Поделиться через

Просмотр оповещений системы безопасности и управление ими

В очереди оповещений отображается список оповещений, помеченных из удостоверений в сети. По умолчанию в очереди отображаются оповещения, отображаемые за последние семь дней в сгруппированном представлении. Самые последние оповещения отображаются в верхней части списка, чтобы сначала увидеть самые последние оповещения.

Просмотр очереди оповещений

На портале Microsoft Defender перейдите в раздел Инциденты & оповещения, а затем выберите Оповещения.

Оповещения за последние семь дней отображаются со следующими сведениями:

  • Имя оповещения
  • Tags
  • Severity
  • Состояние исследования
  • Состояние
  • Категория
  • Источник обнаружения
  • Затронутые активы
  • Первое действие
  • Last activity (Последние действия)

Снимок экрана: страница

Настройка представления очереди оповещений

Представление очереди оповещений можно настроить несколькими способами. С помощью инструментов в верхней части страницы можно:

  • Настройте представление для добавления или удаления столбцов.
  • Применить фильтры.
  • Настройте длительность. Отображение оповещений за определенную продолжительность, например 1 день, 3 дня, 1 неделю, 30 дней и 6 месяцев.
  • Экспорт подробных отчетов Excel для анализа.

Фильтрация представления оповещений

Чтобы получить более подробное представление оповещений, можно применить следующие фильтры.

Оповещение Описание
Серьезность Уровень серьезности оповещений зависит от нескольких факторов, включая доступ, который может иметь злоумышленник, потенциальное влияние, если атака будет успешной, и вероятность того, что оповещение будет истинно положительным. Полный список типов оповещений и назначенных им уровней серьезности см. в статье Сопоставление имен оповещений системы безопасности и уникальные внешние идентификаторы.
Состояние Вы можете отфильтровать список оповещений по их состоянию. Например, можно отфильтровать только оповещения, которые являются Новыми, Выполняется или Разрешено.
Источники обнаружения Оповещения можно фильтровать по следующим источникам обнаружения: Microsoft Defender для удостоверений или Microsoft Defender XDR
Tags Оповещения можно фильтровать по тегам, назначенным оповещениям.

Просмотр оповещения

Вы можете получить доступ к отдельным оповещениям из нескольких расположений, выбрав имя оповещения из любого из следующих вариантов:

  • Страница "Оповещения"
  • Страница инцидентов
  • Страница "Удостоверения"
  • Страницы отдельных устройств
  • Страница "Расширенная охота"

Страница оповещений

Страница оповещений предоставляет контекст в оповещении путем объединения сигналов атаки и оповещений, связанных с выбранным оповещением, для создания подробной истории оповещений. Страница оповещений помогает быстро рассмотреть, исследовать и принять эффективные меры по оповещениям.

Примечание.

Microsoft Defender для удостоверений оповещения в настоящее время отображаются в двух разных макетах на портале Microsoft Defender XDR. Хотя в представлениях оповещений отображаются разные сведения, все оповещения основаны на обнаружении с датчиков Defender для удостоверений. Различия в макете и информации являются частью текущего перехода к единому интерфейсу оповещений в Microsoft Defender продуктах.

Чтобы просмотреть оповещения из Defender для удостоверений и Defender XDR, выберите Фильтр, а затем в разделе Источники служб выберите Microsoft Defender для удостоверений и Defender XDR и нажмите кнопку Применить:

Снимок экрана: меню фильтрации оповещений для каждой службы.

оповещения Microsoft Defender для удостоверений

В верхней части страницы находятся разделы для учетных записей, конечного узла и исходного узла оповещения. В зависимости от оповещения могут отображаться сведения о дополнительных узлах, учетных записях, IP-адресах, доменах и группах безопасности. Выберите любой из них, чтобы получить дополнительные сведения о задействованных сущностях.

  • В разделе "История оповещений " содержатся сведения, чтобы предоставить полную историю с подробными сведениями об оповещении. История оповещений состоит из двух разделов:
    • Что произошло, включает в себя временная шкала оповещения и сущности, участвующие в оповещении.
    • Граф оповещений предоставляет визуальное представление оповещения, включая сущности, участвующие в оповещении, и их связи. Граф помогает понять, как связаны сущности и как они связаны с оповещением.
  • Важная информация предоставляет технический контекст, поддерживающий исследование оповещений. Эти сведения можно использовать для проверки того, было ли действие ожидаемым или подозрительным, и решить, какие действия следует предпринять для сдерживания или эскалации инцидента.
  • Сведения об активности содержат подробные сведения, включая метку времени, базовый объект, область поиска и другие сведения об оповещении.
  • В области сведений в правой части страницы содержатся дополнительные сведения об оповещении, включая сведения об оповещении, комментарии & журнал. Область сведений также предоставляет дополнительные параметры, такие как:
    • Управление оповещениями
    • Оповещение об экспорте
    • Перемещение оповещений в другой инцидент
    • Классификация оповещения

Снимок экрана: структура оповещений Defender для удостоверений.

оповещения Microsoft Defender XDR

В верхней части страницы находятся разделы для учетных записей, конечного узла и исходного узла оповещения. В зависимости от оповещения могут отображаться кнопки для получения сведений о дополнительных узлах, учетных записях, IP-адресах, доменах и группах безопасности. Выберите любой из них, чтобы получить дополнительные сведения о задействованных сущностях.

  • В разделе "История оповещений " содержатся сведения, чтобы предоставить полную историю с подробными сведениями об оповещении. История оповещений состоит из двух разделов:
    • Что произошло, включает в себя временная шкала оповещения и сущности, участвующие в оповещении.
  • В области сведений в правой части страницы содержатся дополнительные сведения об оповещении, включая сведения об оповещении, комментарии & журнал. Область сведений также предоставляет дополнительные параметры, такие как:
    • Управление оповещениями
    • Перемещение оповещений в другой инцидент
    • Классификация оповещения

Снимок экрана: структура оповещений Defender для XDR

Управление оповещениями системы безопасности

При выборе оповещения откроется панель Управление оповещениями, где можно выполнить следующие действия:

Изменение состояния оповещения

Оповещения можно классифицировать как Новые, Выполняется или Разрешено, изменив их состояние по мере выполнения исследования. Это помогает упорядочить и управлять тем, как ваша команда может реагировать на оповещения. Например, руководитель группы может просмотреть все новые оповещения и решить назначить их очереди Выполняется для дальнейшего анализа. Руководитель группы может назначить оповещение в очередь Разрешено, если он знает, что оповещение является небезопасным или поступает с устройства, которое не имеет значения (например, принадлежит администратору безопасности) или рассматривается через более раннее оповещение.

Перемещение оповещения в другой инцидент

Вы можете создать новый инцидент из оповещения или ссылки на существующий инцидент.

Снимок экрана: параметр перемещения оповещения в другой инцидент.

Назначение оповещений

Если оповещение еще не назначено, можно выбрать Назначить мне, чтобы назначить оповещение себе.

Снимок экрана, на котором показано, как назначить оповещение себе.

Добавление комментариев к оповещению

Вы можете добавить комментарии к оповещению, чтобы предоставить дополнительный контекст или информацию. Это полезно для обмена аналитическими сведениями с командой или документирования процесса исследования. Каждый раз, когда в оповещение вносится изменение или комментарий, оно записывается в разделе Примечания и журнал.

Снимок экрана: раздел

Классификация оповещений системы безопасности

Для каждого оповещения задайте следующие вопросы, чтобы определить классификацию оповещений и решить, что делать дальше:

  1. Является ли оповещение системы безопасности TP, B-TP или FP?
  2. Насколько распространено это конкретное оповещение системы безопасности в вашей среде?
  3. Было ли оповещение активировано теми же типами компьютеров или пользователей? Например, серверы с той же ролью или пользователи из одной группы или отдела? Если компьютеры или пользователи были похожи, вы можете исключить их, чтобы избежать дополнительных оповещений FP в будущем.

После надлежащего исследования все оповещения системы безопасности Defender для удостоверений можно классифицировать как один из следующих типов действий:

  • True positive (TP): вредоносное действие, обнаруженное Defender для удостоверений.

  • Доброкачественный истинно положительный результат (B-TP): действие, обнаруженное Defender для удостоверений, которое является реальным, но не вредоносным, например тест на проникновение или известное действие, созданное утвержденным приложением.

  • Ложноположительные срабатывания (FP): ложное оповещение, означающее, что действие не произошло.

Снимок экрана, на котором показано, как классифицировать оповещение как истинное или ложное.

Примечание.

Увеличение количества оповещений того же типа обычно снижает уровень подозрительности или важности оповещения. Для повторных оповещений проверьте конфигурации и используйте сведения и определения оповещений системы безопасности, чтобы точно понять, что происходит, что вызывает повторения.

Настройка оповещений

Настройте оповещения, чтобы настроить и оптимизировать их, уменьшая количество ложных срабатываний. Настройка оповещений позволяет командам SOC сосредоточиться на высокоприоритетных оповещениях и улучшить охват обнаружения угроз в вашей системе. В Microsoft Defender XDR создайте условия правила на основе типов доказательств, а затем примените правило к любому типу правил, который соответствует вашим условиям.

Дополнительные сведения см. в разделе Настройка оповещения.

Связанные материалы