Поделиться через


Ответьте на инцидент с помощью Microsoft Sentinel в портале Azure с Microsoft Defender XDR.

В этой статье объясняется, как устранить инциденты безопасности с помощью Microsoft Sentinel на портале Azure и XDR в Microsoft Defender. Узнайте пошаговые инструкции по изучению, расследованию и разрешению, чтобы обеспечить быстрый реагирование на инциденты.

  • Обновления жизненного цикла (состояние, владелец, классификация) разделяются между продуктами.
  • Доказательства, собранные во время расследования, показаны в инциденте Microsoft Sentinel.

Дополнительные сведения об интеграции Microsoft Defender с Microsoft Sentinel можно найти в разделе Интеграция XDR Microsoft Defender с Microsoft Sentinel. Это интерактивное руководство пошагово проводит вас через процесс распознавания и реагирования на современные атаки с помощью унифицированной системы управления событиями и информацией безопасности (SIEM) Microsoft и расширенных возможностей обнаружения и реагирования (XDR).

Обработка инцидентов

Начните процесс триажа на портале Azure с помощью Microsoft Sentinel, чтобы просмотреть сведения об инциденте и принять немедленные меры. На странице Инциденты найдите предполагаемый инцидент и обновите сведения, такие как имя владельца, состояние и серьезность, или добавьте комментарии. Чтобы продолжить ваше исследование, углубитесь для получения дополнительной информации.

Дополнительные сведения см. в статье Навигация, обработка и управление инцидентами Microsoft Sentinel на портале Azure

Расследование инцидентов

Используйте портал Azure в качестве основного средства реагирования на инциденты, а затем перейдите на портал Defender для более подробного изучения.

Например:

Портал Задачи
На портале Azure Используйте Microsoft Sentinel на портале Azure, чтобы сопоставить инцидент с процессами безопасности, политиками и процедурами (3P). На странице сведений об инциденте выберите Исследовать в Microsoft Defender XDR, чтобы открыть тот же инцидент на портале Microsoft Defender.
на портале Defender Изучите такие сведения, как область инцидента, временная шкала активов и самовосстановление ожидающих действий. Кроме того, может потребоваться вручную исправить объекты, провести оперативный ответ и добавить меры предотвращения.

На вкладке на странице сведений об инциденте в разделе "История атаки":
— Просмотрите историю атаки инцидента, чтобы понять ее область, серьезность, источник обнаружения и какие сущности затронуты.
— Анализ оповещений инцидента, чтобы понять их происхождение, область и серьезность с помощью истории оповещения в инциденте.
— При необходимости соберите информацию о затронутых устройствах, пользователях и почтовых ящиках с помощью графа. Выберите любую сущность, чтобы открыть всплывающий элемент со всеми сведениями.
— Узнайте, как XDR в Microsoft Defender автоматически устранил некоторые оповещения с помощью вкладки Исследования.
— По мере необходимости используйте сведения в наборе данных для инцидента на вкладке доказательства и меры по реагированию.
На портале Azure Вернитесь на портал Azure для выполнения дополнительных действий с инцидентами, таких как:
— выполнение автоматизированных действий по исследованию и устранению ошибок 3P
— Создание пользовательских сценариев оркестрации безопасности, автоматизации и реагирования (SOAR)
— Запись доказательств для управления инцидентами, таких как комментарии для записи ваших действий и результатов анализа.
— добавление пользовательских метрик.

Дополнительные сведения см. в следующем разделе:

Автоматизация с помощью Microsoft Sentinel

Используйте сборник схем и правила автоматизации Microsoft Sentinel:

Разрешение инцидентов

Завершив расследование и исправив инцидент на порталах, устраните его. Дополнительные сведения см. в статье Закрытие инцидента на портале Azure.

Сообщите об инциденте руководителю группы реагирования на инциденты для потенциальных последующих действий. Например:

  • Сообщите аналитикам по безопасности уровня 1, чтобы лучше обнаружить атаку рано.
  • Исследуйте атаку с помощью Microsoft Defender XDR Threat Analytics и изучите сообщество безопасности, чтобы выявить тенденцию в атаке на безопасность.
  • Запишите рабочий процесс, используемый для устранения инцидента и обновления стандартных рабочих процессов, процессов, политик и сборников схем.
  • Определите, необходимы ли изменения в конфигурации безопасности и реализуют их.
  • Создайте сборник схем оркестрации для автоматизации реагирования на угрозы для аналогичных рисков. Дополнительную информацию см. в статье "Автоматизация реагирования на угрозы с помощью плейбуков в Microsoft Sentinel".

Дополнительные сведения см. в следующем разделе: