Reagowanie na zdarzenie przy użyciu portalu usługi Defender
W tym artykule wyjaśniono, jak reagować na zdarzenie przy użyciu usługi Microsoft Sentinel w portalu usługi Defender, obejmujące klasyfikację, badanie i rozwiązywanie problemów.
Warunki wstępne
Zbadaj zdarzenia w portalu usługi Defender:
- Obszar roboczy usługi Log Analytics używany dla usługi Microsoft Sentinel musi być dołączony do portalu usługi Defender. Aby uzyskać więcej informacji, zobacz Połącz Microsoft Sentinel z portalem Microsoft Defender.
Proces reagowania na zdarzenia
Podczas pracy w witrynie Defender wykonaj początkową klasyfikację, rozwiązania i działania następcze tak, jak zwykle. Podczas badania upewnij się, że:
- Zapoznaj się ze zdarzeniem i jego zakresem, przeglądając harmonogramy zasobów.
- Przejrzyj akcje oczekujące na samonaprawianie, ręcznie koryguj jednostki i wykonaj odpowiedź na żywo.
- Dodaj środki zapobiegania.
Dodany obszar Microsoft Sentinel w portalu Defender pomaga pogłębić badanie, w tym:
- Zrozumienie zakresu zdarzenia przez skorelowanie go z procesami zabezpieczeń, zasadami i procedurami (3P).
- Wykonywanie zautomatyzowanych akcji dochodzeniowych i naprawczych 3P oraz tworzenie niestandardowych scenariuszy orkiestracji zabezpieczeń, automatyzacji i reakcji (SOAR).
- Rejestrowanie dowodów na potrzeby zarządzania zdarzeniami.
- Dodawanie miar niestandardowych.
Aby uzyskać więcej informacji, zobacz:
- Badanie zdarzeń w usłudze Microsoft Defender XDR
- reagowanie na incydenty za pomocą usługi Microsoft Defender XDR
- strony jednostki w usłudze Microsoft Sentinel
Automatyzacja za pomocą usługi Microsoft Sentinel
Pamiętaj, aby skorzystać z funkcji scenariuszy i zasad automatyzacji w usłudze Microsoft Sentinel.
Scenariusz to kolekcja działań dochodzeniowych i naprawczych, które można rutynowo uruchamiać z portalu Microsoft Sentinel. Podręczniki mogą pomóc zautomatyzować i zorganizować reakcję na zagrożenia. Mogą być uruchamiane ręcznie na żądanie dla zdarzeń, jednostek i alertów lub mogą zostać ustawione do automatycznego uruchamiania w odpowiedzi na określone alerty lub zdarzenia, gdy zostaną wyzwolone przez regułę automatyzacji. Aby uzyskać więcej informacji, zobacz Automatyzacja reakcji na zagrożenia z playbookami.
reguły automatyzacji są sposobem centralnego zarządzania automatyzacją w usłudze Microsoft Sentinel, umożliwiając definiowanie i koordynowanie małego zestawu reguł, które mogą być stosowane w różnych scenariuszach. Aby uzyskać więcej informacji, zobacz Automate threat response in Microsoft Sentinel with automation rules (Reagowanie na zagrożenia w usłudze Microsoft Sentinel przy użyciu reguł automatyzacji).
Po dołączeniu obszaru roboczego usługi Microsoft Sentinel do ujednoliconej platformy operacji zabezpieczeń należy pamiętać, że istnieją różnice w sposobie działania automatyzacji w obszarze roboczym. Aby uzyskać więcej informacji, zobacz Automatyzacja za pomocą ujednoliconej platformy operacyjnej zabezpieczeń.
Reagowanie po zdarzeniu
Po rozwiązaniu zdarzenia zgłoś incydent prowadzącemu działania reagowania na incydenty w celu ustalenia dalszych działań. Na przykład:
- Poinformuj analityków zabezpieczeń warstwy 1, aby lepiej wykryć atak na wczesnym etapie.
- Przeanalizuj atak w usłudze Microsoft Defender XDR Threat Analytics i wśród społeczności specjalistów ds. bezpieczeństwa w celu zidentyfikowania trendów ataków na zabezpieczenia. Aby uzyskać więcej informacji, zobacz Threat Analytics w usłudze Microsoft Defender XDR.
- W razie potrzeby zarejestruj przepływ pracy użyty do rozwiązania zdarzenia i zaktualizuj standardowe przepływy pracy, procesy, zasady i podręczniki.
- Ustal, czy zmiany w konfiguracji zabezpieczeń są potrzebne i czy są one implementowane.
- Utwórz podręcznik do koordynacji, aby zautomatyzować i koordynować reakcję na zagrożenia w przypadku podobnego ryzyka w przyszłości. Aby uzyskać więcej informacji, zobacz Automatyzacja reakcji na zagrożenia z playbookami w Microsoft Sentinel.
Powiązana zawartość
Aby uzyskać więcej informacji, zobacz: