在 Azure 门户中通过 Microsoft Defender XDR 使用 Microsoft Sentinel 响应事件
本文介绍如何在 Azure 门户中使用 Microsoft Sentinel 和 Microsoft Defender XDR 解决安全事件。 了解有关分诊、调查和解决的分步指导,以确保快速事件响应。
- 生命周期更新(状态、所有者、分类)在产品之间共享。
- 调查期间收集的证据显示在Microsoft Sentinel 事件中。
有关 Microsoft Defender 与 Microsoft Sentinel 的集成的详细信息,请参阅 Microsoft Defender XDR 与 Microsoft Sentinel的集成。 本 交互式指南 将引导您通过 Microsoft 的统一安全信息和事件管理(SIEM)和扩展检测与响应(XDR)功能来检测和响应现代攻击。
事件分类
使用 Microsoft Sentinel 在 Azure 门户中开始会审,查看事件详细信息并立即采取措施。 在 事件 页上,找到可疑事件并更新所有者名称、状态和严重性等详细信息或添加注释。 深入查看更多信息以继续进行调查。
有关详细信息,请参阅 Azure 门户中的 导航、分类和管理 Microsoft Sentinel 事件
事件调查
使用 Azure 门户作为主要事件响应工具,然后切换到 Defender 门户进行更详细的调查。
例如:
门户 | 任务 |
---|---|
Azure 门户中 | 在 Azure 门户中使用 Microsoft Sentinel 将事件与安全流程、策略和过程(3P)相关联。 在事件详细信息页上,选择 在 Microsoft Defender XDR 中调查,以在 Defender 门户中打开同一事件。 |
在 Defender 门户中 | 调查事件范围、资产的时间进程以及自我修复未完成的操作等详细信息。 可能还需要手动修正实体、执行实时响应和添加预防措施。 在“事件详细信息”页的“攻击故事”选项卡上: - 查看事件的攻击情景,以了解其范围、严重性、检测源以及受影响的实体。 - 分析事件的警报,了解事件的起源、范围和严重性,以及事件中的警报故事。 - 根据需要,使用图形收集有关受影响设备、用户和邮箱的信息。 选择任意实体以打开包含所有详细信息的浮出控件。 - 查看 Microsoft Defender XDR 如何通过 调查 选项卡自动解决某些警报。 - 根据需要,使用 证据和响应 选项卡中事件数据集中的信息。 |
Azure 门户中 | 返回 Azure 门户以执行额外的事件操作,例如: - 执行 3P 自动化调查和修正措施 - 创建自定义安全编排、自动化和响应(SOAR)剧本 - 记录事件管理的证据,例如记录您的操作和分析结果的注释。 - 添加自定义度量值。 |
有关详细信息,请参阅:
- Azure 门户 深入调查Microsoft Sentinel 事件
- 管理 Microsoft Defender 中的事件
使用 Microsoft Sentinel 实现自动化
使用 Microsoft Sentinel 的 playbook 和自动化规则功能:
操作手册 是可以从 Microsoft Sentinel 门户例行运行的调查和修正措施的集合。 手册可帮助自动化和协调您的威胁响应工作。 它们可以在事件、实体或警报上手动运行,或者在被自动化规则触发时自动运行。 有关详细信息,请参阅 使用流程手册自动化威胁响应。
自动化规则 通过定义和协调一组适用于不同方案的规则,在 Microsoft Sentinel 中集中管理自动化。 有关详细信息,请参阅 使用自动化规则Microsoft Sentinel 中自动执行威胁响应。
事件解决
调查结束后,已在门户中修复了该事件,请解决此问题。 有关详细信息,请参阅 在 Azure 门户中关闭事件。
将事件报告给事件响应负责人,以便采取潜在的后续行动。 例如:
- 通知第 1 层安全分析师,以便提前更好地检测攻击。
- 研究Microsoft Defender XDR 威胁分析和安全社区中的攻击,以寻找安全攻击趋势。
- 记录用于解决事件的工作流,并更新标准工作流、流程、策略和 playbook。
- 确定是否需要安全配置中的更改并实现这些更改。
- 创建一个编排手册,以自动化应对类似风险的威胁响应。 有关详细信息,请参阅 在Microsoft Sentinel中使用 playbook 自动执行威胁响应。
相关内容
有关详细信息,请参阅: