Megosztás a következőn keresztül:


Riasztások vizsgálata Microsoft Defender XDR

Megjegyzés:

Ez a cikk a biztonsági riasztásokat ismerteti Microsoft Defender XDR. A tevékenységriasztások használatával azonban e-mail-értesítéseket küldhet saját magának vagy más rendszergazdáknak, ha a felhasználók bizonyos tevékenységeket végeznek a Microsoft 365-ben. További információ: Tevékenységriasztások létrehozása – Microsoft Purview | Microsoft Docs.

A riasztások képezik az összes incidens alapját, és jelzik a kártékony vagy gyanús események előfordulását a környezetben. A riasztások általában egy szélesebb körű támadás részét képezik, és egy incidenssel kapcsolatos nyomokat adnak meg.

A Microsoft Defender XDR a kapcsolódó riasztások összesítve incidensekké alakulnak. Az incidensek mindig a támadás tágabb kontextusát biztosítják, a riasztások elemzése azonban hasznos lehet, ha mélyebb elemzésre van szükség.

A Riasztások üzenetsor a riasztások aktuális készletét jeleníti meg. A riasztások üzenetsorát az Incidensek & riasztások riasztásaiból > érheti el a Microsoft Defender portál gyors indításakor.

A Microsoft Defender portál Riasztások szakasza

Riasztások különböző Microsoft biztonsági megoldásokból, például Végponthoz készült Microsoft Defender, Office 365-höz készült Defender, Microsoft Sentinel, Defender for Cloud, Defender for Identity, Itt Defender for Cloud Apps, Defender XDR, App Governance, Microsoft Entra ID-védelem és Microsoft Data Loss Prevention jelenik meg.

Alapértelmezés szerint a riasztások üzenetsora az Microsoft Defender portálon az elmúlt hét nap új és folyamatban lévő riasztását jeleníti meg. A legutóbbi riasztás a lista tetején található, így ön láthatja először. A riasztások teljes számát a keresősáv melletti üzenetsorban is megtalálhatja. A riasztások teljes száma az üzenetsorban használt szűrőktől függően változik.

Az alapértelmezett riasztási várólistán a Szűrő lehetőséget választva megtekintheti az összes elérhető szűrőt, amelyből megadhatja a riasztások egy részhalmazát. Íme egy példa.

Az Microsoft Defender portál Riasztások üzenetsorában elérhető összes szűrő

A riasztásokat az alábbi feltételek szerint szűrheti:

  • Súlyosság
  • Állapot
  • Kategóriák
  • Szolgáltatás-/észlelési források
  • Címkék
  • Szabályzat/szabályzatszabály
  • Riasztás típusa
  • Terméknév
  • Entitások (az érintett eszközök)
  • Automatizált vizsgálati állapot
  • Adatfolyam (számítási feladat vagy hely)

Megjegyzés:

Microsoft Defender XDR az ügyfelek mostantól riasztásokkal szűrhetik az incidenseket, ha egy feltört eszköz az IoT-hez készült Microsoft Defender eszközfelderítési integrációján keresztül kommunikált a vállalati hálózathoz csatlakoztatott operatív technológiai (OT) eszközökkel, és Végponthoz készült Microsoft Defender. Az incidensek szűréséhez válassza a Bármely lehetőséget a Szolgáltatás/észlelés forrásokban, majd válassza a Microsoft Defender az IoT-hez lehetőséget a Terméknév területen, vagy tekintse meg az incidensek és riasztások kivizsgálása Microsoft Defender az IoT-hez a Defender portálon című cikket. Eszközcsoportokkal is szűrhet helyspecifikus riasztásokra. További információ az IoT-hez készült Defender előfeltételeiről: Ismerkedés a vállalati IoT-monitorozással Microsoft Defender XDR.

A riasztások tartalmazhatnak rendszercímkéket és/vagy egyéni címkéket bizonyos színháttérrel. Az egyéni címkék a fehér hátteret, míg a rendszercímkék általában piros vagy fekete háttérszínt használnak. A rendszercímkék az alábbiakat azonosítják egy incidensben:

  • Támadás típusa, például zsarolóprogram vagy hitelesítő adatok adathalászata
  • Automatikus műveletek, például automatikus vizsgálat és reagálás és automatikus támadáskimaradás
  • Incidenst kezelő Defender-szakértők
  • Az incidensben érintett kritikus fontosságú eszközök

Tipp

A Microsoft Biztonságikitettség-kezelés előre meghatározott besorolások alapján automatikusan kritikus objektumként címkézi meg az eszközöket, az identitásokat és a felhőbeli erőforrásokat. Ez a beépített képesség biztosítja a szervezet értékes és legfontosabb eszközeinek védelmét. Emellett segít a biztonsági üzemeltetési csapatoknak a vizsgálat és a szervizelés rangsorolásában. Tudjon meg többet a kritikus eszközkezelésről.

Fontos

A cikkben található információk egy előre kiadott termékre vonatkoznak, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal kifejezett vagy vélelmezett garanciát az itt megadott információkra vonatkozóan.

A riasztásokat egyéni dátum- és időtartomány használatával, illetve a keresősáv használatával keresheti meg az adott riasztásokat. Ha egy adott dátumon vagy időtartományon belül szeretne riasztásokat keresni, válassza az Egyéni tartomány lehetőséget a dátumválasztóban, majd adja meg a kezdő és a záró dátumot és időpontot.

Az egyéni tartomány lehetőség kiemelése a Riasztások várólistán lévő dátum- és időválasztóban.

Adott riasztások kereséséhez írja be a keresőkifejezést a keresősávba. Riasztásokat a riasztás címe vagy azonosítója alapján kereshet.

A keresési sáv kiemelése a Riasztások várólistán

A riasztások Office 365-höz készült Defender szükséges szerepkörei

Az Office 365-höz készült Microsoft Defender riasztások eléréséhez az alábbi szerepkörök bármelyikével kell rendelkeznie:

  • Microsoft Entra globális szerepkörök esetén:

    • Globális rendszergazda
    • Biztonsági rendszergazda
    • Biztonsági operátor
    • Globális olvasó
    • Biztonsági olvasó
  • biztonsági & megfelelőségi szerepkörcsoportok Office 365

    • Megfelelőségi rendszergazda
    • Szervezetfelügyelet
  • Egyéni szerepkör

Megjegyzés:

A Microsoft azt javasolja, hogy a nagyobb biztonság érdekében kevesebb engedélyekkel rendelkező szerepköröket használjunk. A sok engedéllyel rendelkező globális rendszergazdai szerepkört csak vészhelyzetekben szabad használni, ha más szerepkör nem fér el.

Riasztás elemzése

A riasztás főoldalának megtekintéséhez válassza ki a riasztás nevét. Íme egy példa.

Képernyőkép egy riasztás részleteiről a Microsoft Defender portálon

A Riasztás kezelése panelen a Fő riasztási lap megnyitása műveletet is kiválaszthatja.

A riasztási oldal az alábbi szakaszokból áll:

  • Riasztási történet, amely a riasztáshoz kapcsolódó események és riasztások láncolata időrendben
  • Összegzés részletei

A riasztási oldalon az entitások melletti három pontra (...) kattintva megtekintheti az elérhető műveleteket, például összekapcsolhatja a riasztást egy másik incidenssel. Az elérhető műveletek listája a riasztás típusától függ.

Riasztási források

Microsoft Defender XDR riasztások olyan megoldásokból származnak, mint a Végponthoz készült Microsoft Defender, Office 365-höz készült Defender, Defender for Identity, Defender for Cloud Apps, az alkalmazás irányítási bővítmény a Microsoft Defender for Cloud Apps, a Microsoft Entra ID-védelem és a Microsoft adatveszteség-megelőzési szolgáltatásához. Előfordulhat, hogy a riasztásban előtaggal ellátott karaktereket tartalmazó riasztások jelennek meg. Az alábbi táblázat útmutatást nyújt a riasztási források leképezésének megértéséhez a riasztás előtag karaktere alapján.

Megjegyzés:

  • Az előtagolt GUID azonosítók csak olyan egyesített szolgáltatásokra vonatkoznak, mint az egyesített riasztások várólistája, az egyesített riasztások oldala, az egyesített vizsgálat és az egyesített incidens.
  • Az előtagú karakter nem módosítja a riasztás GUID azonosítóját. A GUID egyetlen módosítása az előtagú összetevő.
Riasztás forrása Riasztásazonosító előre írt karakterekkel
Microsoft Defender XDR ra{GUID}
ta{GUID} a ThreatExperts riasztásaihoz
ea{GUID} egyéni észlelésekből származó riasztásokhoz
Office 365-höz készült Microsoft Defender fa{GUID}
Példa: fa123a456b-c789-1d2e-12f1g33h445h6i
Végponthoz készült Microsoft Defender da{GUID}
ed{GUID} egyéni észlelésekből származó riasztásokhoz
Microsoft Defender for Identity aa{GUID}
ri{GUID} XDR észlelési motor riasztásaihoz
Például: aa123a456b-c789-1d2e-12f1g33h445h6i, ri001122334455667788_-0123456789
Microsoft Defender for Cloud Apps ca{GUID}
ma{GUID} az App Governance észleléseiből és szabályzataiból származó riasztásokhoz
rm{GUID} XDR észlelési motor riasztásaihoz
Példa: ca123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Entra ID-védelem ad{GUID}
Alkalmazásirányítás ma{GUID}
Microsoft adatveszteség-megelőzés dl{GUID}
Microsoft Defender for Cloud dc{GUID}
Microsoft Sentinel sn{GUID}
Microsoft Purview Belső kockázatkezelés ir{GUID}

Megjegyzés:

Ha rendelkezik hozzáféréssel a Microsoft Purview belső kockázatkezelés, megtekintheti és kezelheti a belső kockázatkezelési riasztásokat, és megkeresheti a belső kockázatkezelési eseményeket a Microsoft Defender portálon. További információ: Insider risk threats in the Microsoft Defender portal (Belső kockázati fenyegetések vizsgálata a Microsoft Defender portálon).

Microsoft Entra IP-riasztási szolgáltatás konfigurálása

  1. Nyissa meg a Microsoft Defender portált (security.microsoft.com), és válassza a Beállítások>Microsoft Defender XDR lehetőséget.

  2. A listában válassza a Riasztási szolgáltatás beállításai lehetőséget, majd konfigurálja a Microsoft Entra ID-védelem riasztási szolgáltatást.

    Képernyőkép Microsoft Entra ID-védelem riasztások beállításáról a Microsoft Defender portálon.

Alapértelmezés szerint csak a biztonsági műveleti központ legrelevánsabb riasztásai vannak engedélyezve. Ha szeretné lekérni Microsoft Entra IP-kockázatészlelést, azt a Riasztási szolgáltatás beállításai szakaszban módosíthatja.

A Riasztási szolgáltatás beállításai közvetlenül a Microsoft Defender portál Incidensek oldaláról is elérhetők.

Fontos

Bizonyos információk az előzetesen forgalomba hozott termékre vonatkoznak, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal semmilyen, kifejezett vagy vélelmezett jótállást az itt megadott információkra vonatkozóan.

Az érintett eszközök elemzése

A Végrehajtott műveletek szakasz felsorolja az érintett eszközöket, például a postaládákat, az eszközöket és a riasztás által érintett felhasználókat.

A Műveletközpont Nézet elemét választva megtekintheti a MűveletközpontElőzmény lapját a Microsoft Defender portálon.

Riasztási szerepkör nyomon követése a riasztási történetben

A riasztási történet folyamatfa nézetben jeleníti meg a riasztáshoz kapcsolódó összes objektumot vagy entitást. A címben szereplő riasztás lesz a fókuszban, amikor először a kiválasztott riasztás oldalára kerül. A riasztási történetben lévő objektumok kibonthatók és kattinthatók. Ezek további információkat nyújtanak, és felgyorsítják a választ, mivel lehetővé teszik, hogy közvetlenül a riasztási oldal kontextusában hajtson végre lépéseket.

Megjegyzés:

A riasztási előzmények szakasz több riasztást is tartalmazhat, és a kiválasztott riasztás előtt vagy után további riasztások is megjelennek ugyanahhoz a végrehajtási fához kapcsolódóan.

További riasztási információk megtekintése a részletek lapon

A részletek lapon a kiválasztott riasztás részletei láthatók, a hozzá kapcsolódó részletekkel és műveletekkel együtt. Ha kiválasztja a riasztási történet érintett eszközeit vagy entitásait, a részletek lapja megváltozik, hogy környezeti információkat és műveleteket biztosítson a kiválasztott objektumhoz.

Miután kiválasztott egy érdekes entitást, a részletek lapja megváltozik, és megjeleníti a kiválasztott entitástípussal kapcsolatos információkat, az előzményadatokat, ha az elérhető, valamint a riasztási oldalról közvetlenül az entitásra vonatkozó műveletekre vonatkozó lehetőségeket.

Értesítések kezelése

A riasztás kezeléséhez válassza a Riasztás kezelése lehetőséget a riasztási oldal összegzési részletek szakaszában. Egyetlen riasztás esetében íme egy példa a Riasztások kezelése panelre.

Képernyőkép az Microsoft Defender portal Riasztások kezelése szakaszáról

A Riasztás kezelése panelen megtekintheti vagy megadhatja a következőket:

  • A riasztás állapota (Új, Megoldva, Folyamatban).
  • A riasztáshoz rendelt felhasználói fiók.
  • A riasztás besorolása:
    • Nincs beállítva (alapértelmezett).
    • Valódi pozitív , egy fenyegetéstípussal. Ezt a besorolást olyan riasztásokhoz használja, amelyek pontosan jelzik a valós fenyegetést. Ha ezt a fenyegetéstípust adja meg, a biztonsági csapat fenyegetési mintákat lát, és meg tudja védeni a szervezetét tőlük.
    • Tájékoztató, elvárt tevékenység egy tevékenységtípussal. Ez a lehetőség olyan riasztásokhoz használható, amelyek technikailag pontosak, de normál viselkedést vagy szimulált fenyegetési tevékenységet jelentenek. Ezeket a riasztásokat általában figyelmen kívül szeretné hagyni, de a jövőben hasonló tevékenységekre számít, amikor a tevékenységeket tényleges támadók vagy kártevők aktiválják. Az ebben a kategóriában található beállításokkal besorolhatja a biztonsági tesztekre, a vörös csapattevékenységre és a megbízható alkalmazások és felhasználók által várt szokatlan viselkedésre vonatkozó riasztásokat.
    • Vakriasztások olyan riasztástípusok esetén, amelyek akkor is létre lettek hozva, ha nincs rosszindulatú tevékenység vagy hamis riasztás. Az ebben a kategóriában található beállításokkal a tévesen normál eseményként vagy tevékenységként azonosított riasztásokat rosszindulatúként vagy gyanúsként sorolhatja be. A "Tájékoztató, elvárt tevékenység" riasztásaival ellentétben, amelyek valós fenyegetések észlelése esetén is hasznosak lehetnek, általában nem szeretné újra látni ezeket a riasztásokat. A riasztások téves pozitívként való besorolása segít Microsoft Defender XDR az észlelés minőségének javításában.
  • Megjegyzés a riasztáshoz.

Megjegyzés:

  • 2022 augusztusában a korábban támogatott riasztásmeghatározó értékek (Apt és SecurityPersonnel) elavultak voltak, és már nem érhetők el az API-n keresztül.

  • A riasztások kezelésének egyik módja címkék használatával. A Office 365-höz készült Microsoft Defender címkézési képessége jelenleg előzetes verzióban érhető el, és fokozatosan jelenik meg.

A módosított címkenevek jelenleg csak a frissítés után létrehozott riasztásokra lesznek alkalmazva. A módosítás előtt létrehozott riasztások nem tükrözik a frissített címkenevet.

Ha egy adott riasztáshoz hasonló riasztáskészletet szeretne kezelni, válassza a Hasonló riasztások megtekintése lehetőséget a riasztási oldal összegzési részleteinek szakaszában található INSIGHT mezőben.

Képernyőkép egy riasztás kiválasztásáról a Microsoft Defender portálon

A Riasztások kezelése panelen az összes kapcsolódó riasztást egyszerre sorolhatja be. Íme egy példa.

Képernyőkép a kapcsolódó riasztások kezeléséről a Microsoft Defender portálon

Ha a korábbiakban már besoroltak hasonló riasztásokat, időt takaríthat meg, ha Microsoft Defender XDR javaslatokat használva megtudhatja, hogyan oldották meg a többi riasztást. Az összefoglalás részletei szakaszban válassza a Javaslatok lehetőséget.

