A Defender for Identity biztonsági riasztásainak vizsgálata a Microsoft Defender XDR

Ez a cikk ismerteti az Microsoft Defender for Identity biztonsági riasztások Microsoft Defender XDR-ben való alkalmazásának alapjait.

A Defender for Identity-riasztások natív módon integrálva vannak a Microsoft Defender XDR, dedikált identitásriasztási lapformátummal.

Az Identitásriasztás oldal jobb tartományközi jelnövelést és új automatizált identitáskezelési képességeket biztosít Microsoft Defender for Identity ügyfeleknek. Ez biztosítja a biztonság megőrzését és a biztonsági műveletek hatékonyságának javítását.

A riasztások Microsoft Defender XDR keresztüli vizsgálatának egyik előnye, hogy Microsoft Defender for Identity riasztások további korrelációban vannak a csomag többi termékéből származó információval. Ezek a továbbfejlesztett riasztások összhangban vannak a Office 365-höz készült Microsoft Defender és Végponthoz készült Microsoft Defender származó többi Microsoft Defender XDR riasztási formátummal. Az új oldal hatékonyan szükségtelenné teszi, hogy egy másik termékportálra navigáljon az identitással kapcsolatos riasztások kivizsgálásához.

A Defender for Identityből származó riasztások mostantól aktiválhatják a Microsoft Defender XDR automatizált vizsgálati és reagálási (AIR) képességeket, beleértve a riasztások automatikus szervizelését, valamint a gyanús tevékenységhez hozzájáruló eszközök és folyamatok elhárítását.

Biztonsági riasztások áttekintése

A riasztások több helyről is elérhetők, például a Riasztások oldalról, az Incidensek oldalról, az egyes eszközök oldalairól és a Speciális veszélyforrás-keresés oldalról. Ebben a példában a Riasztások lapot tekintjük át.

A Microsoft Defender XDR lépjen az Incidensek & riasztások, majd a Riasztások elemre.

A Defender for Identity riasztásainak megtekintéséhez a jobb felső sarokban válassza a Szűrés lehetőséget, majd a Szolgáltatásforrások területen válassza a Microsoft Defender for Identity lehetőséget, majd válassza az Alkalmaz lehetőséget:

A riasztások a következő oszlopokban jelennek meg információval: Riasztás neve, Címkék, Súlyosság, Vizsgálati állapot, Állapot, Kategória, Észlelési forrás, Érintett objektumok, Első tevékenység és Utolsó tevékenység.

Biztonsági riasztások kategóriái

A Defender for Identity biztonsági riasztásai a következő kategóriákra vagy fázisokra vannak osztva, például a tipikus kibertámadások leölési láncában látható fázisokra.

• Felderítési riasztások
• Sérült hitelesítőadat-riasztások
• Oldalirányú mozgás riasztásai
• Tartományi dominancia riasztásai
• Kiszűrési riasztások

Értesítések kezelése

Ha az egyik riasztáshoz kiválasztja a Riasztás nevét , a riasztás részleteit tartalmazó lapra lép. A bal oldali panelen a Mi történt? összegzése látható:

A Mi történt mező felett a riasztás Fiókok, Cél gazdagépe és Forrás gazdagépe gombjai találhatók. Más riasztások esetén megjelenhetnek a további gazdagépekre, fiókokra, IP-címekre, tartományokra és biztonsági csoportokra vonatkozó részletekre szolgáló gombok. Válassza ki bármelyiket az érintett entitásokkal kapcsolatos további részletek megtekintéséhez.

A jobb oldali panelen megjelenik a Riasztás részletei. Itt további részleteket tekinthet meg, és több feladatot is végrehajthat:

• Riasztás besorolása – Itt true (igaz) vagy false (hamis) riasztásként jelölheti meg ezt a riasztást.

  

• Riasztás állapota – A Besorolás beállítása területen a riasztást Igaz vagy Hamis értékre osztályozhatja. A Hozzárendelve területen hozzárendelheti saját magához a riasztást, vagy megszüntetheti a hozzárendelését.

  

• Riasztás részletei – A Riasztás részletei területen további információkat talál az adott riasztásról, a riasztás típusával kapcsolatos dokumentációra mutató hivatkozást követve megtekintheti, hogy a riasztás melyik incidenshez van társítva, áttekintheti az ehhez a riasztástípushoz kapcsolódó automatizált vizsgálatokat, és megtekintheti az érintett eszközöket és felhasználókat.

  

• Megjegyzések & előzmények – Itt hozzáadhatja megjegyzéseit a riasztáshoz, és megtekintheti a riasztáshoz társított összes művelet előzményeit.

  

• Riasztás kezelése – Ha a Riasztás kezelése lehetőséget választja, megjelenik egy panel, amely lehetővé teszi a következők szerkesztését:

  • Állapot – Választhatja az Új, a Megoldva vagy a Folyamatban lehetőséget.

  • Besorolás – Választhatja az Igaz riasztás vagy a Hamis riasztás lehetőséget.

  • Megjegyzés – Megjegyzést fűzhet a riasztáshoz.

  • Ha a Riasztás kezelése elem melletti három pontra van szüksége, csatolhatja a riasztást egy másik incidenshez, letiltási szabályt hozhat létre (csak előzetes verziójú ügyfelek számára érhető el), vagy a Defender-szakértőket kérdezheti meg.

    

    A riasztást Excel-fájlba is exportálhatja. Ehhez válassza az Exportálás lehetőséget .

    Megjegyzés:

    A riasztásexportálási lehetőség az "aa" előtaggal rendelkező riasztások Microsoft Defender for Identity érhető el. További információt az XDR-riasztásforrások című témakörben talál.

Riasztások hangolása

A riasztások finomhangolásával módosíthatja és optimalizálhatja őket, csökkentve a téves riasztásokat. A riasztások finomhangolásával az SOC-csapatok a magas prioritású riasztásokra összpontosíthatnak, és javíthatják a fenyegetésészlelési lefedettséget a rendszerben. A Microsoft Defender XDR hozzon létre szabályfeltételeket bizonyítéktípusok alapján, majd alkalmazza a szabályt a feltételeknek megfelelő bármely szabálytípusra.

További információ: Riasztás hangolása.

Lásd még

• biztonsági riasztások Microsoft Defender for Identity

További információ

• Próbálja ki interaktív útmutatónkat: Gyanús tevékenységek és lehetséges támadások észlelése Microsoft Defender for Identity