Reagálás egy incidensre a Microsoft Sentinel használatával az Azure Portalon a Microsoft Defender XDR használatával
Ez a cikk bemutatja, hogyan oldhat meg biztonsági incidenseket a Microsoft Sentinel használatával az Azure Portalon és a Microsoft Defender XDR-ben. A gyors incidenskezelés biztosítása érdekében részletes útmutatást kaphat az osztályozással, a vizsgálattal és a megoldással kapcsolatban.
- Az életciklus frissítései (állapot, tulajdonos, besorolás) meg vannak osztva a termékek között.
- A vizsgálat során összegyűjtött bizonyítékok a Microsoft Sentinel-incidensben láthatók.
További információkért a Microsoft Defender és a Microsoft Sentinel integrációjáról, lásd a Microsoft Defender XDR integráció a Microsoft Sentinel-lel. Ez az interaktív útmutató végigvezet a modern támadások észlelésének és megválaszolásának folyamatán a Microsoft egységesített biztonsági információ- és eseménykezelésének (SIEM) és kiterjesztett észlelési és reagálási (XDR) képességeivel.
Incidensek osztályozása
Indítsa el a triage-t az Azure Portalon a Microsoft Sentinellel az incidens részleteinek áttekintéséhez és azonnali lépések megtételéhez. Az Incidensek lapon keresse meg a gyanús incidenst, és frissítse a tulajdonos nevét, állapotát és súlyosságát, vagy adjon hozzá megjegyzéseket. További információkért mélyedjen el az anyagban a vizsgálat folytatásához.
További információ: Microsoft Sentinel-incidensek navigálása, osztályozása és kezelése az Azure Portalon
Incidens kivizsgálása
Használja az Azure Portalt elsődleges incidenskezelési eszközként, majd váltson a Defender portálra a részletesebb vizsgálat érdekében.
Például:
| Portál | Feladatok |
|---|---|
| Az Azure Portalon | Az Azure Portalon a Microsoft Sentinel használatával korrelálhatja az incidenst a biztonsági folyamatokkal, szabályzatokkal és eljárásokkal (3P). Az incidens részleteinek oldalán válassza a Vizsgálat lehetőséget a Microsoft Defender XDR-ben, ha meg szeretné nyitni ugyanazt az incidenst a Defender portálon. |
| A Defender portálon | Vizsgálja meg az incidens hatókörét, az eszközök idővonalait és az önjavításra váró műveleteket. Előfordulhat, hogy manuálisan kell kezelnie az entitásokat, valós idejű választ kell adnia, és megelőző intézkedéseket kell hozzáadnia. Az incidens részleteinek oldalán a támadási történet fül. – Tekintse meg az incidens támadási történetét, hogy megértse annak hatókörét, súlyosságát, észlelési forrását és az érintett entitásokat. - Elemezze az incidens riasztásait, hogy megismerje azok eredetét, hatókörét és súlyosságát az incidensen belüli riasztási történettel. – Szükség szerint gyűjtsön információkat az érintett eszközökről, felhasználókról és postaládákról a grafikonon. Bármely entitáson kiválasztva megnyithat egy úszó panelt az összes részlettel együtt. – Megtudhatja, hogy a Microsoft Defender XDR hogyan oldott fel automatikusan bizonyos riasztásokat a Investigations lapon. - Szükség esetén használja az incidens adatkészletében található információkat a Bizonyíték és válasz lapon. |
| Az Azure Portalon | Térjen vissza az Azure Portalra további incidensműveletek végrehajtásához, például: - 3P automatizált vizsgálati és szervizelési műveletek végrehajtása - Egyéni biztonsági orchesztráció, automatizálás és válasz (SOAR) forgatókönyvek létrehozása - Az incidenskezelés bizonyítékainak rögzítése, például a műveletek rögzítésére vonatkozó megjegyzések és az elemzés eredményei. – Egyéni mértékek hozzáadása. |
További információ:
- Microsoft Sentinel-incidensek részletes kivizsgálása az Azure Portalon
- Incidensek kezelése a Microsoft Defender
Automatizálás a Microsoft Sentinelrel
A Microsoft Sentinel forgatókönyv- és automatizálási szabályfunkcióinak használata:
A forgatókönyv a Microsoft Sentinel portálon rutinként futtatott vizsgálati és szervizelési műveletek gyűjteménye. A forgatókönyvek segítenek automatizálni és összehangolni a fenyegetésekre adott válaszokat. Manuálisan futtathatók incidenseken, entitásokon vagy riasztásokon, vagy automatikusan, ha egy automatizálási szabály aktiválja őket. További információ: Fenyegetéskezelés automatizálása forgatókönyvekkel.
Automatizálási szabályok lehetővé teszik az automatizálás központi kezelését a Microsoft Sentinelben a különböző forgatókönyvekre vonatkozó szabályok kis csoportjának meghatározásával és koordinálásával. További információ: Fenyegetéskezelés automatizálása a Microsoft Sentinelben automatizálási szabályokkal.
Incidensmegoldás
Amikor befejezte a vizsgálatot és kijavította az incidenst a portálokon, zárja le azt. További információ: Incidens bezárása az Azure Portalon.
Jelentse az incidenst az incidensreagáló csapat vezetőjének a szükséges utólagos intézkedések érdekében. Például:
- Tájékoztassa az 1. rétegbeli biztonsági elemzőket a támadás korai észleléséhez.
- A Microsoft Defender XDR Threat Analytics és a biztonsági közösség támadásainak kutatása a biztonsági támadások trendje érdekében.
- Rögzítse az incidens megoldásához használt munkafolyamatot, és frissítse a szokásos munkafolyamatokat, folyamatokat, szabályzatokat és forgatókönyveket.
- Határozza meg, hogy szükség van-e a biztonsági konfiguráció módosítására, és implementálja őket.
- Hozzon létre egy vezénylési forgatókönyvet, amely automatizálja a fenyegetésre adott választ hasonló kockázatok esetén. További információ: Fenyegetéskezelés automatizálása forgatókönyvekkel a Microsoft Sentinel.
Kapcsolódó tartalom
További információ: