Reagowanie na incydent za pomocą Microsoft Sentinel w portalu Azure z wykorzystaniem Microsoft Defender XDR
W tym artykule wyjaśniono, jak rozwiązywać zdarzenia zabezpieczeń przy użyciu usługi Microsoft Sentinel w witrynie Azure Portal i usłudze Microsoft Defender XDR. Poznaj szczegółowe wskazówki dotyczące klasyfikacji, badania i rozwiązywania problemów, aby zapewnić szybką reakcję na zdarzenia.
- Aktualizacje dotyczące etapu życia (stan, właściciel, klasyfikacja) są udostępniane między produktami.
- Dowody zebrane podczas śledztwa są przedstawiane w incydencie usługi Microsoft Sentinel.
Aby uzyskać więcej informacji na temat integracji usługi Microsoft Defender z usługą Microsoft Sentinel, zobacz integracja usługi Microsoft Defender XDR z usługą Microsoft Sentinel. Ten interaktywny przewodnik prowadzi Cię przez proces wykrywania i reagowania na nowoczesne ataki, wykorzystując ujednolicone funkcje zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) Microsoft oraz rozszerzonego wykrywania i reagowania (XDR).
Triage incydentów
Rozpocznij przydzielanie priorytetów w portalu Azure za pomocą usługi Microsoft Sentinel, aby przejrzeć szczegóły zdarzenia i podjąć natychmiastowe działania. Na stronie Incidents znajdź podejrzane zdarzenie i zaktualizuj szczegóły, takie jak nazwa właściciela, status i istotność, lub dodaj uwagi. Zagłęb się w dodatkowe informacje, aby kontynuować dochodzenie.
Aby uzyskać więcej informacji, zobacz Nawigowanie, klasyfikacja i zarządzanie zdarzeniami usługi Microsoft Sentinel w portalu Azure
Badanie zdarzeń
Użyj witryny Azure Portal jako podstawowego narzędzia do reagowania na zdarzenia, a następnie przejdź do portalu usługi Defender, aby uzyskać bardziej szczegółowe badanie.
Na przykład:
| Portal | Zadania |
|---|---|
| w portalu Azure | Użyj usługi Microsoft Sentinel w witrynie Azure Portal, aby skorelować zdarzenie z procesami zabezpieczeń, zasadami i procedurami (3P). Na stronie szczegółów incydentu wybierz pozycję Zbadaj w Microsoft Defender XDR, aby otworzyć ten sam incydent w portalu Defender. |
| w portalu Defender | Zbadaj szczegóły, takie jak zakres zdarzenia, harmonogramy zasobów i działania oczekujące na samonaprawę. Może być również konieczne ręczne korygowanie podmiotów, przeprowadzanie reakcji na żywo i wprowadzanie środków zapobiegawczych. Na stronie szczegółów zdarzenia , w zakładce Opowieść o ataku: — Wyświetl historię ataku zdarzenia, aby zrozumieć jego zakres, ważność, źródło wykrywania i jednostki, których dotyczy problem. — Przeanalizuj alerty incydentu, aby zrozumieć ich pochodzenie, zakres i dotkliwość za pomocą historii alertów w kontekście incydentu. — W razie potrzeby zbierz informacje na temat urządzeń, których dotyczy problem, użytkowników i skrzynek pocztowych za pomocą grafu. Wybierz dowolną jednostkę, aby otworzyć okno wysuwane ze wszystkimi szczegółami. — Zobacz, jak Microsoft Defender XDR automatycznie rozwiązał niektóre alerty na karcie Investigations. — W razie potrzeby użyj informacji w zestawie danych dotyczących zdarzenia z zakładki Dowody i odpowiedź. |
| w portalu Azure | Wróć do portalu Azure, aby wykonać dodatkowe czynności związane ze zdarzeniem, takie jak: - Wykonywanie 3P automatycznego badania i korygowania - Tworzenie niestandardowych podręczników orkiestracji zabezpieczeń, automatyzacji i odpowiedzi (SOAR) — Rejestrowanie dowodów na potrzeby zarządzania zdarzeniami, takich jak komentarze do rejestrowania swoich działań i wyników swojej analizy. — Dodawanie miar niestandardowych. |
Aby uzyskać więcej informacji, zobacz:
- Dogłębne badanie zdarzeń usługi Microsoft Sentinel w portalu Azure
- zarządzanie zdarzeniami w usłudze Microsoft Defender
Automatyzacja za pomocą usługi Microsoft Sentinel
Użyj funkcji playbook i reguł automatyzacji w usłudze Microsoft Sentinel.
Playbook to zbiór czynności badawczych i naprawczych wykonywanych rutynowo z portalu Microsoft Sentinel. Podręczniki pomagają automatyzować i organizować reagowanie na zagrożenia. Są uruchamiane ręcznie w przypadku incydentów, jednostek lub alertów albo automatycznie, gdy zostaną wyzwolone przez regułę automatyzacji. Aby uzyskać więcej informacji, zapoznaj się z Automatyzacja reakcji na zagrożenia za pomocą playbooków.
reguły automatyzacji umożliwiają centralne zarządzanie automatyzacją w usłudze Microsoft Sentinel przez definiowanie i koordynowanie małego zestawu reguł, które mają zastosowanie w różnych scenariuszach. Aby uzyskać więcej informacji, zobacz Automate threat response in Microsoft Sentinel with automation rules (Reagowanie na zagrożenia w usłudze Microsoft Sentinel przy użyciu reguł automatyzacji).
Rozwiązywanie zdarzeń
Po zakończeniu badania i naprawieniu zdarzenia w portalach rozwiąż ten problem. Aby uzyskać więcej informacji, zobacz Zamykanie incydentu w witrynie Azure portal.
Zgłoś incydent do lidera zespołu reagowania na incydenty w celu przeprowadzenia potencjalnych działań następczych. Na przykład:
- Poinformuj analityków zabezpieczeń warstwy 1, aby lepiej wykryć atak na wczesnym etapie.
- Zbadaj atak w usłudze Microsoft Defender XDR Threat Analytics i społeczności bezpieczeństwa pod kątem trendu ataków na bezpieczeństwo.
- Zarejestruj przepływ pracy używany do rozwiązania zdarzenia i zaktualizuj standardowe przepływy pracy, procesy, zasady i podręczniki.
- Ustal, czy zmiany w konfiguracji zabezpieczeń są potrzebne i czy są one implementowane.
- Utwórz podręcznik orkiestracji, aby zautomatyzować odpowiedź na zagrożenia dotyczące podobnych ryzyk. Aby uzyskać więcej informacji, zobacz Automatyzacja reakcji na zagrożenia za pomocą scenariuszy w usłudze Microsoft Sentinel.
Powiązana zawartość
Aby uzyskać więcej informacji, zobacz:
- integracja usługi Microsoft Defender XDR z usługą Microsoft Sentinel
- interaktywny przewodnik dotyczący ujednoliconych rozwiązań SIEM i XDR
- Microsoft Defender XDR Threat Analytics