Реагирование на инцидент с помощью портала Defender
В этой статье объясняется, как реагировать на инцидент с помощью Microsoft Sentinel на портале Defender, включая триаж, расследование и разрешение.
Необходимые условия
Изучение инцидентов на портале Defender:
- Рабочая область Log Analytics, используемая для Microsoft Sentinel, должна быть подключена к порталу Defender. Дополнительные сведения см. в разделе Connect Microsoft Sentinel на портале Microsoft Defender.
Процесс реагирования на инциденты
При работе на портале Defender выполните начальные действия, разрешения и дальнейшие шаги, как вы бы делали это в других случаях. При изучении обязательно выполните следующее:
- Ознакомьтесь с инцидентом и его областью, просматривая временные шкалы активов.
- Просмотрите ожидающие действия самостоятельного восстановления, вручную исправьте сущности и выполните динамический ответ.
- Добавьте меры предотвращения.
Добавленная область Microsoft Sentinel в портале Defender способствует углублению расследования, например:
- Понимание области инцидента путем сопоставления его с процессами безопасности, политиками и процедурами (3P).
- Выполнение действий автоматического исследования и исправления 3P и создание пользовательских сборников схем оркестрации безопасности, автоматизации и реагирования (SOAR).
- Запись доказательств для управления инцидентами.
- Добавление пользовательских мер.
Дополнительные сведения см. в следующем разделе:
- Исследовать инциденты в Microsoft Defender XDR
- реагирование на инциденты с Microsoft Defender XDR
- страницы сущностей в Microsoft Sentinel
Автоматизация с помощью Microsoft Sentinel
Обязательно воспользуйтесь функциями сборника схем и правил автоматизации Microsoft Sentinel:
Плейбук — это коллекция действий по расследованию и исправлению, которые могут выполняться на портале Microsoft Sentinel как регулярная процедура. Плейбуки могут помочь автоматизировать и координировать ваш ответ на угрозы. Они могут выполняться вручную по запросу по инцидентам, сущностям и оповещениям, а также автоматически выполняться в ответ на определенные оповещения или инциденты при активации правила автоматизации. Дополнительные сведения см. в статье Автоматизация реагирования на угрозы с помощью сборников схем.
правила автоматизации — это способ централизованного управления автоматизацией в Microsoft Sentinel, позволяя определять и координировать небольшой набор правил, которые могут применяться в разных сценариях. Дополнительные сведения см. в статье Автоматизация реагирования на угрозы в Microsoft Sentinel с помощью правил автоматизации.
После подключения рабочей области Microsoft Sentinel к единой платформе операций безопасности обратите внимание, что существуют различия в работе функций автоматизации. Дополнительные сведения см. в разделе автоматизация с унифицированной платформой операций безопасности.
Реагирование после инцидента
После устранения инцидента сообщите об инциденте вашему руководителю по реагированию на инциденты для возможных последующих действий. Например:
- Сообщите аналитикам по безопасности уровня 1, чтобы лучше обнаружить атаку рано.
- Изучите атаку с помощью Microsoft Defender XDR Threat Analytics и в сообществе безопасности для выявления тенденций в атаках на безопасность. Дополнительные сведения см. в разделе Аналитика угроз Microsoft Defender в XDR.
- При необходимости запишите рабочий процесс, используемый для устранения инцидента и обновления стандартных рабочих процессов, процессов, политик и сборников схем.
- Определите, необходимы ли изменения в конфигурации безопасности и реализуют их.
- Создайте сборник схем оркестрации для автоматизации и оркестрации реагирования на угрозы для аналогичного риска в будущем. Дополнительные сведения см. в разделе Автоматизация реагирования на угрозы с помощью сценариев в Microsoft Sentinel.
Связанное содержимое
Дополнительные сведения см. в следующем разделе: