pozycję Oczekiwanie na akcję klienta.
Aby wyświetlić zdarzenia, które nasi eksperci zakończyli badanie (i bezpośrednio rozwiązali lub przypisani do zespołu w celu oczekiwania na akcje korygowania), korzystając z filtru Tagi , wybierz pozycję Defender Experts.
Jak używać odpowiedzi zarządzanej w Microsoft Defender XDR
W portalu Microsoft Defender zdarzenie wymagające uwagi przy użyciu odpowiedzi zarządzanej ma pole Stan ustawione na Oczekiwanie na akcję klienta, pole Przypisane do ustawione na Klient i kartę zadania w okienku Zdarzenia. Wyznaczone kontakty dotyczące incydentów otrzymują również odpowiednie powiadomienie e-mail z linkiem do portalu usługi Defender w celu wyświetlenia zdarzenia. Dowiedz się więcej o kontaktach powiadomień. Otrzymasz również powiadomienie usługi Teams z informacją o aktualizacjach. Dowiedz się więcej o konfigurowaniu aplikacji Teams
Wybierz pozycję Wyświetl odpowiedź zarządzaną na karcie zadania lub w górnej części strony portalu (karta Zarządzana odpowiedź ), aby otworzyć panel wysuwany, w którym możesz przeczytać podsumowanie badania naszych ekspertów, ukończyć oczekujące akcje zidentyfikowane przez naszych ekspertów lub skontaktować się z nimi za pośrednictwem czatu.
Podsumowanie badania
Sekcja Podsumowanie badania zawiera więcej kontekstu dotyczącego incydentu analizowanego przez naszych ekspertów w celu zapewnienia wglądu w jego ważność i potencjalny wpływ, jeśli nie zostanie rozwiązany natychmiast. Może ona obejmować oś czasu urządzenia, wskaźniki ataku i wskaźniki zaobserwowanego naruszenia zabezpieczeń (IOC) oraz inne szczegóły.
Działania
Na karcie Akcje są wyświetlane karty zadań zawierające akcje odpowiedzi zalecane przez naszych ekspertów.
Eksperci usługi Defender w zakresie XDR obecnie obsługuje następujące akcje odpowiedzi zarządzanej jednym kliknięciem:
| Akcja | Opis |
|---|---|
| Izolowanie urządzenia | Izoluje urządzenie, co pomaga uniemożliwić osobie atakującej kontrolowanie go i wykonywanie dalszych działań, takich jak eksfiltracja danych i przenoszenie boczne. Izolowane urządzenie nadal będzie połączone z Ochrona punktu końcowego w usłudze Microsoft Defender. |
| Plik kwarantanny | Zatrzymuje uruchamianie procesów, kwarantannę plików i usuwa trwałe dane, takie jak klucze rejestru. |
| Ogranicz wykonanie aplikacji | Ogranicza wykonywanie potencjalnie złośliwych programów i blokuje urządzenie, aby zapobiec dalszym próbom. |
| Zwolnienie z izolacji | Cofa izolację urządzenia. |
| Usuń restrykcję aplikacji | Cofa zwolnienie z izolacji. |
| Wyłączanie użytkownika | Wyłącz dostęp do sieci i różnych punktów końcowych tożsamości. |
Oprócz tych akcji jednym kliknięciem możesz również otrzymywać zarządzane odpowiedzi od naszych ekspertów, które należy wykonać ręcznie.
Uwaga
Przed wykonaniem dowolnej z zalecanych zarządzanych akcji odpowiedzi upewnij się, że nie są one jeszcze rozwiązywane przez konfiguracje zautomatyzowanego badania i odpowiedzi. Dowiedz się więcej o możliwościach zautomatyzowanego badania i reagowania w Microsoft Defender XDR.
Aby wyświetlić i wykonać akcje odpowiedzi zarządzanej:
Wybierz przyciski strzałek na karcie akcji, aby ją rozwinąć i przeczytać więcej informacji o wymaganej akcji.
W przypadku kart z akcjami odpowiedzi jednym kliknięciem wybierz wymaganą akcję. Stan akcji na karcie zmienia się na W toku, a następnie na Wartość Niepowodzenie lub Ukończono, w zależności od wyniku akcji.
Porada
Możesz również monitorować stan akcji odpowiedzi w portalu w Centrum akcji. Jeśli akcja odpowiedzi zakończy się niepowodzeniem, spróbuj zrobić to ponownie na stronie Wyświetl szczegóły urządzenia lub zainicjuj czat z ekspertami usługi Defender.
W przypadku kart z wymaganymi akcjami, które należy wykonać ręcznie, wybierz pozycję Zakończono tę akcję po ich wykonaniu, a następnie wybierz pozycję Tak, zrobiłem to w wyświetlonym oknie dialogowym potwierdzenia.
Jeśli nie chcesz od razu ukończyć wymaganej akcji, wybierz pozycję Pomiń, a następnie wybierz pozycję Tak, pomiń tę akcję w wyświetlonym oknie dialogowym potwierdzenia.
Ważna
Jeśli zauważysz, że którykolwiek z przycisków na kartach akcji jest wyszarzona, może to oznaczać, że nie masz uprawnień niezbędnych do wykonania akcji. Upewnij się, że zalogowano się do portalu Microsoft Defender przy użyciu odpowiednich uprawnień. Większość zarządzanych akcji reagowania wymaga co najmniej dostępu operatora zabezpieczeń. Jeśli ten problem nadal występuje nawet z odpowiednimi uprawnieniami, przejdź do pozycji Wyświetl szczegóły urządzenia i wykonaj kroki z tego miejsca.
Uzyskiwanie wglądu w badania ekspertów usługi Defender w aplikacji SIEM lub ITSM
Ponieważ Eksperci usługi Defender w zakresie XDR badać zdarzenia i wykonywać akcje korygowania, możesz mieć wgląd w ich pracę nad zdarzeniami w aplikacjach do zarządzania informacjami o zabezpieczeniach i zdarzeniami (SIEM) i zarządzania usługami IT (ITSM), w tym aplikacji dostępnych od samego końca.
Microsoft Sentinel
Możesz uzyskać wgląd w zdarzenia w Microsoft Sentinel, włączając jego wbudowany łącznik Microsoft Defender XDR danych. Dowiedz się więcej.
Po włączeniu łącznika w odpowiednich polach Stan, Właściciel i Przyczyna zamknięcia w Sentinel zostaną wyświetlone aktualizacje pól Stan,Właściciel i Przyczyna w Microsoft Defender XDR.
Uwaga
Stan zdarzeń badanych przez ekspertów w usłudze Defender w Microsoft Defender XDR zwykle przechodzi z aktywnego do w toku do oczekującego działania klienta na rozwiązane, podczas gdy w Sentinel jest on zgodny ze ścieżką Od nowa do aktywnego do rozwiązania. Akcja Microsoft Defender XDR Status Awaiting Customer (Stan Microsoft Defender XDR oczekuje na klienta) nie ma równorzędnego pola w Sentinel. Zamiast tego jest ona wyświetlana jako tag w zdarzeniu w Sentinel.
W poniższej sekcji opisano, w jaki sposób zdarzenie obsługiwane przez naszych ekspertów jest aktualizowane w Sentinel w miarę postępów w drodze do badania:
Zdarzenie badane przez naszych ekspertów ma stan wymieniony jako Aktywny i Właściciel wymieniony jako Eksperci usługi Defender.
Zdarzenie, które nasi eksperci potwierdzili jako prawdziwie pozytywne, ma zarządzaną odpowiedź opublikowaną w Microsoft Defender XDR, a tagOczekujący na działanie klienta i właściciel jest wymieniony jako Klient. Należy podjąć działania w oparciu o zdarzenie, korzystając z udostępnionej odpowiedzi zarządzanej w portalu usługi Defender.
Zdarzenie, które nasi eksperci potwierdzili jako prawdziwie pozytywne, ze wszystkimi działaniami naprawczymi podjętymi przez ekspertów w usłudze Defender, ma stan zdarzenia zaktualizowany do rozwiązanego , a właściciel jest wymieniony jako Klient. Akcje zakończone w zdarzeniu można przejrzeć, korzystając z udostępnionej odpowiedzi zarządzanej w portalu usługi Defender.
Gdy nasi eksperci zakończą dochodzenie i zamkną zdarzenie jako fałszywie dodatnie lub informacyjne, oczekiwane działanie, stan zdarzenia zostanie zaktualizowany do rozwiązanego, właściciel zostanie zaktualizowany do nieprzypisanego i zostanie podany powód zamknięcia .
Inne aplikacje
Możesz uzyskać wgląd w zdarzenia w aplikacji SIEM lub ITSM przy użyciu interfejsu API Microsoft Defender XDR lub łączników w Sentinel.
Po skonfigurowaniu łącznika można zsynchronizować aktualizacje pól Stan, Przypisane do, Klasyfikacja i Określanie przez ekspertów usługi Defender w Microsoft Defender XDR z aplikacjami SIEM lub ITSM innych firm, w zależności od sposobu zaimplementowania mapowania pól. Aby to zilustrować, możesz przyjrzeć się łącznikowi dostępnemu z Sentinel do usługi ServiceNow.
Zobacz też
- Omówienie powiadomień o zdarzeniach Eksperci usługi Defender w zakresie XDR i zarządzanie nimi
- Omówienie odpowiedzi zarządzanej
- Uzyskiwanie wglądu w czasie rzeczywistym za pomocą raportów Eksperci usługi Defender w zakresie XDR
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.