Ответьте на инцидент с помощью Microsoft Sentinel в портале Azure с Microsoft Defender XDR.
В этой статье объясняется, как устранить инциденты безопасности с помощью Microsoft Sentinel на портале Azure и XDR в Microsoft Defender. Узнайте пошаговые инструкции по изучению, расследованию и разрешению, чтобы обеспечить быстрый реагирование на инциденты.
- Обновления жизненного цикла (состояние, владелец, классификация) разделяются между продуктами.
- Доказательства, собранные во время расследования, показаны в инциденте Microsoft Sentinel.
Дополнительные сведения об интеграции Microsoft Defender с Microsoft Sentinel можно найти в разделе Интеграция XDR Microsoft Defender с Microsoft Sentinel. Это интерактивное руководство пошагово проводит вас через процесс распознавания и реагирования на современные атаки с помощью унифицированной системы управления событиями и информацией безопасности (SIEM) Microsoft и расширенных возможностей обнаружения и реагирования (XDR).
Обработка инцидентов
Начните процесс триажа на портале Azure с помощью Microsoft Sentinel, чтобы просмотреть сведения об инциденте и принять немедленные меры. На странице Инциденты найдите предполагаемый инцидент и обновите сведения, такие как имя владельца, состояние и серьезность, или добавьте комментарии. Чтобы продолжить ваше исследование, углубитесь для получения дополнительной информации.
Дополнительные сведения см. в статье Навигация, обработка и управление инцидентами Microsoft Sentinel на портале Azure
Расследование инцидентов
Используйте портал Azure в качестве основного средства реагирования на инциденты, а затем перейдите на портал Defender для более подробного изучения.
Например:
| Портал | Задачи |
|---|---|
| На портале Azure | Используйте Microsoft Sentinel на портале Azure, чтобы сопоставить инцидент с процессами безопасности, политиками и процедурами (3P). На странице сведений об инциденте выберите Исследовать в Microsoft Defender XDR, чтобы открыть тот же инцидент на портале Microsoft Defender. |
| на портале Defender | Изучите такие сведения, как область инцидента, временная шкала активов и самовосстановление ожидающих действий. Кроме того, может потребоваться вручную исправить объекты, провести оперативный ответ и добавить меры предотвращения. На вкладке на странице сведений об инциденте в разделе "История атаки": — Просмотрите историю атаки инцидента, чтобы понять ее область, серьезность, источник обнаружения и какие сущности затронуты. — Анализ оповещений инцидента, чтобы понять их происхождение, область и серьезность с помощью истории оповещения в инциденте. — При необходимости соберите информацию о затронутых устройствах, пользователях и почтовых ящиках с помощью графа. Выберите любую сущность, чтобы открыть всплывающий элемент со всеми сведениями. — Узнайте, как XDR в Microsoft Defender автоматически устранил некоторые оповещения с помощью вкладки Исследования. — По мере необходимости используйте сведения в наборе данных для инцидента на вкладке доказательства и меры по реагированию. |
| На портале Azure | Вернитесь на портал Azure для выполнения дополнительных действий с инцидентами, таких как: — выполнение автоматизированных действий по исследованию и устранению ошибок 3P — Создание пользовательских сценариев оркестрации безопасности, автоматизации и реагирования (SOAR) — Запись доказательств для управления инцидентами, таких как комментарии для записи ваших действий и результатов анализа. — добавление пользовательских метрик. |
Дополнительные сведения см. в следующем разделе:
- Детально расследуйте инциденты Microsoft Sentinel в портале Azure
- Управление инцидентами в Microsoft Defender
Автоматизация с помощью Microsoft Sentinel
Используйте сборник схем и правила автоматизации Microsoft Sentinel:
Плейбук — это набор действий по расследованию и устранению, выполняемых на портале Microsoft Sentinel в качестве стандартной процедуры. Инструкции помогают автоматизировать и координировать ваш ответ на угрозы. Они запускаются вручную для инцидентов, сущностей или оповещений или автоматически по правилу автоматизации. Дополнительные сведения см. в статье Автоматизация реагирования на угрозы с помощью сборников схем.
правила автоматизации позволяют централизованно управлять автоматизацией в Microsoft Sentinel путем определения и координации небольшого набора правил, применяемых в разных сценариях. Дополнительные сведения см. в статье Автоматизация реагирования на угрозы в Microsoft Sentinel с помощью правил автоматизации.
Разрешение инцидентов
Завершив расследование и исправив инцидент на порталах, устраните его. Дополнительные сведения см. в статье Закрытие инцидента на портале Azure.
Сообщите об инциденте руководителю группы реагирования на инциденты для потенциальных последующих действий. Например:
- Сообщите аналитикам по безопасности уровня 1, чтобы лучше обнаружить атаку рано.
- Исследуйте атаку с помощью Microsoft Defender XDR Threat Analytics и изучите сообщество безопасности, чтобы выявить тенденцию в атаке на безопасность.
- Запишите рабочий процесс, используемый для устранения инцидента и обновления стандартных рабочих процессов, процессов, политик и сборников схем.
- Определите, необходимы ли изменения в конфигурации безопасности и реализуют их.
- Создайте сборник схем оркестрации для автоматизации реагирования на угрозы для аналогичных рисков. Дополнительную информацию см. в статье "Автоматизация реагирования на угрозы с помощью плейбуков в Microsoft Sentinel".
Связанное содержимое
Дополнительные сведения см. в следующем разделе:
- интеграция Microsoft Defender XDR с Microsoft Sentinel
- интерактивное руководство унифицированных возможностей SIEM и XDR
- Аналитика угроз в Microsoft Defender XDR