Képernyőkép egy riasztásra vonatkozó javaslatok kiválasztásáról

A Javaslatok lap a következő lépésekkel kapcsolatos műveleteket és tanácsokat nyújt a vizsgálathoz, a szervizeléshez és a megelőzéshez. Íme egy példa.

Képernyőkép egy riasztási javaslatról

Riasztás hangolása

Biztonsági műveleti központ (SOC) elemzőjeként az egyik legfontosabb probléma a naponta aktivált riasztások számának osztályozása. Az elemzők ideje értékes, és csak a magas súlyosságra és a magas prioritású riasztásokra szeretnének összpontosítani. Mindeközben az elemzőknek az alacsonyabb prioritású riasztások osztályozására és megoldására is szükség van, ami általában manuális folyamat.

A riasztások hangolása, más néven a riasztások mellőzése lehetővé teszi a riasztások előzetes hangolását és kezelését. Ez leegyszerűsíti a riasztási üzenetsort, és a riasztások automatikus elrejtésével vagy feloldásával időt takarít meg a riasztások elrejtésével vagy feloldásával, minden alkalommal, amikor egy bizonyos elvárt szervezeti viselkedés történik, és a szabályfeltételek teljesülnek.

A riasztások finomhangolási szabályai olyan bizonyítékokon alapuló feltételeket támogatnak, mint a fájlok, folyamatok, ütemezett feladatok és más, riasztásokat aktiváló bizonyítékok. A riasztás finomhangolási szabályának létrehozása után alkalmazza a kiválasztott riasztásra vagy bármely olyan riasztástípusra, amely megfelel a meghatározott feltételeknek a riasztás finomhangolásához.

Az általános rendelkezésre állású riasztások hangolása csak a Végponthoz készült Defender riasztásait rögzíti. Az előzetes verzióban azonban a riasztások finomhangolása más Microsoft Defender XDR szolgáltatásokra is kiterjed, beleértve a Office 365-höz készült Defender, a Defender for Identityt, Defender for Cloud Apps, Microsoft Entra ID-védelem (Microsoft Entra IP-cím) és mások, ha elérhetők a platformon és a csomagban.

Figyelem!

Javasoljuk, hogy körültekintően alkalmazza a riasztások finomhangolását olyan helyzetekben, amikor az ismert, belső üzleti alkalmazások vagy biztonsági tesztek egy várt tevékenységet váltanak ki, és nem szeretné látni a riasztásokat.

Szabályfeltételek létrehozása a riasztások hangolásához

Hozzon létre riasztás-finomhangolási szabályokat a Microsoft Defender XDR Beállítások területéről vagy egy riasztás részleteinek oldaláról. A folytatáshoz válassza az alábbi fülek egyikét.

  1. A Microsoft Defender portálon válassza a Beállítások > Microsoft Defender XDR > Riasztás finomhangolása lehetőséget.

    Képernyőkép Microsoft Defender XDR Beállítások lapján található riasztáshangolási lehetőségről.

  2. Új riasztás hangolásához válassza az Új szabály hozzáadása lehetőséget, vagy válasszon ki egy meglévő szabálysort a módosításokhoz. A szabály címének kiválasztásakor megnyílik a szabály részleteit tartalmazó lap, ahol megtekintheti a társított riasztások listáját, szerkesztheti a feltételeket, vagy be- és kikapcsolhatja a szabályt.

  3. A Riasztás hangolásapanelEn, a Szolgáltatásforrások kiválasztása területen válassza ki azokat a szolgáltatásforrásokat, ahol alkalmazni szeretné a szabályt. A listában csak azok a szolgáltatások jelennek meg, amelyekhez rendelkezik engedélyekkel. Például:

    Képernyőkép a Szolgáltatásforrás legördülő menüről a Riasztás hangolása lapon.

  4. A Feltételek területen adjon hozzá egy feltételt a riasztás eseményindítóihoz. Ha például meg szeretné akadályozni, hogy egy riasztás aktiválódjon egy adott fájl létrehozásakor, adjon meg egy feltételt a File:Custom eseményindítóhoz, és adja meg a fájl részleteit:

    Képernyőkép az IOC menüről a Riasztás hangolása lapon.

    • A felsorolt eseményindítók a kiválasztott szolgáltatásforrásoktól függően eltérőek. Az eseményindítók a biztonság sérülésére utaló jelek, például fájlok, folyamatok, ütemezett feladatok és egyéb olyan bizonyítéktípusok, amelyek riasztást válthatnak ki, beleértve a Kártevőirtó vizsgálati felület (AMSI) szkripteket, a Windows Management Instrumentation (WMI) eseményeket vagy az ütemezett feladatokat.

    • Több szabályfeltétel beállításához válassza a Szűrő hozzáadása , valamint az AND, VAGY és csoportosítási beállítások lehetőséget a riasztást aktiváló több bizonyítéktípus közötti kapcsolatok meghatározásához. A további bizonyítéktulajdonságok automatikusan új alcsoportként lesznek kitöltve, ahol megadhatja a feltételértékeket. A feltételértékek nem különböztetik meg a kis- és nagybetűket, és egyes tulajdonságok támogatják a helyettesítő karaktereket.

  5. A Riasztás hangolása panel Művelet területén válassza ki a megfelelő műveletet, amelyet a szabálynak el kell végeznie. Válassza a Riasztás elrejtése vagy a Riasztás feloldása lehetőséget.

  6. Adjon meg egy kifejező nevet a riasztásnak és egy megjegyzést a riasztás leírásához, majd válassza a Mentés lehetőséget.

Megjegyzés:

A riasztás címe (Név) a riasztás típusán (IoaDefinitionId) alapul, amely a riasztás címét határozza meg. Két azonos riasztástípusú riasztás másik riasztási címre válthat. A Riasztás elrejtése funkció csak a Végponthoz készült Defender-riasztásokban érhető el.

Riasztás megoldása

Ha végzett egy riasztás elemzésével, és az megoldható, lépjen a Riasztás kezelése panelre a riasztáshoz vagy hasonló riasztásokhoz, jelölje meg az állapotot Megoldottként , majd sorolja be valódi pozitívként egy fenyegetéstípussal, egy tájékoztató tevékenységgel, a várt tevékenységgel és egy tevékenységtípussal vagy egy Hamis pozitív értékkel.

A riasztások osztályozása segít Microsoft Defender XDR az észlelési minőség javításában.

Riasztások osztályozása a Power Automate használatával

A modern biztonsági üzemeltetési (SecOps) csapatoknak automatizálásra van szükségük a hatékony működéshez. A veszélyforrás-keresésre és a valós fenyegetések kivizsgálására a SecOps-csapatok a Power Automate-et használják a riasztások listájának osztályozására és a nem fenyegetést jelentők kiküszöbölésére.

Riasztások feloldásának feltételei

  • A felhasználó házon kívül üzenete be van kapcsolva
  • A felhasználó nincs magas kockázatúként megjelölve

Ha mindkettő igaz, a SecOps jogos utazásként jelöli meg a riasztást, és feloldja azt. A riasztás feloldása után a rendszer értesítést küld a Microsoft Teamsben.

A Power Automate csatlakoztatása a Microsoft Defender for Cloud Apps

Az automatizálás létrehozásához szüksége lesz egy API-jogkivonatra, mielőtt csatlakoztathatja a Power Automate-et Microsoft Defender for Cloud Apps.

  1. Nyissa meg Microsoft Defender, válassza a Beállítások>Cloud Apps>API-jogkivonat lehetőséget, majd az API-jogkivonatok lapon válassza a Jogkivonat hozzáadása lehetőséget.

  2. Adja meg a jogkivonat nevét, majd válassza a Létrehozás lehetőséget. Mentse a jogkivonatot, mert később szüksége lesz rá.

Automatizált folyamat létrehozása

Ebből a rövid videóból megtudhatja, hogyan működik hatékonyan az automatizálás egy zökkenőmentes munkafolyamat létrehozásához, és hogyan csatlakoztathatja a Power Automate-et Defender for Cloud Apps.

Következő lépések

A folyamatban lévő incidensekhez szükség szerint folytassa a vizsgálatot.

Lásd még

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.