Administreret registrering og respons

Gælder for:

Hvis du vil vide mere om administreret registrering og svar, kan du se denne korte video.

Ved hjælp af en kombination af automatisering og menneskelig ekspertise Microsoft Defender-eksperter til XDR triage Microsoft Defender XDR hændelser. De prioriterer hændelser på dine vegne, filtrerer støjen, udfører detaljerede undersøgelser og leverer handlingsrelaterede anbefalinger til administrerede svar til dine SOC-teams (Security Operations Center).

Hændelsesopdateringer

Når Defender Experts fastslår, at en hændelse skal undersøges (uanset om det er på grund af tjenesten eller registreringskilden, alvorsgraden, din definerede dækning eller andre årsager), opdaterer de feltet Tildelt tilDefender Experts. Når eksperterne begynder at undersøge hændelsen, opdaterer de feltet Status til Igangværende.

Når eksperterne afslutter deres undersøgelse af en hændelse, opdaterer de feltet Klassificering for hændelsen til et af følgende, afhængigt af deres resultater:

  • Sand positiv
  • Falsk positiv
  • Oplysende, forventet aktivitet

De opdaterer også feltet Bestemmelse , der svarer til hver klassificering, for at give mere indsigt i de resultater, der fik dem til at bestemme klassificeringen.

Skærmbillede af siden Hændelser, der viser felterne Tags, Status, Tildelt til, Klassificering og Bestemmelse.

Hvis en hændelse er klassificeret som Falsk positiv eller Informationsrelateret, Forventet aktivitet, opdaterer eksperterne feltet Status for hændelsen til Løst. De afslutter deres arbejde på denne hændelse og opdaterer feltet Tildelt til til Ikke tildelt. Eksperterne kan dele opdateringer fra deres undersøgelse og deres konklusion, når de løser en hændelse. De poster disse opdateringer under Undersøgelsesoversigt i hændelsens pop op-panel for administreret svar .

Ellers identificerer eksperterne de påkrævede svarhandlinger, der skal udføres, hvis en hændelse klassificeres som Sand positiv. Den metode, som handlingerne udføres på, afhænger af de tilladelser og adgangsniveauer, du giver Defender-eksperter til XDR-tjenesten. Få mere at vide om tildeling af tilladelser til vores eksperter.

  • Hvis du tildeler Defender-eksperter til XDR de anbefalede adgangstilladelser til sikkerhedsoperatøren, kan eksperterne udføre de påkrævede svarhandlinger på hændelsen på dine vegne. Disse handlinger vises sammen med en undersøgelsesoversigt i hændelsens pop op-panel for administreret svar på din Microsoft Defender-portal, som du eller dit SOC-team kan gennemse. Alle handlinger, der Defender-eksperter til XDR fuldført, vises i afsnittet Fuldførte handlinger. Alle ventende handlinger, der kræver, at du eller soc-teamet fuldfører, er angivet i afsnittet Ventende handlinger . Du kan få flere oplysninger i afsnittet Handlinger .

    Når eksperterne udfører alle de nødvendige handlinger på hændelsen, opdaterer de feltet Status til Løst og Feltet Tildelt til til Kunde.

  • Hvis du tildeler Defender-eksperter til XDR standardadgangen til Sikkerhedslæser, vises de påkrævede svarhandlinger sammen med en undersøgelsesoversigt i pop op-panelet Administreret svar under sektionen Ventende handlinger på din Microsoft Defender portal, som du eller dit SOC-team kan udføre.

    For at identificere denne aflevering opdaterer eksperterne feltet Status for hændelsen til Afventer kundehandling og feltet Tildelt til til Kunde.

Du kan kontrollere antallet af hændelser, der kræver din handling, i banneret Defender Experts øverst på Microsoft Defender portalens startside.

Skærmbillede af kortet Defender Experts på Microsoft Defender portal, der viser antallet af hændelser, der afventer kundehandling.

Du kan få vist hændelser, der er relateret til Defender Experts, ved at filtrere hændelseskøen på Defender-portalen ved hjælp af flere filtersæt. Få mere at vide om tilføjelse af filtre for hændelseskø.

  • Hvis du vil se de hændelser, der venter i kø, indtil eksperterne begynder at undersøge, skal du bruge filtrene Hændelsestildeling og Status og derefter vælge Tildelt til defender-eksperter og aktive.

  • Hvis du vil se de hændelser, som eksperterne i øjeblikket undersøger, skal du bruge filtrene Hændelsestildeling og Status og derefter vælge Tildelt til defender-eksperter og igangværende.

    Skærmbillede af køen Hændelser, der er filtreret, så den kun viser dem med mærket Tildelt til Defender Experts.

  • Hvis du vil se de hændelser, som eksperterne har undersøgt og overdraget til dit team for at reagere på ventende afhjælpningshandlinger, skal du bruge filteret Status og vælge Afventer kundehandling.

    Skærmbillede af køen Hændelser i Microsoft Defender portal filtreret til kun at vise dem med handlingsmærket Afventer kunde.

  • Hvis du vil se de hændelser, som eksperterne har fuldført deres undersøgelse af (og enten løses direkte eller er tildelt dit team i forbindelse med ventende afhjælpningshandlinger), skal du bruge filteret Mærker og vælge Defender Experts.

    Skærmbillede af køen Hændelser i Microsoft Defender portal, der er filtreret til kun at vise Defender Experts-mærket.

Sådan bruges administreret svar i Defender-portalen

På Microsoft Defender-portalen er feltet Status angivet til Afventer kundehandling, feltet Tildelt til og et opgavekort oven på ruden Hændelser for en hændelse, der kræver din opmærksomhed ved hjælp af administreret svar. Dine udpegede hændelseskontakter modtager også en tilsvarende mailmeddelelse med et link til Defender-portalen for at få vist hændelsen. Få mere at vide om kontakter med beskeder. Du modtager også en Teams-meddelelse, der informerer dig om opdateringerne. Få mere at vide om konfiguration af Teams.

Vælg Få vist administreret svar på opgavekortet eller øverst på portalsiden (fanen Administreret svar ) for at åbne et pop op-panel, hvor du kan læse eksperternes undersøgelsesoversigt, fuldføre ventende handlinger, der er identificeret af eksperterne, eller interagere med dem via chat.

Undersøgelsesoversigt

Afsnittet Undersøgelsesoversigt giver dig mere kontekst om den hændelse, der er analyseret af eksperterne, så du kan se, hvor alvorlig den er, og hvilken potentiel indvirkning den kan have, hvis den ikke håndteres med det samme. Det kan omfatte enhedens tidslinje, indikatorer for angreb og indikatorer for kompromitteret (IOCs) og andre oplysninger.

Skærmbillede af oversigt over administreret svarundersøgelse.

Handlinger

Fanen Handlinger viser opgavekort, der indeholder svarhandlinger, der anbefales af sikkerhedseksperter.

Defender-eksperter til XDR understøtter i øjeblikket følgende administrerede svarhandlinger med et enkelt klik:

Handling Beskrivelse
Isoler enhed Isolerer en enhed, hvilket hjælper med at forhindre en hacker i at styre den og udføre yderligere aktiviteter, f.eks. dataudfiltrering og tværgående bevægelse. Den isolerede enhed forbliver tilsluttet Microsoft Defender for Endpoint.
Karantænefil Stopper kørsel af processer, sætter filerne i karantæne og sletter vedvarende data, f.eks. registreringsdatabasenøgler.
Begræns appudførelse Begrænser udførelsen af potentielt skadelige programmer og låser enheden ned for at forhindre yderligere forsøg.
Frigiv fra isolation Fortryder isolering af en enhed.
Fjern appbegrænsning Fortryder udgivelse fra isolation.
Deaktiver bruger Deaktiverer en identitet fra at få adgang til netværket og forskellige slutpunkter.

Ud over disse handlinger med et enkelt klik kan du også modtage administrerede svar fra sikkerhedseksperter, som du skal udføre manuelt.

Bemærk!

Før du udfører nogen af de anbefalede administrerede svarhandlinger, skal du sørge for, at dine automatiserede undersøgelses- og svarkonfigurationer ikke allerede løser dem. Få mere at vide om automatiserede undersøgelses- og svarfunktioner i Microsoft Defender XDR.

