Microsoft Defender 入口網站整合了一套統一的安全服務,幫助您降低面臨安全威脅的風險、提升組織的安全態勢、偵測安全威脅,並調查及回應資安事件。 這些服務收集並產生訊號,並顯示在入口網站中。 主要有兩種訊號類型:
警報:由各種威脅偵測活動所產生的訊號。 這些訊號顯示環境中存在惡意或可疑事件。
事件:包含相關警報集合並完整呈現攻擊經過的容器。 單一事件中的警報可能來自所有 Microsoft 的安全與合規解決方案,以及透過 Microsoft Sentinel 和 Microsoft Defender for Cloud 收集的大量外部解決方案。
相關性與調查事件
雖然你可以調查並減輕個別警報帶來的威脅,但這些威脅本身只是孤立事件,無法告訴你更廣泛且複雜的攻擊故事。 你可以搜尋、研究、調查並關聯同一攻擊故事中屬於同一事件的警示群組,但這將花費你大量的時間、精力和精力。
取而代之的是,Microsoft Defender 入口網站中的關聯引擎與演算法會自動彙整並關聯相關警示,形成代表這些更大攻擊故事的事件。 Defender 將多個訊號識別為同一攻擊事件,並利用 AI 持續監控遙測來源,並為已開啟的事件增添更多證據。 事件包含所有被認為彼此相關的警報,並與整體攻擊故事相關,並以多種形式呈現故事:
- 警報的時間軸及其所依據的原始事件
- 所採用戰術列表
- 所有涉入及受影響的使用者、裝置及其他資源清單
- 故事中所有角色互動的視覺呈現
- Defender 全面偵測回應並啟動並完成的自動調查與回應流程日誌
- 支持攻擊故事的證據彙整:惡意行為者的使用者帳號與裝置資訊與地址、惡意檔案與流程、相關威脅情報等等
- 攻擊事件的文字摘要
事件事件也提供你一個框架,用以管理與記錄調查及威脅應對。 欲了解更多事件功能,請參閱 Microsoft Defender 中的事件管理。
警報來源與威脅偵測
Microsoft Defender 入口網站中的警示來自多種來源。 這些來源包括 Microsoft Defender 全面偵測回應的多項服務,以及與 Microsoft Defender 入口網站整合程度不一的其他服務。
例如,當 Microsoft Sentinel 加入 Microsoft Defender 入口網站時,Defender 入口網站的關聯引擎就能存取 Microsoft Sentinel 所接收的所有原始資料,這些資料可以在 Defender 的進階搜尋表中找到。
使用 Defender 入口網站的Microsoft Sentinel客戶,或使用 Microsoft Sentinel Defender 全面偵測回應 資料連接器的Azure 入口網站,也能受益於Microsoft威脅情報警示,這些警示能突顯國家級行為者的活動,例如勒索軟體活動詐欺行動。 對於沒有 E5 執照或 Microsoft Sentinel 的客戶,這些警示僅在 Microsoft 365 系統管理 中心 (MAC) 提供。
Microsoft Defender 全面偵測回應本身也會產生警示。 Defender 全面偵測回應的獨特關聯功能,為您的數位資產中所有非 Microsoft 解決方案提供另一層資料分析與威脅偵測。 這些偵測會產生 Defender 全面偵測回應的警示,此外還有 Microsoft Sentinel 分析規則已提供的警示。
在每個來源中,都有一種或多種威脅偵測機制,根據各自機制中定義的規則產生警報。 例如,Microsoft Sentinel 至少有四個不同的引擎,每個引擎都有不同類型的警示,且各自有自己的規則。
調查與應對的工具與方法
Microsoft Defender 入口網站包含自動化或協助事件分流、調查與解決的工具與方法。 這些工具如下表所示:
| 工具/方法 | 描述 |
|---|---|
| 管理 與 調查 事件 | 務必根據事件嚴重性優先排序,然後處理並進行調查。 利用進階獵捕搜尋威脅,並利用威脅分析搶先發制人。 |
| 將事件拆分成任務 | 利用 Microsoft Defender 入口網站中的任務,跨營運團隊協同調查並解決事件。 以任務管理事件有助於提升事件應變效率,並確保對調查結果負責。 |
| 自動調查並解決警報 | 若啟用此功能,Microsoft Defender 全面偵測回應可透過自動化與人工智慧,自動調查並解決來自 Microsoft 365 與 Entra ID 來源的警示。 |
| 配置自動攻擊干擾行動 | 利用從 Microsoft Defender 全面偵測回應 和 Microsoft Sentinel 收集的高信心訊號,自動以機器速度干擾主動攻擊,限制威脅並限制影響。 |
| Configure Microsoft Sentinel 自動化規則 | 使用自動化規則來自動化事件的分流、指派與管理,無論事件來源為何。 透過設定規則,根據事件內容套用標籤、抑制雜訊 (誤報) 事件,並關閉符合適當標準的已解決事件,並說明原因並加入註解,進一步提升團隊效率。 |
| 主動狩獵,進階狩獵 | 使用 Kusto 查詢語言 (KQL) ,主動檢查網路事件,透過查詢 Defender 入口網站收集的日誌。 進階狩獵支援引導模式,方便使用者使用查詢建構器的便利性。 |
| 利用 Microsoft Security Copilot 來駕馭 AI | 加入 AI 支援分析師處理複雜且耗時的日常工作流程。 例如,Microsoft Security Copilot 能協助端對端事件調查與回應,提供清晰描述的攻擊故事、逐步可行的修復指引與事件活動摘要報告、自然語言 KQL 搜尋,以及專家程式碼分析——優化來自各來源資料的 SOC 效率。 這項能力是 Microsoft Sentinel 在統一平台中其他基於 AI 的功能之外的補充,涵蓋用戶與實體行為分析、異常偵測、多階段威脅偵測等。 |
提示
Defender Boxed 是一系列卡片,展示您組織在過去六個月/一年中的安全成功、改進及應對行動,於每年一月和七月限時推出。 了解如何分享你的 Defender Boxed 精華片段。
相關項目
欲了解更多關於 Defender 入口網站中的警報關聯與事件合併,請參閱 Microsoft Defender 全面偵測回應中的警報、事件與相關性