Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Портал Microsoft Defender представляет связанные оповещения, ресурсы, расследования и доказательства из всех ваших активов в инцидент, чтобы дать вам полное представление обо всем спектре атаки.
В инциденте вы анализируете оповещения, понимаете, что они означают, и собираете доказательства, чтобы можно было разработать эффективный план исправления.
Первоначальное исследование
Прежде чем углубляться в детали, ознакомьтесь со свойствами и всей историей атаки инцидента.
Для начала можно выбрать строку инцидента, но не выбрать имя инцидента. Откроется панель сводки с ключевыми сведениями об инциденте, включая оценку приоритета, факторы, влияющие на оценку приоритета, сведения об инциденте, рекомендуемые действия и связанные с ними угрозы. Используйте стрелки вверх и вниз в верхней части панели, чтобы перейти к предыдущему или следующему инциденту в очереди инцидентов.
Здесь можно выбрать Открыть страницу инцидента. Откроется главная страница инцидента, где вы найдете полную информацию об атаках и вкладки для оповещений, устройств, пользователей, расследований и доказательств. Вы также можете открыть главную страницу инцидента, выбрав имя инцидента из очереди инцидентов.
Примечание.
Пользователи с подготовленным доступом к Microsoft Security Copilot видят панель Copilot в правой части экрана при открытии инцидента. Copilot предоставляет аналитические сведения и рекомендации в режиме реального времени, которые помогут вам исследовать инциденты и реагировать на них. Дополнительные сведения см. в разделе Microsoft Copilot в Microsoft Defender.
История атаки
Истории атак помогают быстро просматривать, исследовать и устранять атаки, просматривая полную историю атаки на той же вкладке. Он также позволяет просматривать сведения о сущности и выполнять действия по исправлению, такие как удаление файла или изоляция устройства без потери контекста.
История атаки кратко описана в следующем видео.
В истории атаки можно найти страницу оповещений и график инцидентов.
Страница оповещения об инциденте содержит следующие разделы:
История оповещений, которая включает в себя:
- Что случилось
- Выполняемые действия
- Связанные события
Свойства оповещений в правой области (состояние, сведения, описание и т. д.)
Не каждое оповещение содержит все перечисленные подразделы в разделе История оповещения .
На диаграмме показано полное область атаки, как атака распространилась по вашей сети с течением времени, где она началась и как далеко зашел злоумышленник. Он связывает различные подозрительные сущности, которые являются частью атаки, с соответствующими ресурсами, такими как пользователи, устройства и почтовые ящики.
На графе можно:
Воспроизведение оповещений и узлов на графе по мере их возникновения с течением времени, чтобы понять хронологию атаки.
Откройте область сущностей, чтобы просмотреть сведения о сущности и выполнить действия по исправлению, такие как удаление файла или изоляция устройства.
Выделите оповещения на основе сущности, с которой они связаны.
Поиск сведений об сущности устройства, файла, IP-адреса, URL-адреса, пользователя, электронной почты, почтового ящика или облачного ресурса.
Запуск слежения
Действие go hunt использует расширенную функцию охоты для поиска релевантной информации о сущности. Запрос go hunt проверяет соответствующие таблицы схем на наличие любых событий или оповещений с участием конкретной сущности, которую вы изучаете. Вы можете выбрать любой из параметров, чтобы найти соответствующую информацию о сущности:
- Просмотр всех доступных запросов — параметр возвращает все доступные запросы для исследуемого типа сущности.
- Все действия — запрос возвращает все действия, связанные с сущностью, предоставляя полное представление контекста инцидента.
- Связанные оповещения — запрос ищет и возвращает все оповещения системы безопасности, связанные с определенной сущностью, гарантируя, что вы не пропустите никаких сведений.
- Все аномалии пользователей (предварительная версия) — запрос возвращает все аномалии, связанные с пользователем за последние 30 дней, помогая выявить необычное поведение, которое может иметь отношение к инциденту. Доступно только для сущностей пользователей, если вы включили Microsoft Sentinel Аналитика поведения пользователей и сущностей (UEBA).
Результирующие журналы или оповещения можно связать с инцидентом, выбрав результат, а затем выбрав Ссылку на инцидент.
Если инцидент или связанные оповещения были результатом заданного правила аналитики, можно также выбрать Выполнить запрос , чтобы просмотреть другие связанные результаты.
Важно!
Некоторые сведения в этой статье относятся к предварительно выпущенным продуктам, которые могут быть существенно изменены до его коммерческого выпуска. Корпорация Майкрософт не дает явных или подразумеваемых гарантий относительно предоставленных здесь сведений.
Анализ радиуса взрыва
Анализ радиуса взрыва — это расширенная визуализация графа, интегрированная в процесс исследования инцидентов. Созданная на основе Microsoft Sentinel инфраструктуры озера данных и графов, она создает интерактивный граф, показывающий возможные пути распространения от выбранного узла к предопределенным критическим целевым объектам с областью разрешений пользователя.
Примечание.
Анализ радиуса взрыва расширяет и заменяет анализ путей атаки.
Граф радиуса взрыва предоставляет уникальное унифицированное представление информации о предварительном и последующем нарушении на странице инцидента. Во время расследования инцидента аналитики могут увидеть текущее влияние нарушения и возможное влияние в будущем на одном консолидированном графике. Так как он интегрирован в граф инцидентов, граф радиуса взрыва помогает группам безопасности быстрее понять область инцидента безопасности и улучшить свои защитные меры, чтобы снизить вероятность широкомасштабного ущерба. Анализ радиуса взрыва помогает аналитикам лучше оценить риск для высоко оцененных целей и понять влияние на бизнес.
Для использования графа радиуса взрыва требуются следующие предварительные требования:
- Необходимо подключиться к Microsoft Sentinel озера данных. Дополнительные сведения см. в статье Подключение к Microsoft Sentinel озера данных и графа.
- Разрешение на управление экспозицией (чтение) или более высокое. Дополнительные сведения см. в статье Управление разрешениями с помощью Microsoft Defender XDR единого управления доступом на основе ролей (RBAC).
Важно!
Пути атак и функции радиуса взрыва вычисляются на основе доступных данных среды организации. Значение в графе увеличивается по мере того, как для его вычисления будет доступно больше данных. Если никакие другие рабочие нагрузки не включены или критически важные ресурсы не определены полностью, графы радиуса взрыва не будут полностью представлять риски для окружающей среды. Дополнительные сведения об определении критически важных ресурсов см. в разделе Проверка и классификация критических ресурсов.
В следующей таблице приведены варианты использования анализа радиуса взрыва для различных ролей пользователей.
| Роль пользователя | Вариант использования |
|---|---|
| Аналитик по безопасности | Используйте анализ радиуса взрыва для расследования инцидента. Мгновенно увидите скомпрометированный компонент в центре графа и пути к потенциально скомпрометированных целевых объектов. График обеспечивает интуитивное визуальное представление об инциденте и помогает быстро узнать потенциальные область нарушения. В зависимости от целевого объекта и путей можно выполнять эскалацию и активировать действия для нарушения, изоляции и сдерживания инцидента на узлах, расположенных вдоль путей к целевому объекту. |
| ИТ-администраторы и инженеры SOC | Используйте анализ радиуса взрыва для мобилизации ресурсов на основе влияния на бизнес и оценку потенциального ущерба. Инженеры могут определять приоритеты наиболее критических уязвимостей, требующих немедленного внимания. Инженер может заранее выделить необходимые ресурсы на основе радиуса взрыва для критически важных целей в организации, изучив несколько узлов, отмеченных уязвимостями на карте. Инженер может четко сообщить, что было защищено и что было затронуто, а также планировать и определять приоритеты дополнительной защиты и сегментации сети, необходимые для снижения дальнейшего воздействия будущих потенциальных атак. |
| Группа реагирования на инциденты | Быстро определите область инцидента с динамической визуальной картой инцидентов, позволяющей выполнять целевые действия в системах, указанных на графике. |
| CISO или руководители по безопасности | Используйте функцию радиуса взрыва, чтобы указать текущее состояние, задать цели и индикаторы метрик, а также использовать ее для создания отчетов и аудита по соображениям соответствия требованиям. Эту функцию можно использовать для отслеживания хода выполнения действий по защите и инвестиций в меры защиты. |
Просмотр графиков радиуса взрыва
После выбора инцидента из списка на странице Инциденты отображается представление диаграммы с сущностями и ресурсами, участвующими в инциденте.
Выберите узел, чтобы открыть контекстное меню, а затем выберите Вид радиуса взрыва. Чтобы просмотреть радиус действия одного узла в группе, используйте переключатель разгруппировать над сеткой, чтобы отобразить все узлы.
Загружается новое представление графа, показывающее 8 путей атаки с самым рейтингом. Полный список путей отображается на правой боковой панели при выборе пункта Просмотреть полный список радиусов взрыва над диаграммой. Из списка доступных целевых объектов можно дополнительно изучить путь, выбрав один из перечисленных целевых объектов. На правой панели показан потенциальный путь от точки входа к этому целевому объекту. Некоторые узлы могут не иметь путей, связанных с ними.
Описание значков, используемых для узлов и ребер в графе радиуса взрыва, см. в статье Общие сведения о графах и визуализациях в Microsoft Defender.
Выберите Просмотреть список радиусов взрыва , чтобы просмотреть список целевых ресурсов. Выберите целевой ресурс из списка, чтобы просмотреть сведения о нем и возможные пути атаки. При выборе значков в подключениях отображаются дополнительные сведения о подключении.
Когда пути приводят к сгруппированных целевых объектов одного типа, для просмотра дискретных путей к целевым объектам выберите сгруппированные значки. Откроется панель справа, на которой отображаются все целевые объекты в группе. При выборе поля проверка слева и нажатии кнопки Развернуть в верхней части отображаются все целевые объекты и его пути отдельно.
Скройте граф радиуса взрыва и вернитесь к исходному графу инцидентов, выбрав узел и выбрав Скрыть радиус взрыва.
Ограничения
К графу радиуса взрыва применяются следующие ограничения:
Ограничения длины пути (область анализа). Вычисления длины графа радиуса взрыва ограничены до 7 прыжков от исходного узла. Радиус взрыва — это приблизительное приближение к полному охвату атаки. Максимальное количество прыжков зависит от среды:
- 5 прыжков для облака
- 5 прыжков для локальной среды
- 3 прыжка для гибридного использования
Актуальность данных: Задержки могут существовать между изменением в среде организации и отражением этого изменения в графе радиуса взрыва. В течение этого времени модель может быть неполной.
Возможные пути: На графе радиуса взрыва показаны возможные пути. Это не гарантирует, что злоумышленник примет все указанные пути.
Известные векторы атак: Граф основан на известных векторах атак. Если злоумышленники найдут новое боковое движение или новую технику, которую еще предстоит смоделировать, она не будет отображаться на графе радиуса взрыва.
Области пользователей: Отображаемый график основан на допустимых областях для просматриваемого пользователя. На графике видны только узлы и ребра, которые ограничены для пользователя на основе определенных RBAC и параметров области. Пути, содержащие узлы или ребра область, не видны.
Узлы острова: Не связанные узлы могут появиться на графе из-за изменений, которые могут произойти между временем сбора данных и вычислением радиуса взрыва.
Сведения об инциденте
Сведения об инциденте можно просмотреть на правой панели страницы инцидента. Сведения об инциденте включают назначение инцидента, идентификатор, классификацию, категории, а также дату и время первого и последнего действия. Он также включает описание инцидента, затронутых ресурсов, активных оповещений и, если применимо, сводку и влияние связанных угроз, рекомендаций и нарушений. Ниже приведен пример сведений об инциденте, где выделено описание инцидента.
Описание инцидента содержит краткий обзор инцидента. В некоторых случаях в качестве описания инцидента используется первое оповещение в инциденте. В этом случае описание отображается только на портале и не сохраняется в журнале действий, таблицах расширенной охоты или Microsoft Sentinel в портал Azure.
Совет
Microsoft Sentinel клиенты также могут просматривать и перезаписывать одно и то же описание инцидента в портал Azure, задавая описание инцидента с помощью API или автоматизации.
Оповещения
На вкладке Оповещения можно просмотреть очередь оповещений, связанных с инцидентом, и другие сведения о них, например:
- Серьезность оповещений.
- Сущности, которые были задействованы в оповещении.
- Источник оповещений (Microsoft Defender для удостоверений, Microsoft Defender для конечной точки, Microsoft Defender для Office 365, Defender for Cloud Apps, и надстройка управления приложениями).
- Причина, по которой они были связаны друг с другом.
По умолчанию оповещения упорядочивается в хронологическом порядке, чтобы вы могли видеть, как атака проходила с течением времени. При выборе оповещения в инциденте Microsoft Defender XDR отображает сведения об оповещении, относящиеся к контексту общего инцидента.
Вы можете просмотреть события оповещения, которые вызвали текущее оповещение, а также все затронутые сущности и действия, связанные с атакой, включая устройства, файлы, пользователей, облачные приложения и почтовые ящики.
Узнайте, как использовать очередь оповещений и страницы оповещений в исследовании оповещений.
Примечание.
Если у вас есть доступ к Управление внутренними рисками Microsoft Purview, вы можете просматривать оповещения об управлении внутренними рисками и управлять ими, а также искать события управления внутренними рисками на портале Microsoft Defender. Дополнительные сведения см. в статье Исследование угроз внутренних рисков на портале Microsoft Defender.
Действия
На вкладке Действия отображается единая временная шкала всех ручных и автоматических действий, выполняемых в рамках инцидента. Вы можете выполнять фильтрацию по источнику, категории, поставщику, триггеру, состоянию действия, состоянию политики, типу, имени целевого объекта, целевому типу или выполнено. Вы также можете получить доступ к этим сведениям в виде боковой панели в журнале действий.
На вкладке Действия аналитики могут анализировать и расследовать инциденты. Это включает определение ключевых шагов, выполняемых людьми и автоматизированными системами, проверку последних изменений (например, тегов, слияний, обновлений серьезности), проверку комментариев и передачи, а также проверку подробных метаданных на боковых панелях и отслеживание автоматизированных рабочих процессов, запускаемых правилами автоматизации, сборниками схем или агентами.
Ресурсы
Легко просматривайте все ресурсы и управляйте ими в одном месте с помощью вкладки Активы . Это единое представление включает устройства, пользователей, почтовые ящики и приложения.
На вкладке Активы отображается общее количество ресурсов рядом с его именем. При выборе вкладки Активы отображается список различных категорий с количеством ресурсов в этой категории.
Устройства
В представлении Устройства перечислены все устройства, связанные с инцидентом.
При выборе устройства из списка открывается панель, которая позволяет управлять выбранным устройством. Вы можете быстро экспортировать теги, управлять тегами, инициировать автоматическое исследование и многое другое.
Вы можете выбрать метку проверка для устройства, чтобы просмотреть сведения об устройстве, данные каталога, активные оповещения и вошедшего в систему пользователей. Выберите имя устройства, чтобы просмотреть сведения об устройстве в списке устройств Defender для конечной точки.
На странице устройства можно собрать дополнительные сведения об устройстве, например все его оповещения, временная шкала и рекомендации по безопасности. Например, на вкладке Временная шкала можно прокрутить временная шкала устройства и просмотреть все события и поведения, наблюдаемые на компьютере в хронологическом порядке, вперемежающемся с вызванными оповещениями.
Пользователи
В представлении Пользователи перечислены все пользователи, которые были определены как часть инцидента или связанные с ним.
Вы можете выбрать метку проверка для пользователя, чтобы просмотреть сведения об угрозе учетной записи пользователя, разоблачении и контактных данных. Выберите имя пользователя, чтобы просмотреть дополнительные сведения об учетной записи пользователя.
Узнайте, как просматривать дополнительные сведения о пользователях и управлять пользователями инцидента при расследовании пользователей.
Почтовые ящики
В представлении Почтовые ящики перечислены все почтовые ящики, которые были определены как часть инцидента или связанные с ним.
Чтобы просмотреть список активных оповещений, можно выбрать метку проверка почтового ящика. Выберите имя почтового ящика, чтобы просмотреть дополнительные сведения о почтовом ящике на странице Обозреватель для Defender для Office 365.
Приложения
В представлении Приложения перечислены все приложения, которые определены как часть инцидента или связаны с ним.
Чтобы просмотреть список активных оповещений, можно выбрать метку проверка для приложения. Выберите имя приложения, чтобы просмотреть дополнительные сведения на странице Обозреватель для Defender for Cloud Apps.
Облачные ресурсы
В представлении Облачные ресурсы перечислены все облачные ресурсы, которые определены как часть инцидента или связаны с ним.
Вы можете выбрать метку проверка для облачного ресурса, чтобы просмотреть сведения о ресурсе и список активных оповещений. Выберите Открыть страницу облачных ресурсов, чтобы просмотреть дополнительные сведения и просмотреть его полные сведения в Microsoft Defender для облака.
Исследования
На вкладке Исследования перечислены все автоматизированные расследования , вызванные оповещениями в этом инциденте. Автоматические исследования выполняют действия по исправлению или ждут утверждения действий аналитиком в зависимости от того, как вы настроили автоматические исследования для выполнения в Defender для конечной точки и Defender для Office 365.
Выберите исследование, чтобы перейти на страницу сведений о нем, чтобы получить полную информацию о состоянии исследования и исправления. Если есть какие-либо действия, ожидающие утверждения в рамках исследования, они будут отображаться на вкладке Ожидающие действия . Выполните действия в рамках исправления инцидента.
Существует также вкладка "Анализ графа ", на которую показано следующее:
- Подключение оповещений к затронутым ресурсам в организации.
- Какие сущности связаны с тем, какие оповещения и как они являются частью истории атаки.
- Оповещения об инциденте.
Граф исследования помогает быстро понять полный область атаки, соединяя различные подозрительные сущности, которые являются частью атаки, со связанными с ними ресурсами, такими как пользователи, устройства и почтовые ящики.
Дополнительные сведения см. в статье Автоматическое исследование и реагирование в Microsoft Defender XDR.
Доказательства и ответ
На вкладке Доказательства и ответ отображаются все поддерживаемые события и подозрительные сущности в оповещениях в инциденте.
Microsoft Defender XDR автоматически исследует все поддерживаемые события инцидентов и подозрительные сущности в оповещениях, предоставляя вам сведения о важных сообщениях электронной почты, файлах, процессах, службах, IP-адресах и многом другом. Это помогает быстро обнаруживать и блокировать потенциальные угрозы в инциденте.
Каждая из проанализированных сущностей помечается приговором (вредоносный, подозрительный, чистый) и состоянием исправления. Это поможет вам понять состояние исправления всего инцидента и дальнейшие действия.
Утверждение или отклонение действий по исправлению
Для инцидентов с состоянием исправления ожидание утверждения можно утвердить или отклонить действие по исправлению, открыть в Обозреватель или Перейти к поиску на вкладке Доказательства и ответ.
Сводка
Используйте страницу Сводка , чтобы оценить относительную важность инцидента и быстро получить доступ к связанным оповещениям и затронутым сущностям. На странице Сводка вы дается snapshot обзор основных сведений об инциденте.
Сведения организованы в этих разделах.
| Раздел | Описание |
|---|---|
| Оповещения и категории | Визуальное и числовое представление о том, как продвинулась атака в цепочке уничтожения. Как и в случае с другими продуктами майкрософт по обеспечению безопасности, Microsoft Defender XDR согласованы с платформой MITRE ATT&CK™. В временная шкала оповещений отображается хронологический порядок возникновения оповещений, а для каждого из них — их состояние и имя. |
| Scope | Отображает количество затронутых устройств, пользователей и почтовых ящиков, а также перечисляет сущности в порядке уровня риска и приоритета исследования. |
| Оповещения | Отображает оповещения, связанные с инцидентом. |
| Свидетельство | Отображает количество сущностей, затронутых инцидентом. |
| Сведения об инциденте | Отображает свойства инцидента, такие как теги, состояние и серьезность. |
Аналогичные инциденты
Некоторые инциденты могут иметь аналогичные инциденты, перечисленные на странице Аналогичные инциденты . В этом разделе показаны инциденты с похожими оповещениями, сущностями и другими свойствами. Это поможет вам понять область атаки и определить другие инциденты, которые могут быть связаны.
Совет
В течение января и июля каждого года в течение ограниченного времени отображается серия карточек Defender Boxed, демонстрирующих успехи в области безопасности, улучшения и действия по реагированию в вашей организации за последние шесть месяцев в год. Узнайте, как поделиться основными выделениями Defender Boxed .
Дальнейшие действия
При необходимости:
См. также
Совет
Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.