Sådan får du vist og udfører de administrerede svarhandlinger:

  1. Vælg pileknapperne på et handlingskort for at udvide det, og læs flere oplysninger om den påkrævede handling.

    Skærmbillede af administreret svarhandling for at isolere enhedens prod-server.

  2. For kort med svarhandlinger med et enkelt klik skal du vælge den nødvendige handling. Handlingsstatussen på kortet ændres til I gang og derefter til Mislykket eller Fuldført, afhængigt af handlingens resultat.

    Skærmbillede af administreret svarhandling, der viser igangværende for at isolere enhedens prod-server.

Tip

Du kan også overvåge status for svarhandlinger i portalen i Løsningscenter. Hvis en svarhandling mislykkes, kan du prøve at gøre det igen fra siden Vis enhedsoplysninger eller starte en chat med Defender Experts.

  1. For kort med påkrævede handlinger, som du skal udføre manuelt, skal du vælge Jeg har fuldført denne handling , når du har udført dem, og derefter vælge Ja, jeg har gjort det i bekræftelsesdialogboksen, der vises.

    Skærmbillede af administreret svarhandling for at bekræfte fuldførelsen af handlingen.

  2. Hvis du ikke vil fuldføre en påkrævet handling med det samme, skal du vælge Spring over og derefter vælge Ja, springe denne handling over i bekræftelsesdialogboksen, der vises.

Vigtigt!

Hvis du bemærker, at nogle af knapperne på handlingskortene er nedtonet, kan det indikere, at du ikke har de nødvendige tilladelser til at udføre handlingen. Sørg for, at du er logget på Microsoft Defender-portalen med de relevante tilladelser. De fleste administrerede svarhandlinger kræver, at du som minimum har adgang til sikkerhedsoperatoren. Hvis du stadig oplever dette problem, selv med de relevante tilladelser, skal du gå til Vis enhedsdetaljer og fuldføre trinnene derfra.

Få adgang til administreret svar via Graph API

Du kan få adgang til administreret svar ved hjælp af Microsoft Graph-sikkerheds-API'en.

I følgende tabeller vises de forskellige administrerede svaroplysninger i Defender-portalen og deres tilsvarende Graph-sikkerheds-API-felter.

incident I ressourcetypen:

Defender-portalfelt Graf over feltet SIKKERHEDS-API Beskrivelse
Undersøgelsesoversigt description Undersøgelsesnoterne fra Defender Experts.

incidentTask I ressourcetypen:

Defender-portalfelt Graf over feltet SIKKERHEDS-API Beskrivelse
Handlingsstatus actionStatus Udførelsesstatus for afhjælpningshandlingen. Du kan få flere oplysninger under incidentTaskActionStatus-værdier.
Handlingstype actionType Den afhjælpningshandling, der skal udføres. Du kan få flere oplysninger under incidentTaskActionType-værdier.
Beskrivelse af handling description Beskrivelse af afhjælpningshandlingen.
Afhjælpningshandling responseAction Afhjælpningshandlingen.
Opgavetitel displayName Opgavens titel.
Opgave-id id Opgavens GUID (Globally Unique Identifier).
Opgavekilde source Opgavens oprindelse. Du kan få flere oplysninger under incidentTaskSource-værdier.
Opgavestatus status Aktuel opgavestatus. Denne egenskab er den eneste egenskab, du kan opdatere. Du kan få flere oplysninger under incidentTaskStatus-værdier.
Oprettet af createdByDisplayName Navnet på det objekt, der oprettede opgaven. Skrivebeskyttet.
Oprettelsestidspunkt createdDateTime Opgavens oprettelsestidspunkt. Skrivebeskyttet.
Senest ændret af lastModifiedByDisplayName Navnet på det objekt, der senest opdaterede opgaven. Skrivebeskyttet.
Tidspunkt for seneste ændring lastModifiedDateTime Seneste opdateringstidspunkt for opgaven. Skrivebeskyttet.

Vigtigt!

Ressourcetypen incidentTask er kun tilgængelig i betaversionen af Graph Security API.

Din tilgang til forbrug af administreret svar fra API'en kan variere afhængigt af det downstream-system, du vil bruge, og dine specifikke krav. Følgende trin er en grundlæggende implementering, der kan hjælpe dig med at komme i gang:

Starter fra hændelser i Graph-API'en

  1. Hent hændelser fra Graph Security API.
  2. Kontrollér, om der er hændelser, hvor statusafventerHandling eller tildeltTil er Kunde.
  3. Fortsæt med at læse incidentTasks for sådanne hændelser.
  4. Synkroniser de administrerede svaroplysninger til dit downstreamværktøj (f.eks. ServiceNow).

Starter fra beskeder i Graph-API'en

  1. Få beskeder fra Graph Security API.
  2. Kontrollér, om der er beskeder, hvor assignedTo er Customer.
  3. Slå tilsvarende hændelse op ved at kontrollere incidentId , der er angivet i beskeden.
  4. Fortsæt med at læse incidentTasks for sådanne hændelser.
  5. Synkroniser de administrerede svaroplysninger til dit downstreamværktøj (f.eks. ServiceNow).

Få indblik i Defender Experts-undersøgelser i dit SIEM- eller ITSM-program

Når Defender-eksperter til XDR undersøge hændelser og komme med afhjælpningshandlinger, kan du se deres arbejde med hændelser i dine SIEM-programmer (Security Information and Event Management) og IT Service Management (ITSM), herunder programmer, der er tilgængelige.

Microsoft Sentinel

Du får indsigt i hændelser i Microsoft Sentinel ved at aktivere den indbyggede Microsoft Defender XDR dataconnector. Få mere at vide.

Når du har slået connectoren til, vises opdateringer fra Defender Experts til felterne Status, Tildelt til, Klassificering og Bestemmelse i Microsoft Defender XDR i den tilsvarende Status, Ejer og Årsag til lukning af felter i Sentinel.

Bemærk!

Status for hændelser, der undersøges af Defender Experts i Microsoft Defender XDR skifter typisk fra Aktiv til Igangværende til Afventer kundehandling til Løst, mens den i Microsoft Sentinel følger stien Ny til aktiv til Løst. Den Microsoft Defender XDR status, der afventer kundehandling, har ikke et tilsvarende felt i Microsoft Sentinel. I stedet vises den som et mærke i en hændelse i Microsoft Sentinel.

I følgende afsnit beskrives det, hvordan en hændelse, der håndteres af vores eksperter, opdateres i Microsoft Sentinel efterhånden som den skrider frem under undersøgelsesrejsen:

  1. En hændelse, der undersøges af vores eksperter, har statussenangivet som Aktiv , og ejeren er angivet som Defender Experts.

  2. En hændelse, som vores eksperter bekræfter som sand positiv, har et administreret svar, der er slået op i Microsoft Defender XDR, og en TagAfventer kundehandling og ejeren er angivet som Kunde. Du skal reagere på hændelsen baseret på brug af det angivne administrerede svar på Defender-portalen.

  3. En hændelse, som vores eksperter bekræfter som en sand positiv, med alle afhjælpningshandlinger, der er truffet af Defender Experts, får hændelsens status opdateret til Løst , og ejeren er angivet som kunde. Du kan gennemse de handlinger, der er fuldført på hændelsen, ved hjælp af det angivne administrerede svar på Defender-portalen.

  4. Når vores eksperter afslutter deres undersøgelse og lukker en hændelse som falsk positiv eller oplysende, forventet aktivitet, opdateres hændelsens status til Løst, ejeren opdateres til Ikke-tildelt, og der angives en årsag til lukning .

    Skærmbillede af Microsoft Sentinel hændelser.

Andre programmer

Du kan se hændelser i dit SIEM- eller ITSM-program ved hjælp af Microsoft Defender XDR-API'en eller connectors i Microsoft Sentinel.

Når du har konfigureret en connector, kan opdateringer fra Defender Experts til felterne Status, Tildelt til, Klassificering og Bestemmelse i Microsoft Defender XDR synkronisere med tredjeparts-SIEM- eller ITSM-programmer, afhængigt af hvordan felttilknytningen implementeres. Du kan illustrere det ved at se den connector, der er tilgængelig fra Sentinel til ServiceNow.

Se også

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.

  • Last updated on