Felügyelt észlelés és válasz
Érintett szolgáltatás:
A felügyelt észlelési és reagálási utasításokért tekintse meg ezt a rövid videót.
Az automatizálás és az emberi szakértelem kombinációjával az XDR-hez készült Microsoft Defender-szakértők osztályozják a Microsoft Defender XDR-incidenseket, rangsorolja őket az Ön nevében, kiszűri a zajt, részletes vizsgálatokat végez, és végrehajtható felügyelt választ biztosít a biztonsági üzemeltetési központ (SOC) csapatainak.
Incidensfrissítések
Amint szakértőink megkezdik az incidens kivizsgálását, az incidens hozzárendelt és állapotmezői frissülnek a Defender-szakértőkre , illetve a Folyamatban állapotra.
Amikor szakértőink lezárják az incidenssel kapcsolatos vizsgálatukat, az incidens besorolási mezője a szakértők megállapításaitól függően az alábbiak egyikére frissül:
- Valódi pozitív
- Hamis pozitív
- Tájékoztató, várt tevékenység
Az egyes besorolásoknak megfelelő Determináció mező is frissül, hogy további megállapításokat nyújtson azokról az eredményekről, amelyek alapján szakértőink meghatározták az említett besorolást.
Ha egy incidens hamis pozitív vagy tájékoztató, várt tevékenységként van besorolva, akkor az incidens Állapot mezőjét a Rendszer feloldva értékre frissíti. Szakértőink ezután befejezik az incidenssel kapcsolatos munkájukat, és a Hozzárendelt mező hozzárendelés nélküli állapotúra frissül. Szakértőink megoszthatják a vizsgálatuk és következtetésük frissítéseit egy incidens megoldásakor. Ezek a frissítések az incidens Felügyelt válasz úszó paneljének Vizsgálat összefoglalása területén jelennek meg.
Ellenkező esetben, ha egy incidens igaz pozitívként van besorolva, a szakértőink azonosítják a szükséges válaszlépéseket, amelyeket végre kell hajtani. A műveletek végrehajtásának módja attól függ, hogy milyen engedélyeket és hozzáférési szinteket adott az XDR-hez készült Defender-szakértőknek. További információ az engedélyek szakértőknek való megadásáról.
Ha az XDR-hez biztosított Defender-szakértőknek az ajánlott biztonsági operátori hozzáférési engedélyeket, szakértőink az Ön nevében elvégezhetik a szükséges reagálási műveleteket az incidensen. Ezek a műveletek a Vizsgálat összegzésével együtt megjelennek az incidens Felügyelt válasz úszó paneljén a Microsoft Defender portálon, ahol Ön vagy az SOC csapata áttekintheti. Az XDR-hez készült Defender-szakértők által elvégzett összes művelet a Befejezett műveletek szakaszban jelenik meg. Azok a függőben lévő műveletek, amelyek végrehajtásához Ön vagy az SOC-csapat szükséges, a Függőben lévő műveletek szakaszban jelennek meg. További információt a Műveletek szakaszban talál. Miután szakértőink elvégezték az incidenssel kapcsolatos összes szükséges műveletet, az Állapot mezője Feloldva , a Hozzárendelt mező pedig az Ügyfélre frissül.
Ha alapértelmezett biztonsági olvasói hozzáférést adott az XDR-hez készült Defender-szakértőknek, akkor a szükséges válaszműveletek és a vizsgálat összefoglalása megjelennek az incidens Felügyelt válasz úszó paneljén, a Microsoft Defender portál Függőben lévő műveletek szakaszában, ön vagy az SOC-csapat számára. További információt a Műveletek szakaszban talál. Az átadás azonosításához az incidens Állapot mezője az Ügyfélműveletre vár , a Hozzárendelt mező pedig az Ügyfélre frissül.
A műveletet igénylő incidensek számát a Microsoft Defender kezdőlapjának tetején található Defender-szakértők szalagcímen ellenőrizheti.
A Defender-szakértőkhöz kapcsolódó incidensek megtekintéséhez szűrje az incidenssort a Microsoft Defender portálon több szűrőkészlet használatával. További információ az incidenssorszűrők hozzáadásáról
A szakértőink által jelenleg vizsgált incidensek megtekintéséhez használja az Incidens-hozzárendelés szűrőt, és válassza a Defender-szakértőkhöz rendelt lehetőséget.
Ha meg szeretné tekinteni azokat az incidenseket, amelyeket a szakértőink megvizsgáltak, és átadtak a csapatának, hogy eljárjanak a függőben lévő szervizelési műveleteken, az Incidens-hozzárendelés szűrővel válassza a Hozzárendelt ügyfélcsoport lehetőséget.
Ha meg szeretné tekinteni azokat az incidenseket, amelyeket a szakértőink kivizsgáltak, és átadta a csapatának, hogy eljárjanak a függőben lévő szervizelési műveleteken, az Állapot szűrővel válassza az Ügyfélműveletre vár lehetőséget.
Ha meg szeretné tekinteni azokat az incidenseket, amelyeken a szakértőink befejezték a vizsgálatot (és vagy közvetlenül megoldották vagy hozzárendelték a csapatához a függőben lévő szervizelési műveletekhez), a Címkék szűrővel válassza a Defender-szakértők lehetőséget.
Felügyelt válasz használata a Microsoft Defender XDR-ben
A Microsoft Defender portálon a felügyelt válasz használatával beavatkozást igénylő incidens állapotmezőjeÜgyfélműveletre vár, a Hozzárendelve mező értéke Ügyfél , az Incidensek panel tetején pedig egy feladatkártya. A kijelölt incidens kapcsolattartói is kapnak egy megfelelő e-mail-értesítést, amely a Defender portálra mutató hivatkozást tartalmaz az incidens megtekintéséhez. További információ az értesítési kapcsolattartókról. Egy Teams-értesítést is kap, amely tájékoztatja a frissítésekről. További információ a Teams beállításáról
Válassza a Felügyelt válasz megtekintése lehetőséget a feladatkártyán vagy a portállap tetején (Felügyelt válasz lap) egy úszó panel megnyitásához, ahol elolvashatja szakértőink vizsgálatának összegzését, befejezheti a szakértők által azonosított függőben lévő műveleteket, vagy csevegésen keresztül kapcsolatba léphet velük.
Vizsgálat összefoglalása
A Vizsgálat összefoglalása szakasz további kontextust biztosít a szakértőink által elemzett incidenssel kapcsolatban, így áttekintheti annak súlyosságát és lehetséges hatását, ha nem foglalkozik azonnal. Ide tartozhat az eszköz idővonala, a támadás jelzői, a megfigyelt biztonsági rések (IOK- és egyéb adatok) jelzése.
Műveletek
A Műveletek lapon a szakértők által javasolt válaszműveleteket tartalmazó feladatkártyák láthatók.
Az XDR-hez készült Defender-szakértők jelenleg a következő egykattintásos felügyelt válaszműveleteket támogatják:
| Művelet | Leírás |
|---|---|
| Eszköz elkülönítése | Elkülönít egy eszközt, amely megakadályozza, hogy a támadók irányítják azt, és további tevékenységeket hajtanak végre, például adatkiszivárgást és oldalirányú mozgást. Az elkülönített eszköz továbbra is csatlakozik a Végponthoz készült Microsoft Defenderhez. |
| Karanténfájl | Leállítja a folyamatok futtatását, karanténba helyezi a fájlokat, és törli az állandó adatokat, például a beállításkulcsokat. |
| Alkalmazásvégrehajtás korlátozása | Korlátozza a potenciálisan rosszindulatú programok végrehajtását, és zárolja az eszközt a további kísérletek megelőzése érdekében. |
| Az elkülönítés alóli feloldás | Visszavonja az eszköz elkülönítését. |
| Alkalmazáskorlátozás eltávolítása | Visszavonja az elkülönítés alóli feloldást. |
| Felhasználó letiltása | Letilthatja az identitások hozzáférését a hálózathoz és a különböző végpontokhoz. |
Ezeken az egykattintásos műveleteken kívül olyan felügyelt válaszokat is kaphat szakértőinktől, amelyeket manuálisan kell elvégeznie.
Megjegyzés:
Az ajánlott felügyelt válaszműveletek végrehajtása előtt győződjön meg arról, hogy az automatizált vizsgálat és válaszkonfigurációk még nem kezelik őket. További információ a Microsoft Defender XDR automatizált vizsgálati és válaszképességeiről.
A felügyelt válaszműveletek megtekintése és végrehajtása:
A műveletkártyák nyílgombjaival kibonthatja azt, és további információkat olvashat a szükséges műveletről.
Az egykattintásos válaszműveleteket tartalmazó kártyák esetében válassza ki a szükséges műveletet. A kártyán a Művelet állapotaFolyamatban, majd Sikertelen vagy Befejezve értékre változik a művelet eredményétől függően.
Tipp
A portálon belüli válaszműveletek állapotát a Műveletközpontban is figyelheti. Ha egy válaszművelet sikertelen, próbálkozzon újra az Eszköz részleteinek megtekintése lapon, vagy kezdeményezzen csevegést a Defender szakértőivel.
Ha manuálisan kell elvégeznie a szükséges műveleteket tartalmazó kártyákat, jelölje be a Végrehajtottam ezt a műveletet , miután végrehajtotta őket, majd válassza az Igen, elvégeztem lehetőséget a megjelenő megerősítési párbeszédpanelen.
Ha nem szeretne azonnal végrehajtani egy szükséges műveletet, válassza a Kihagyás lehetőséget, majd válassza az Igen, kihagyom ezt a műveletet a megjelenő megerősítési párbeszédpanelen.
Fontos
Ha azt tapasztalja, hogy a műveletkártyákon lévő gombok bármelyike szürkén jelenik meg, az azt jelezheti, hogy nem rendelkezik a művelet végrehajtásához szükséges engedélyekkel. Győződjön meg arról, hogy a megfelelő engedélyekkel van bejelentkezve a Microsoft Defender XDR portálra. A legtöbb felügyelt válaszművelethez legalább biztonsági operátori hozzáféréssel kell rendelkeznie. Ha a probléma továbbra is fennáll a megfelelő engedélyekkel, lépjen az Eszköz részleteinek megtekintése területre, és végezze el onnan a lépéseket.
Betekintés a Defender-szakértők vizsgálataiba az SIEM- vagy ITSM-alkalmazásban
Mivel az XDR-hez készült Defender-szakértők kivizsgálják az incidenseket, és javítási műveleteket végeznek, láthatják az incidensekkel kapcsolatos munkájukat a biztonsági információ- és eseménykezelési (SIEM) és az IT-szolgáltatásfelügyeleti (ITSM) alkalmazásokban, beleértve a beépített alkalmazásokat is.
Microsoft Sentinel
Az incidensek láthatóságát a Microsoft Sentinelben a beépített Microsoft Defender XDR-adatösszekötő bekapcsolásával érheti el. További információ.
Miután bekapcsolta az összekötőt, a Defender szakértői frissítik a Microsoft Defender XDR Állapot, Hozzárendelt, Besorolás és Meghatározás mezőit a Sentinel megfelelő Állapot, Tulajdonos és Ok mezőiben.
Megjegyzés:
A Microsoft Defender XDR-ben a Defender szakértői által vizsgált incidensek állapota általában aktívrólfolyamatban állapotúra vált az Ügyfélműveletre váró állapotról a Megoldva állapotra, míg a Sentinelben a New to Active to Resolved elérési utat követi. A Microsoft Defender XDR ügyfélműveletre váró állapota nem rendelkezik megfelelő mezővel a Sentinelben; ehelyett címkeként jelenik meg egy incidensben a Sentinelben.
A következő szakasz azt ismerteti, hogy a szakértők által kezelt incidensek hogyan frissülnek a Sentinelben a vizsgálati folyamat során:
A szakértőink által vizsgált incidens állapotaAktív , a Tulajdonos pedig Defender-szakértők.
Egy incidens, amelyet a szakértőink igaz pozitívként megerősítettek, egy felügyelt választ tettek közzé a Microsoft Defender XDR-ben, és egy Ügyfélre várócímkét, a tulajdonos pedig ügyfélként van felsorolva. Az incidenssel kapcsolatban a Defender portálon megadott felügyelt válasz alapján kell eljárnia.
Egy incidens, amelyet szakértőink valódi pozitívként megerősítettek, és a Defender-szakértők által végrehajtott összes szervizelési művelettel az incidens állapota Megoldva értékre módosult , és a tulajdonosügyfélként van felsorolva. Az incidensen végrehajtott műveleteket a Defender portálon megadott felügyelt válasz használatával tekintheti át.
Miután szakértőink lezárták a vizsgálatot, és hamis pozitív vagy tájékoztató, várt tevékenységként lezártak egy incidenst, az incidens állapotaMegoldva értékre frissül, a tulajdonos hozzárendelés nélkülire frissül, és meg van adva a lezárás oka .
Egyéb alkalmazások
A Microsoft Defender XDR API vagy a Sentinel összekötőinek használatával betekintést nyerhet az SIEM- vagy ITSM-alkalmazás incidenseibe.
Az összekötő konfigurálása után a Defender szakértői által az incidens állapotának, hozzárendelt, besorolási és meghatározási mezőinek Frissítései a Microsoft Defender XDR-ben szinkronizálhatók a külső SIEM- vagy ITSM-alkalmazásokkal a mezőleképezés implementálásától függően. Ennek szemléltetéséhez tekintse meg a Sentinelből a ServiceNow-ba elérhető összekötőt.
Lásd még
- Az XDR-incidensértesítésekhez készült Defender-szakértők ismertetése és kezelése
- A felügyelt válasz ismertetése
- Valós idejű láthatóság az XDR-jelentésekhez készült Defender-szakértőkkel
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.