本文說明如何在 Defender 入口網站中使用 Microsoft Sentinel 回應事件,涵蓋分級、調查和解決方式。
先決條件
調查 Defender 平台中的事件:
- 用於Microsoft Sentinel 的 Log Analytics 工作區必須上線至 Defender 入口網站。 如需詳細資訊,請參閱 將Microsoft Sentinel 連線至 Microsoft Defender 入口網站。
事件回應程式
在 Defender 入口網站中工作時,請如同平時進行初步分類、處理和後續步驟。 調查時,請務必:
- 檢閱資產時程表來瞭解事件及其範圍。
- 檢閱待定的自我修復操作、手動補救實體,並執行即時回應。
- 新增預防措施。
Defender 入口網站的新增 Microsoft Sentinel 區域可協助您深化調查,包括:
- 藉由將事件與您的安全性程序、政策和程式相互關聯,瞭解事件的範圍(3P)。
- 執行 3P 自動化調查和補救動作,以及建立自定義安全性協調流程、自動化和回應 (SOAR) 劇本。
- 記錄事故管理的證據。
- 新增自訂量值。
如需詳細資訊,請參閱:
使用 Microsoft Sentinel 進行自動化
請務必利用 Microsoft Sentinel 的劇本和自動化規則功能。
劇本 是調查和補救動作的集合,可從 Microsoft Sentinel 入口網站以例程方式執行。 劇本可協助自動化及協調您的威脅回應。 它們可以在事件、實體和警示上按需手動執行,或設置為在特定警示或事件被自動化規則觸發時自動執行。 如需詳細資訊,請參閱 使用劇本自動化處理威脅回應。
自動化規則 是集中管理 Microsoft Sentinel 自動化的方法,可讓您定義並協調一組可應用於不同場景的小規則。 如需詳細資訊,請參閱 在 Microsoft Sentinel 中使用自動化規則自動化威脅回應。
將Microsoft Sentinel 工作區上線至 Defender 入口網站之後,請注意工作區中的自動化功能有何差異。 如需詳細資訊,請參閱Defender入口網站 中的 Microsoft Sentinel 自動化。
事件後回應
解決事件之後,請向事件回應負責人報告事件,以決定後續可能採取的行動。 例如:
- 通知您的第 1 層安全性分析師,以更早地偵測攻擊。
- 研究 Microsoft Defender XDR 威脅分析和安全性社群中的攻擊,以取得安全性攻擊趨勢。 如需詳細資訊,請參閱 Microsoft Defender 全面偵測回應 中的威脅分析。
- 視需要記錄您用來解決事件的工作流程,並更新標準工作流程、進程、原則和劇本。
- 判斷是否需要安全性設定中的變更並加以實作。
- 建立協調流程劇本,以自動化並協調未來類似風險的威脅回應。 如需詳細資訊,請參閱 在 Microsoft sentinel 中使用劇本將威脅回應自動化。
相關內容
如需詳細資訊,請參閱: