Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Важно!
Некоторые сведения в этой статье относятся к предварительно выпущенным продуктам, которые могут быть существенно изменены до его коммерческого выпуска. Корпорация Майкрософт не дает явных или подразумеваемых гарантий относительно предоставленных здесь сведений.
Портал Microsoft Defender объединяет связанные оповещения, ресурсы, расследования и доказательства со всех ваших ресурсов в единый инцидент, чтобы предоставить полное представление обо всем масштабе атаки.
В инциденте вы анализируете оповещения, понимаете, что они означают, и собираете доказательства, чтобы создать эффективный план исправления.
Первоначальное исследование
Прежде чем углубляться в детали, ознакомьтесь с характеристиками и полной историей атаки, связанной с этим инцидентом.
Для начала можно выбрать строку инцидента, но не выбрать имя инцидента. Откроется панель сводки с ключевыми сведениями об инциденте, включая оценку приоритета, факторы, влияющие на оценку приоритета, сведения об инциденте, рекомендуемые действия и связанные с ними угрозы. Используйте стрелки вверх и вниз в верхней части панели, чтобы перейти к предыдущему или следующему инциденту в очереди инцидентов.
Здесь можно выбрать Открыть страницу инцидента. Откроется главная страница инцидента, где вы найдете полную информацию об атаках и вкладки для оповещений, устройств, пользователей, расследований и доказательств. Вы также можете открыть главную страницу инцидента, выбрав имя инцидента из очереди инцидентов.
Примечание.
Когда пользователи с подготовленным доступом к Microsoft Security Copilot открывают инцидент, они видят панель Copilot в правой части экрана. Copilot предоставляет аналитические сведения и рекомендации в режиме реального времени, которые помогут вам исследовать инциденты и реагировать на них. Дополнительные сведения см. в разделе Microsoft Copilot в Microsoft Defender.
История атаки
Истории атак помогают быстро просматривать, исследовать и устранять атаки, просматривая полную историю атаки на той же вкладке. Используя историю атаки, вы можете просмотреть сведения о сущности и выполнить действия по исправлению, такие как удаление файла или изоляция устройства без потери контекста.
В следующем видео кратко описывается история атаки.
В истории атаки можно найти страницу оповещений и график инцидентов.
Страница оповещения об инциденте содержит следующие разделы:
История оповещений, которая включает в себя:
- Что случилось
- Выполняемые действия
- Связанные события
Свойства оповещений в правой области (состояние, сведения, описание и т. д.)
Не каждое оповещение содержит все перечисленные подразделы в разделе История оповещения .
На диаграмме показано полное область атаки, как атака распространилась по вашей сети с течением времени, где она началась и как далеко зашел злоумышленник. Он связывает различные подозрительные сущности, которые являются частью атаки, с соответствующими ресурсами, такими как пользователи, устройства и почтовые ящики.
На графике можно:
Воспроизведите оповещения и узлы на графике в порядке их появления во времени, чтобы понять хронологию атаки.
Откройте область сущностей, чтобы просмотреть сведения о сущности и выполнить действия по исправлению, такие как удаление файла или изоляция устройства.
Выделите оповещения в зависимости от сущности, к которой они относятся.
Поиск сведений об сущности устройства, файла, IP-адреса, URL-адреса, пользователя, электронной почты, почтового ящика или облачного ресурса.
Иди на охоту
Действие go hunt использует функцию расширенного поиска для поиска нужной информации о сущности. Запрос go hunt проверяет соответствующие таблицы схем на наличие любых событий или оповещений, связанных с конкретной сущностью, которую вы изучаете. Чтобы найти нужную информацию о сущности, выберите один из следующих вариантов:
- Просмотр всех доступных запросов — возвращает все доступные запросы для исследуемого типа сущности.
- Все действия — возвращает все действия, связанные с сущностью, предоставляя полное представление о контексте инцидента.
- Связанные оповещения — выполняет поиск и возвращает все оповещения безопасности, связанные с определенным объектом, чтобы вы не пропустили важную информацию.
- Все аномалии пользователей (предварительная версия) — возвращает все аномалии, связанные с пользователем за последние 30 дней, помогая выявить необычное поведение, которое может иметь отношение к инциденту. Этот параметр доступен только для пользовательских сущностей, если включена функция Microsoft Sentinel: "Аналитика поведения пользователей и сущностей" (UEBA).
Вы можете связать полученные журналы или оповещения с инцидентом, выбрав результат, а затем выбрав Ссылку на инцидент.
Если заданное правило аналитики создало инцидент или связанные оповещения, можно также выбрать Выполнить запрос , чтобы просмотреть другие связанные результаты.
Анализ радиуса взрыва
Анализ радиуса взрыва — это расширенная визуализация графа, интегрированная в процесс исследования инцидентов. Построенная на инфраструктуре озера данных и графов Microsoft Sentinel, она создает интерактивный граф, показывающий возможные пути распространения от выбранного узла к заранее определенным критически важным целям в пределах прав доступа пользователя.
Примечание.
Анализ радиуса взрыва расширяет и заменяет анализ путей атаки.
Граф радиуса взрыва предоставляет уникальное унифицированное представление информации о предварительном и последующем нарушении на странице инцидента. Во время расследования инцидента аналитики могут увидеть текущее влияние нарушения и возможное влияние в будущем на одном консолидированном графике. Так как он интегрирован в граф инцидентов, граф радиуса взрыва помогает группам безопасности быстрее понять область инцидента безопасности и улучшить свои защитные меры, чтобы снизить вероятность широкомасштабного ущерба. Анализ радиуса взрыва помогает аналитикам лучше оценить риск для высоко оцененных целей и понять влияние на бизнес.
Для использования графа радиуса взрыва требуются следующие предварительные требования:
- Необходимо быть подключенным к озеру данных Microsoft Sentinel. Дополнительные сведения см. в статье Подключение к озеру данных и графу Microsoft Sentinel.
- Разрешение на управление экспозицией (чтение) или выше. Дополнительные сведения см. в статье Управление разрешениями с помощью Microsoft Defender унифицированного управления доступом на основе ролей (RBAC).
Важно!
Пути атак и функции радиуса взрыва вычисляются на основе доступных данных среды организации. Значение в графе увеличивается по мере того, как для его вычисления будет доступно больше данных. Если не включить дополнительные рабочие нагрузки или полностью определить критически важные ресурсы, графы радиуса взрыва не будут полностью представлять риски для окружающей среды. Дополнительные сведения об определении критически важных ресурсов см. в разделе Проверка и классификация критических ресурсов.
В следующей таблице приведены варианты использования анализа радиуса взрыва для различных ролей пользователей.
| Роль пользователя | Вариант использования |
|---|---|
| Аналитик по безопасности | Используйте анализ радиуса взрыва для расследования инцидента. Мгновенно увидите скомпрометированный компонент в центре графа и пути к потенциально скомпрометированных целевых объектов. Граф дает наглядное представление об инциденте и помогает быстро оценить потенциальный масштаб нарушения безопасности. На основе цели и путей вы можете повысить уровень реагирования и запускать меры по прерыванию, изоляции и локализации инцидента на узлах вдоль путей к цели. |
| ИТ-администраторы и инженеры SOC | Используйте анализ радиуса взрыва для мобилизации ресурсов на основе влияния на бизнес и оценку потенциального ущерба. Инженеры могут определять приоритеты наиболее критических уязвимостей, требующих немедленного внимания. Инженер может заранее выделить необходимые ресурсы на основе радиуса взрыва для критически важных целей в организации, изучив несколько узлов, отмеченных уязвимостями на карте. Инженер может четко сообщить, что было защищено и что было затронуто, а также планировать и определять приоритеты дополнительной защиты и сегментации сети, необходимые для снижения дальнейшего воздействия будущих потенциальных атак. |
| Группа реагирования на инциденты | Быстро определите область инцидента с динамической визуальной картой инцидентов, позволяющей выполнять целевые действия в системах, указанных на графике. |
| CISO или руководители по безопасности | Используйте функцию радиуса взрыва, чтобы указать текущее состояние, задать цели и индикаторы метрик, а также использовать ее для создания отчетов и аудита по соображениям соответствия требованиям. Эту функцию можно использовать для отслеживания хода выполнения действий по защите и инвестиций в меры защиты. |
Просмотр графиков радиуса взрыва
После выбора инцидента из списка на странице Инциденты в представлении графа отображаются сущности и ресурсы, участвующие в инциденте.
Выберите узел, чтобы открыть контекстное меню, а затем выберите Вид радиуса взрыва. Если путь радиуса взрыва не найден, в пункте меню отображается значение Нет радиуса взрыва.
Чтобы увидеть область влияния отдельного узла в группе, используйте переключатель ungroup над сеткой, чтобы показать все узлы.
Отображается новое представление графа с восемью путями атаки с наивысшим рейтингом. Полный список путей отображается на правой боковой панели, если над графиком выбрать Просмотреть полный список области влияния. Из списка доступных целевых объектов можно дополнительно изучить путь, выбрав один из перечисленных целевых объектов. На правой панели показан потенциальный путь от точки входа к этому целевому объекту. Некоторые узлы могут не иметь пути, связанные с ними.
Описание значков, используемых для узлов и ребер в графе радиуса взрыва, см. в статье Общие сведения о графах и визуализациях в Microsoft Defender.
Выберите Просмотреть список радиусов взрыва , чтобы просмотреть список целевых ресурсов. Выберите целевой ресурс из списка, чтобы просмотреть сведения о нем и возможные пути атаки. При выборе значков в подключениях отображаются дополнительные сведения о подключении.
Когда пути приводят к сгруппированных целевых объектов одного типа, для просмотра дискретных путей к целевым объектам выберите сгруппированные значки. Откроется панель справа, на которой отображаются все целевые объекты в группе. При установке флажка слева и нажатии кнопки Развернуть вверху каждый целевой объект и его пути отображаются по отдельности.
Скройте граф радиуса взрыва и вернитесь к исходному графу инцидентов, выбрав узел и выбрав Скрыть радиус взрыва.
Ограничения
К графу радиуса взрыва применяются следующие ограничения:
Ограничения длины пути (область анализа). Вычисления длины графа радиуса взрыва ограничены до семи прыжков от исходного узла. Радиус взрыва — это приблизительное приближение к полному охвату атаки. Максимальное количество прыжков зависит от среды:
- Пять прыжков для облака
- Пять переходов для локальной инфраструктуры
- Три перехода к гибридной среде
Актуальность данных: Задержки могут существовать между изменением в среде организации и отражением этого изменения в графе радиуса взрыва. В течение этого времени модель может быть неполной.
Возможные пути: На графе радиуса взрыва показаны возможные пути. Это не гарантирует, что злоумышленник будет использовать все указанные пути.
Известные векторы атак: Граф основан на известных векторах атак. Если злоумышленники найдут новое боковое движение или новую технику, которую еще предстоит смоделировать, она не будет отображаться на графе радиуса взрыва.
Области пользователей: Отображаемый график основан на допустимых областях для просматриваемого пользователя. Граф показывает только те узлы и рёбра, которые доступны пользователю в соответствии с заданными параметрами RBAC и настройками разграничения доступа. Пути, содержащие узлы или ребра вне области видимости, не отображаются.
Изолированные узлы: Несвязанные узлы могут отображаться в графе из-за изменений, происходящих между моментом сбора данных и моментом вычисления радиуса воздействия.
Сведения об инциденте
Сведения об инциденте можно просмотреть на правой панели страницы инцидента. Сведения об инциденте включают назначение инцидента, идентификатор, классификацию, категории, а также дату и время первого и последнего действия. Он также содержит описание инцидента, затронутых ресурсов, активных оповещений и, если применимо, связанных угроз, рекомендаций, а также сводки и влияния на прерывание работы. Ниже приведен пример сведений об инциденте, где выделено описание инцидента.
Описание инцидента содержит краткий обзор инцидента. В некоторых случаях в качестве описания инцидента используется первое оповещение в инциденте. В этом случае описание отображается только в портале и не сохраняется в журнале операций, таблицах расширенного поиска или в Microsoft Sentinel на портале Azure.
Совет
Microsoft Sentinel клиенты также могут просматривать и перезаписывать одно и то же описание инцидента в портал Azure, задавая описание инцидента с помощью API или автоматизации.
Фильтрация и фокусировка графа инцидентов (предварительная версия)
Используйте фильтры для очень крупных инцидентов с большим количеством оповещений и сущностей или скрывайте определенные сущности, чтобы упростить сложные графы инцидентов. Упрощая график, вы можете сосредоточиться на том, что важнее всего.
Чтобы отфильтровать граф инцидентов, выполните приведенные далее действия.
Выберите Добавить фильтр над графом инцидентов.
Выберите любое из следующих доступных условий фильтра, а затем нажмите кнопку Добавить:
- Уровень серьезности: Отображать оповещения с высоким, средним или низким уровнем серьезности.
- Статус: Отображает новые, находящиеся в работе или решенные оповещения.
- Источники служб: Отображает оповещения от определенных служб, таких как Microsoft Defender для конечной точки, Microsoft Defender для удостоверений, Microsoft Defender для Office 365 и других.
Для каждого добавленного критерия фильтра выберите элементы, которые нужно отфильтровать, а затем нажмите кнопку Применить.
Примечание.
Если все сущности отфильтрованы, появится пустое сообщение о состоянии. Настройте фильтры для просмотра соответствующих сущностей.
Чтобы скрыть определенные типы сущностей, выполните следующие действия:
Выберите Типы сущностей над графом инцидентов.
Снимите флажки для типов сущностей, которые нужно скрыть, например файл или пользователь. Граф перерисовывает себя без этих сущностей.
Оповещения
На вкладке Оповещения можно просмотреть очередь оповещений для оповещений, связанных с инцидентом, и другую информацию о них, например следующие сведения:
- Серьезность оповещений.
- Сущности, которые были задействованы в оповещении.
- Источник оповещений (Defender для идентификации, Defender для конечных точек, Defender для Office 365, Microsoft Defender for Cloud Apps и надстройка для управления приложениями).
- Причина связывания оповещений.
По умолчанию вы видите оповещения в хронологическом порядке, чтобы понять, как атака развивалась с течением времени. При выборе оповещения в инциденте Microsoft Defender XDR отображает сведения об оповещении, относящиеся к контексту общего инцидента.
Вы можете просмотреть события оповещения, которые вызвали текущее оповещение, а также все затронутые сущности и действия, связанные с атакой, включая устройства, файлы, пользователей, облачные приложения и почтовые ящики.
Дополнительные сведения см. в статье Исследование оповещений.
Примечание.
Если у вас есть доступ к Управление внутренними рисками Microsoft Purview, вы можете просматривать оповещения об управлении внутренними рисками и управлять ими, а также искать события управления внутренними рисками на портале Microsoft Defender. Дополнительные сведения см. в статье Исследование угроз внутренних рисков на портале Microsoft Defender.
Действия
На вкладке Действия отображается единая временная шкала всех ручных и автоматических действий, выполняемых в рамках инцидента. Вы можете выполнять фильтрацию по источнику, категории, поставщику, триггеру, состоянию действия, состоянию политики, типу, имени целевого объекта, целевому типу или выполнено. Вы также можете получить доступ к этим сведениям в виде боковой панели в журнале действий.
С помощью вкладки Действия аналитики могут анализировать и расследовать инциденты. Этот процесс включает выявление ключевых шагов, выполняемых людьми и автоматизированными системами, проверку последних изменений (например, тегов, слияний и обновлений уровня серьёзности), просмотр комментариев и передач задач, изучение подробных метаданных в боковых панелях, а также отслеживание автоматизированных рабочих процессов, запускаемых правилами автоматизации, плейбуками или агентами.
Ресурсы
Легко просматривайте все ресурсы и управляйте ими в одном месте с помощью вкладки Активы . Это единое представление включает устройства, пользователей, почтовые ящики и приложения.
На вкладке Активы отображается общее количество ресурсов рядом с его именем. При выборе вкладки Активы отображается список различных категорий с количеством ресурсов в каждой категории.
Устройства
В представлении Устройства перечислены все устройства, связанные с инцидентом.
При выборе устройства из списка открывается панель, которую можно использовать для управления выбранным устройством. Вы можете быстро экспортировать теги, управлять тегами, инициировать автоматическое исследование и многое другое.
Вы можете выбрать значок флажка рядом с устройством, чтобы просмотреть сведения об устройстве, данные каталога, активные оповещения и пользователей, вошедших в систему. Выберите имя устройства, чтобы просмотреть сведения об устройстве в списке устройств Defender для конечной точки.
На странице устройства можно собрать дополнительные сведения об устройстве, например все его оповещения, временная шкала и рекомендации по безопасности. Например, на вкладке Временная шкала можно прокручивать временную шкалу устройства и просматривать все события и действия, зафиксированные на устройстве в хронологическом порядке, вперемежку с вызванными оповещениями.
Пользователи
В представлении Пользователи перечислены все пользователи, которые были определены как часть инцидента или связанные с ним.
Установите флажок рядом с пользователем, чтобы просмотреть сведения об угрозах учетной записи пользователя, уязвимостях и контактных данных. Выберите имя пользователя, чтобы просмотреть дополнительные сведения об учетной записи пользователя.
Сведения о том, как просматривать дополнительные сведения о пользователях и управлять пользователями инцидента, см. в статье Исследование пользователей.
Почтовые ящики
В представлении Почтовые ящики перечислены все почтовые ящики, которые были определены как часть инцидента или связанные с ним.
Выберите галочку рядом с почтовым ящиком, чтобы просмотреть список активных оповещений. Выберите имя почтового ящика, чтобы увидеть дополнительные сведения о нем на странице Explorer в Defender для Office 365.
Приложения
В представлении Приложения перечислены все приложения, которые определены как часть инцидента или связаны с ним.
Выберите флажок рядом с приложением, чтобы просмотреть список активных оповещений. Выберите название приложения, чтобы просмотреть дополнительные сведения на странице "Обозреватель" в Defender for Cloud Apps.
Облачные ресурсы
В представлении Облачные ресурсы перечислены все облачные ресурсы, которые являются частью инцидента или связаны с ним.
Установите флажок рядом с облачным ресурсом, чтобы увидеть сведения о ресурсе и список активных оповещений. Выберите Открыть страницу облачных ресурсов, чтобы просмотреть дополнительные сведения и просмотреть его полные сведения в Microsoft Defender для облака.
Исследования
На вкладке Исследования перечислены все автоматизированные расследования , вызванные оповещениями в этом инциденте. В зависимости от того, как вы настраиваете автоматические исследования для запуска в Defender для конечной точки и Defender для Office 365, автоматические исследования выполняют действия по исправлению или ожидают утверждения аналитиком действий.
Выберите исследование, чтобы перейти на страницу сведений о нем, чтобы получить полную информацию о состоянии исследования и исправления. Если какие-либо действия требуют утверждения в рамках исследования, они отображаются на вкладке Ожидающие действия . Выполните действия в рамках исправления инцидента.
На вкладке "График исследования " отображается следующее:
- Подключение оповещений к затронутым ресурсам в организации.
- Какие сущности связаны с какими оповещениями и какую роль они играют в сценарии атаки.
- Оповещения об инциденте.
Граф расследования помогает быстро понять полный масштаб атаки, связывая различные подозрительные объекты, являющиеся частью атаки, со связанными ресурсами, такими как пользователи, устройства и почтовые ящики.
Дополнительные сведения см. в статье Автоматическое исследование и реагирование в Microsoft Defender XDR.
Доказательства и ответ
На вкладке Доказательства и ответ отображаются все поддерживаемые события и подозрительные сущности в оповещениях в инциденте.
Microsoft Defender XDR автоматически исследует все поддерживаемые события инцидентов и подозрительные сущности в оповещениях, предоставляя вам сведения о важных сообщениях электронной почты, файлах, процессах, службах, IP-адресах и многом другом. Это помогает быстро обнаруживать и блокировать потенциальные угрозы в инциденте.
Каждая анализируемая сущность помечается вердиктом (вредоносный, подозрительный, чистый) и состоянием исправления. Эти сведения помогут вам понять состояние исправления всего инцидента и дальнейшие действия, которые можно предпринять.
Утверждение или отклонение действий по исправлению
Для инцидентов со статусом исправления Ожидает утверждения на вкладке «Доказательства и реагирование» можно утвердить или отклонить действие исправления, открыть его в Обозревателе или начать поиск угроз.
Сводка
Используйте страницу Сводка , чтобы оценить относительную важность инцидента и быстро получить доступ к связанным оповещениям и затронутым сущностям. На странице Сводка вы увидите краткий обзор самых важных сведений об инциденте.
Сведения организованы по этим разделам.
| Раздел | Описание |
|---|---|
| Оповещения и категории | Визуальное и количественное представление того, насколько далеко продвинулась атака по цепочке атак. Как и в случае с другими продуктами майкрософт по обеспечению безопасности, Microsoft Defender XDR согласованы с платформой MITRE ATT&CK™. На временной шкале оповещений показан хронологический порядок, в котором возникали оповещения, а также состояние и название каждого из них. |
| Scope | Отображает количество затронутых устройств, пользователей и почтовых ящиков. В нем перечислены сущности в порядке уровня риска и приоритета исследования. |
| Оповещения | Отображает оповещения, связанные с инцидентом. |
| Свидетельство | Отображает количество сущностей, затронутых инцидентом. |
| Сведения об инциденте | Отображает свойства инцидента, такие как теги, состояние и серьезность. |
Аналогичные инциденты
Некоторые инциденты могут иметь аналогичные инциденты, перечисленные на странице Аналогичные инциденты . В этом разделе показаны инциденты с похожими оповещениями, сущностями и другими свойствами. Это сходство поможет вам понять область атаки и выявить другие инциденты, которые могут быть связаны.
Совет
Defender Boxed — серия карточек, демонстрирующих успехи в области безопасности, улучшения и действия по реагированию вашей организации за последние шесть месяцев или год, отображается в течение ограниченного времени в январе и июле каждого года. Узнайте, как можно поделиться яркими моментами Defender Boxed.
Дальнейшие действия
При необходимости ознакомьтесь со следующими ресурсами:
См. также
Совет
Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.