運用 Microsoft Defender XDR,使用 Azure 入口網站中的 Microsoft Sentinel 來回應事件
本文說明如何在 Azure 入口網站中使用 Microsoft Sentinel 和 Microsoft Defender XDR 來解決安全性事件。 瞭解分類、調查和解決的逐步指引,以確保事件回應快速。
- 生命週期的更新(狀態、擁有者、分類)會在產品之間共用。
- 在調查期間收集的證據顯示在Microsoft Sentinel 事件中。
如需將 Microsoft Defender 與 Microsoft Sentinel 整合的詳細資訊,請參閱 Microsoft Defender XDR 與 Microsoft Sentinel整合。 本 互動式指南 逐步引導您使用Microsoft統一的安全性資訊和事件管理 (SIEM) 和擴充偵測和回應 (XDR) 功能來偵測和回應新式攻擊。
事件分級
使用 Microsoft Sentinel 在 Azure 入口網站中啟動分級,以檢閱事件詳細數據並立即採取行動。 在 [事件] 頁面上,找出可疑的事件,並更新擁有者名稱、狀態和嚴重性等詳細數據,或新增批注。 向下切入以取得其他資訊以繼續調查。
如需詳細資訊,請參閱 Azure 入口網站中的 導覽、分類和管理 Microsoft Sentinel 事件
事件調查
使用 Azure 入口網站作為主要事件回應工具,然後切換至 Defender 入口網站以取得更詳細的調查。
例如:
| 門戶 | 任務 |
|---|---|
| 在 Azure 入口網站中 | 在 Azure 入口網站中使用Microsoft Sentinel,將事件與您的安全性程式、原則和程式 (3P) 相互關聯。 在事件詳情頁面上,選取 [在 Microsoft Defender XDR 中進行調查],以便在 Defender 入口網站中開啟相同的事件。 |
| 在Defender入口網站中 | 調查事件範圍、資產時程表和自我修復待處理措施等詳細數據。 您可能也需要手動補救實體、執行實時回應,以及新增預防措施。 在事件詳細資料頁面的 [攻擊故事] 頁籤上: - 檢視事件的攻擊案例,以瞭解其範圍、嚴重性、偵測來源,以及受影響的實體。 - 分析事件的警示,以瞭解事件內警示的起源、範圍和嚴重性。 - 視需要收集受影響裝置、使用者和信箱的相關信息與圖表。 選取任一實體以打開包含所有詳細資訊的展開視窗。 - 請參閱 Microsoft Defender XDR 如何透過 [調查] 索引標籤自動解決一些警示。 - 視需要,可從 [證據和回應] 頁籤中使用事件相關的數據集資訊。 |
| 在 Azure 入口網站中 | 返回 Azure 入口網站以執行額外的事件動作,例如: - 執行 3P 自動化調查和補救動作 - 建立自定義安全協調、自動化和回應 (SOAR) 腳本 - 記錄事件管理過程中的證據,例如將你的動作及分析結果中的評論記錄下來。 - 新增自訂量值。 |
如需詳細資訊,請參閱:
使用 Microsoft Sentinel 進行自動化
使用Microsoft Sentinel 的劇本和自動化規則功能:
SOP(標準作業程序) 是您從 Microsoft Sentinel 入口網站例行執行的一組調查和補救動作。 劇本可協助自動化及協調您的威脅回應。 這些任務可以在事件、實體或警示上手動執行,也可以在自動化規則觸發時自動執行。 如需詳細資訊,請參閱 使用劇本自動化處理威脅回應。
自動化規則 可讓您藉由定義和協調一組適用於不同案例的小型規則,在 Microsoft Sentinel 中集中管理自動化。 如需詳細資訊,請參閱 在 Microsoft Sentinel 中使用自動化規則自動化威脅回應。
事件解決方式
當您的調查結束且您已在入口網站中修正事件時,請加以解決。 如需詳細資訊,請參閱 在 Azure 入口網站中關閉事件。
將事件回報給您的事件回應負責人,以取得可能的後續動作。 例如:
- 通知您的第 1 層安全性分析師,以更早地偵測攻擊。
- 研究 Microsoft Defender XDR 威脅分析和安全性社群中的攻擊,以取得安全性攻擊趨勢。
- 記錄用來解決事件的工作流程,並更新您的標準工作流程、進程、原則和劇本。
- 判斷是否需要安全性設定中的變更並加以實作。
- 建立協調流程劇本,以將類似的風險威脅回應自動化。 如需詳細資訊,請參閱 在 Microsoft Sentinel中使用劇本自動化威脅回應。
相關內容
如需詳細資訊,請參閱: