Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Viktigt
Viss information i den här artikeln gäller en i förväg släppt produkt som kan ändras avsevärt innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckta eller underförstådda, med avseende på den information som tillhandahålls här.
Microsoft Defender-portalen visar korrelerade aviseringar, tillgångar, undersökningar och bevis från alla dina tillgångar till en incident för att ge dig en omfattande inblick i hela bredden av en attack.
I en incident analyserar du aviseringarna, förstår vad de innebär och samlar in bevis så att du kan skapa en effektiv reparationsplan.
Inledande undersökning
Innan du dyker in i detaljerna, ta en titt på egenskaperna och hela attackberättelsen om incidenten.
Du kan börja med att välja incidentraden, men inte välja incidentnamnet. Ett sammanfattningsfönster öppnas med viktig information om incidenten, inklusive prioritetsbedömningen, faktorer som påverkar prioritetspoängen, incidentens information, rekommenderade åtgärder och relaterade hot. Använd upp- och nedpilarna överst i fönstret för att navigera till föregående eller nästa incident i incidentkön.
Härifrån kan du välja Öppna incidentsida. Då öppnas huvudsidan för incidenten där du hittar den fullständiga informationen och flikarna för aviseringar, enheter, användare, undersökningar och bevis. Du kan också öppna huvudsidan för en incident genom att välja incidentnamnet i incidentkön.
Obs!
När användare med etablerad åtkomst till Microsoft Security Copilot öppna en incident visas Copilot-fönstret till höger på skärmen. Copilot ger insikter och rekommendationer i realtid som hjälper dig att undersöka och reagera på incidenter. Mer information finns i Microsoft Copilot i Microsoft Defender.
Attackhistoria
Attackberättelser hjälper dig att snabbt granska, undersöka och åtgärda attacker samtidigt som du visar hela historien om attacken på samma flik. Genom att använda en attackartikel kan du granska entitetsinformationen och vidta åtgärder, till exempel att ta bort en fil eller isolera en enhet utan att förlora kontexten.
Följande video beskriver kortfattat attackberättelsen.
I attackberättelsen hittar du aviseringssidan och incidentdiagrammet.
Sidan incidentavisering innehåller följande avsnitt:
Aviseringsartikel, som omfattar:
- Vad hände
- Åtgärder som vidtagits
- Relaterade händelser
Aviseringsegenskaper i den högra rutan (tillstånd, information, beskrivning och andra)
Alla aviseringar innehåller inte alla avsnitt i listan i avsnittet Aviseringsartikel .
Diagrammet visar hela omfattningen av attacken, hur attacken spred sig genom nätverket över tid, var den startade och hur långt angriparen gick. Den kopplar samman de olika misstänkta entiteter som ingår i attacken med deras relaterade tillgångar, till exempel användare, enheter och postlådor.
Från grafen kan du:
Spela upp aviseringarna och noderna i diagrammet när de inträffade över tid för att förstå attackens kronologi.
Öppna ett entitetsfönster så att du kan granska entitetsinformationen och vidta åtgärder, till exempel att ta bort en fil eller isolera en enhet.
Markera aviseringarna baserat på den entitet som de är relaterade till.
Jaga entitetsinformation för en enhet, fil, IP-adress, URL, användare, e-post, postlåda eller molnresurs.
Gå på jakt
Go Hunt-åtgärden använder funktionen avancerad jakt för att hitta relevant information om en entitet. Go Hunt-frågan kontrollerar relevanta schematabeller efter händelser eller aviseringar som involverar den specifika entitet som du undersöker. Om du vill hitta relevant information om entiteten väljer du något av följande alternativ:
- Se alla tillgängliga frågor – returnerar alla tillgängliga frågor för den entitetstyp som du undersöker.
- All aktivitet – returnerar alla aktiviteter som är associerade med en entitet, vilket ger dig en omfattande vy över incidentens kontext.
- Relaterade aviseringar – söker efter och returnerar alla säkerhetsaviseringar som involverar en specifik entitet, så att du inte missar någon information.
- Alla användaravvikelser (förhandsversion) – returnerar alla avvikelser som är associerade med användaren från de senaste 30 dagarna, vilket hjälper dig att identifiera ovanligt beteende som kan vara relevant för incidenten. Det här alternativet är endast tillgängligt för användarentiteter om du aktiverar Microsoft Sentinel UEBA (User and Entity Behavior Analytics).
Du kan länka de resulterande loggarna eller aviseringarna till en incident genom att välja ett resultat och sedan välja Länka till incident.
Om en analysregel som du anger skapade incidenten eller relaterade aviseringar kan du också välja Kör fråga för att se andra relaterade resultat.
Analys av explosionsradie
Analys av explosionsradie är en avancerad grafvisualisering som är integrerad i incidentundersökningsupplevelsen. Den bygger på Microsoft Sentinel datasjö- och grafinfrastruktur och genererar ett interaktivt diagram som visar möjliga spridningssökvägar från den valda noden till fördefinierade kritiska mål, begränsade till användarens behörigheter.
Obs!
Analys av explosionsradie utökar och ersätter analys av attackvägar.
I diagrammet med explosionsradie får du en unik enhetlig vy över information om både prebreach och efter intrång på incidentsidan. Under en incidentundersökning kan analytiker se den aktuella effekten av ett intrång och möjliga framtida effekter i ett konsoliderat diagram. Eftersom den är integrerad i incidentdiagrammet hjälper diagrammet med explosionsradie säkerhetsteamen att bättre förstå omfattningen av säkerhetsincidenten snabbare och förbättra sina defensiva åtgärder för att minska sannolikheten för omfattande skador. Analys av explosionsradie hjälper analytiker att bättre bedöma risken för högt ansedda mål och förstå affärspåverkan.
Följande krav krävs för att använda blastradiediagrammet:
- Du måste vara registrerad för att Microsoft Sentinel datasjö. Mer information finns i Onboarding to Microsoft Sentinel data lake and graph (Onboarding to Microsoft Sentinel data lake and graph).
- Behörighet för exponeringshantering (läsbehörighet) eller högre. Mer information finns i Hantera behörigheter med Microsoft Defender enhetlig rollbaserad åtkomstkontroll (RBAC).
Viktigt
Attackvägar och funktioner för explosionsradie beräknas baserat på organisationens tillgängliga miljödata. Värdet i diagrammet ökar när mer data är tillgängliga för beräkningen. Om du inte aktiverar ytterligare arbetsbelastningar eller helt definierar kritiska tillgångar representerar inte blastradiediagram dina miljörisker fullt ut. Mer information om hur du definierar kritiska tillgångar finns i Granska och klassificera kritiska tillgångar.
I följande tabell sammanfattas användningsfallen för blastradieanalys för olika användarroller:
| Användarroll | Användningsfall |
|---|---|
| Säkerhetsanalytiker | Använd analys av explosionsradie för att undersöka en incident. Se omedelbart den komprometterade komponenten i mitten av grafen och sökvägarna till potentiellt komprometterade mål. Diagrammet ger en intuitiv visuell förståelse av incidenten och hjälper dig att snabbt lära dig omfånget för ett intrång. Baserat på målet och sökvägarna kan du eskalera och utlösa åtgärder för att störa, isolera och innehålla incidenten på noder längs sökvägarna till målet. |
| IT-administratörer och SOC-tekniker | Använd analys av explosionsradie för att mobilisera resurser baserat på påverkan på verksamheten och uppskattning av potentiella skador. Tekniker kan prioritera de mest kritiska säkerhetsrisker som kräver omedelbar uppmärksamhet. Teknikern kan proaktivt allokera de resurser som krävs baserat på explosionsradiens räckvidd till kritiska mål i organisationen genom att undersöka flera noder som markerats med sårbarheter på kartan. Teknikern kan tydligt kommunicera vad som skyddades och vad som påverkades och planera och prioritera ytterligare försvar och nätverkssegmenteringar som krävs för att minska ytterligare påverkan av framtida potentiella attacker. |
| Incidenthanteringsteam | Snabbt fastställa omfattningen av incidenten, med en dynamisk visuell incidentkarta som gör det möjligt för dem att vidta riktade åtgärder på de system som anges i diagrammet. |
| CISO eller säkerhetsledare | Använd funktionen för explosionsradie för att ange aktuell status, ange mål och måttindikatorer och använd detta för att rapportera och granska av efterlevnadsskäl. Funktionen kan användas för att spåra förloppet för att försvara åtgärder och investeringar i skyddsåtgärder. |
Visa diagram med explosionsradie
När du har valt en incident i listan på sidan Incidenter visar en grafvy de entiteter och tillgångar som är inblandade i incidenten.
Välj en nod för att öppna snabbmenyn och välj sedan Visa explosionsradie. Om ingen sökväg för explosionsradie hittas visar menyalternativet Ingen explosionsradie hittades.
Om du vill visa blastradien för en enskild nod i en grupp använder du växlingsknappen ungroup ovanför rutnätet för att visa alla noder.
En ny diagramvy läses in som visar de åtta högst rankade attackvägarna. En fullständig lista över sökvägarna visas på den högra panelen när du väljer Visa fullständig blastradielista ovanför diagrammet. I listan över nåbara mål kan du utforska sökvägen ytterligare genom att välja ett av de angivna målen. Den högra panelen visar den potentiella sökvägen från startpunkten till det här målet. Vissa noder kanske inte har sökvägar som är associerade med dem.
En förklaring av ikonerna som används för noder och kanter i blastradiediagrammet finns i Förstå grafer och visualiseringar i Microsoft Defender.
Välj Visa explosionsradielista för att se en lista över måltillgångar. Välj en måltillgång i listan för att visa dess information och potentiella attackvägar. Om du väljer märkena i anslutningar visas mer information om anslutningen.
När sökvägar leder till grupperade mål av samma typer väljer du de grupperade ikonerna för att visa diskreta sökvägar till mål. En panel på höger sida öppnas som visar alla mål i gruppen. Om du markerar kryssrutan till vänster och väljer knappen Expandera överst visas varje mål och dess sökvägar separat.
Dölj diagrammet för explosionsradie och återgå till det ursprungliga incidentdiagrammet genom att välja noden och välja Dölj explosionsradie.
Begränsningar
Följande begränsningar gäller för blastradiediagrammet:
Begränsningar för sökvägslängd (analysomfång): Beräkningar av diagramlängden för blastradie avgränsas med upp till sju hopp från källnoden. Explosionsradien är en uppskattning av hela attack räckvidden. Det maximala antalet hopp beror på miljön:
- Fem hopp för molnet
- Fem hopp för lokalt
- Tre hopp för hybrid
Data färskhet: Svarstider kan finnas mellan en ändring i organisationens miljö och återspeglingen av den ändringen i blastradiediagrammet. Under den här tiden kan modellen vara ofullständig.
Möjliga sökvägar: Diagrammet med explosionsradie visar möjliga sökvägar. Det garanterar inte att en angripare tar varje sökväg som visas.
Kända attackvektorer: Diagrammet förlitar sig på kända attackvektorer. Om angripare hittar en ny lateral förflyttning eller ny teknik som ännu inte har modellerats visas den inte i diagrammet med explosionsradie.
Användaromfattningar: Diagrammet som visas baseras på de tillåtna omfången för visningsanvändaren. Diagrammet visar endast noder och kanter som är begränsade för användaren baserat på de definierade RBAC- och omfångsinställningarna. Sökvägar som innehåller noder eller kanter utanför omfånget visas inte.
Önoder: Icke-anslutna noder kan visas i diagrammet på grund av ändringar som inträffar mellan den tid då data samlas in och beräkningen av explosionsradien.
Incidentinformation
Du kan visa information om en incident i den högra rutan på en incidentsida. Incidentinformationen omfattar incidenttilldelning, ID, klassificering, kategorier samt datum och tid för första och sista aktiviteten. Den innehåller också en beskrivning av incidenten, påverkade tillgångar, aktiva aviseringar och, i förekommande fall, relaterade hot, rekommendationer och sammanfattning och påverkan av störningar. Här är ett exempel på incidentinformationen där incidentbeskrivningen är markerad.
Incidentbeskrivningen ger en kort översikt över incidenten. I vissa fall används den första aviseringen i incidenten som incidentbeskrivning. I det här fallet visas beskrivningen endast i portalen och lagras inte i aktivitetsloggen, avancerade jakttabeller eller Microsoft Sentinel i Azure Portal.
Tips
Microsoft Sentinel kunder kan också visa och skriva över samma incidentbeskrivning i Azure Portal genom att ange incidentbeskrivningen via API eller automatisering.
Filtrera och fokusera incidentdiagrammet (förhandsversion)
Använd filter för mycket stora incidenter med många aviseringar och entiteter eller dölj specifika entiteter för att förenkla komplexa incidentdiagram. Genom att förenkla diagrammet kan du fokusera din undersökning på det som är viktigast.
Så här filtrerar du ett incidentdiagram:
Välj Lägg till filter ovanför incidentdiagrammet.
Välj något av följande tillgängliga filtervillkor och välj sedan Lägg till:
- Svårighetsgrad: Visa aviseringar med hög, medel eller låg allvarlighetsgrad.
- Status: Visa nya, pågående eller lösta aviseringar.
- Tjänstkällor: Visa aviseringar från specifika tjänster, till exempel Microsoft Defender för Endpoint, Microsoft Defender for Identity, Microsoft Defender för Office 365 och andra.
För varje filtervillkor som har lagts till väljer du de objekt som du vill filtrera och väljer sedan Använd.
Obs!
Om alla entiteter filtreras bort visas ett tomt tillståndsmeddelande. Justera dina filter för att se relevanta entiteter.
Så här döljer du specifika entitetstyper:
Välj Entitetstyper ovanför incidentdiagrammet.
Avmarkera de entitetstyper som du vill dölja, till exempel fil eller användare. Grafen ritar om sig själv utan dessa entiteter.
Varningar
På fliken Aviseringar kan du visa aviseringskö för aviseringar relaterade till incidenten och annan information om dem, till exempel följande information:
- Aviseringarnas allvarlighetsgrad.
- De entiteter som var inblandade i aviseringen.
- Källan till aviseringarna (Defender för identitet, Defender för Endpoint, Defender för Office 365, Microsoft Defender for Cloud Apps och tillägg för appstyrning).
- Anledningen till att aviseringarna länkar ihop.
Som standard ser du aviseringarna i kronologisk ordning så att du kan se hur attacken utspelade sig över tid. När du väljer en avisering inom en incident visar Microsoft Defender XDR aviseringsinformationen som är specifik för kontexten för den övergripande incidenten.
Du kan se händelserna i aviseringen, som andra utlösta aviseringar orsakade den aktuella aviseringen och alla berörda entiteter och aktiviteter som är inblandade i attacken, inklusive enheter, filer, användare, molnappar och postlådor.
Mer information finns i undersöka aviseringar.
Obs!
Om du har etablerat åtkomst till Hantering av interna risker i Microsoft Purview kan du visa och hantera aviseringar för hantering av insiderrisk och söka efter händelser för hantering av insiderrisk i Microsoft Defender-portalen. Mer information finns i Undersöka insiderriskhot i Microsoft Defender-portalen.
Aktiviteter
Fliken Aktiviteter visar en enhetlig tidslinje för alla manuella och automatiserade åtgärder som inträffar inom en incident. Du kan filtrera efter ursprung, kategori, provider, utlösare, aktivitetsstatus, principstatus, typ, målnamn, måltyp eller utförd av. Du kan också komma åt den här informationen som en sidopanel i aktivitetsloggen.
Med hjälp av fliken Aktiviteter kan analytiker prioritera och undersöka incidenter. Den här processen omfattar att identifiera viktiga steg som vidtas av människor och automatiserade system, verifiera de senaste ändringarna (till exempel taggar, sammanslagningar, allvarlighetsgradsuppdateringar), granska kommentarer och överlämnanden, inspektera detaljerade metadata i sidopaneler och följa automatiserade arbetsflöden som startas av automatiseringsregler, spelböcker eller agenter.
Tillgångar
Visa och hantera enkelt alla dina tillgångar på ett ställe med hjälp av fliken Tillgångar . Den här enhetliga vyn innehåller Enheter, Användare, Postlådor och Appar.
Fliken Tillgångar visar det totala antalet tillgångar bredvid dess namn. När du väljer fliken Tillgångar visas en lista över olika kategorier med antalet tillgångar inom varje kategori.
Enheter
I vyn Enheter visas alla enheter som är relaterade till incidenten.
När du väljer en enhet i listan öppnar du ett fält som du kan använda för att hantera den valda enheten. Du kan snabbt exportera, hantera taggar, starta automatiserad undersökning med mera.
Du kan markera bockmarkeringen för en enhet om du vill se information om enheten, katalogdata, aktiva aviseringar och inloggade användare. Välj namnet på enheten för att se enhetsinformation i enhetsinventeringen för Defender för Endpoint.
På enhetssidan kan du samla in ytterligare information om enheten, till exempel alla dess aviseringar, en tidslinje och säkerhetsrekommendationer. På fliken Tidslinje kan du till exempel bläddra igenom enhetens tidslinje och visa alla händelser och beteenden som observerats på datorn i kronologisk ordning, varvat med de utlösta aviseringarna.
Användare
I vyn Användare visas alla användare som har identifierats vara en del av eller relaterade till incidenten.
Markera bockmarkeringen för en användare om du vill se information om hot, exponering och kontaktinformation för användarkontot. Välj användarnamnet om du vill se ytterligare information om användarkontot.
Mer information om hur du visar ytterligare användarinformation och hanterar användare av en incident finns i Undersöka användare.
Postlådor
I vyn Postlådor visas alla postlådor som har identifierats som en del av eller relaterade till incidenten.
Markera bockmarkeringen för en postlåda om du vill se en lista över aktiva aviseringar. Välj postlådenamnet om du vill se ytterligare postlådeinformation på sidan Utforskaren för Defender för Office 365.
Apps
I vyn Appar visas alla appar som identifieras som en del av eller relaterade till incidenten.
Markera bockmarkeringen för en app om du vill se en lista över aktiva aviseringar. Välj appnamnet om du vill se ytterligare information på sidan Utforskaren för Defender for Cloud Apps.
Molnresurser
I vyn Molnresurser visas alla molnresurser som ingår i eller är relaterade till incidenten.
Markera bockmarkeringen för en molnresurs för att se resursens information och en lista över aktiva aviseringar. Välj Sidan Öppna molnresurs om du vill se ytterligare information och visa fullständig information i Microsoft Defender för molnet.
Utredningar
På fliken Undersökningar visas alla automatiserade undersökningar som utlöses av aviseringar i den här incidenten. Beroende på hur du konfigurerar automatiserade undersökningar som ska köras i Defender för Endpoint och Defender för Office 365 utför automatiserade undersökningar reparationsåtgärder eller väntar på analytikernas godkännande av åtgärder.
Välj en undersökning för att gå till informationssidan för fullständig information om undersöknings- och reparationsstatus. Om några åtgärder behöver godkännas som en del av undersökningen visas de på fliken Väntande åtgärder . Vidta åtgärder som en del av incidentreparationen.
Fliken Undersökningsdiagram visar:
- Anslutningen av aviseringar till de tillgångar som påverkas i din organisation.
- Vilka entiteter är relaterade till vilka aviseringar och hur de är en del av historien om attacken.
- Aviseringarna för incidenten.
Undersökningsdiagrammet hjälper dig att snabbt förstå hela omfattningen av attacken genom att ansluta de olika misstänkta entiteterna som ingår i attacken med deras relaterade tillgångar, till exempel användare, enheter och postlådor.
Mer information finns i Automatiserad undersökning och svar i Microsoft Defender XDR.
Bevis och svar
Fliken Bevis och svar visar alla händelser som stöds och misstänkta entiteter i aviseringarna i incidenten.
Microsoft Defender XDR undersöker automatiskt alla incidenters händelser som stöds och misstänkta entiteter i aviseringarna, vilket ger dig information om viktiga e-postmeddelanden, filer, processer, tjänster, IP-adresser med mera. På så sätt kan du snabbt identifiera och blockera potentiella hot i incidenten.
Varje analyserad entitet markeras med en bedömning (skadlig, misstänkt, ren) och en reparationsstatus. Den här informationen hjälper dig att förstå reparationsstatusen för hela incidenten och vilka nästa steg du kan vidta.
Godkänna eller avvisa reparationsåtgärder
För incidenter med reparationsstatusen Väntar på godkännande kan du godkänna eller avvisa en reparationsåtgärd, öppna i Utforskaren eller Gå-jakt inifrån fliken Bevis och svar.
Sammanfattning
Använd sidan Sammanfattning för att utvärdera incidentens relativa betydelse och snabbt komma åt associerade aviseringar och påverkade entiteter. På sidan Sammanfattning får du en översikt över de viktigaste sakerna att lägga märke till om incidenten.
Informationen är ordnad i de här avsnitten.
| Avsnitt | Beskrivning |
|---|---|
| Aviseringar och kategorier | En visuell och numerisk vy över hur avancerat attacken har gått mot kill-kedjan. Precis som med andra Microsoft-säkerhetsprodukter är Microsoft Defender XDR anpassat till MITRE ATT&CK-ramverket™. Tidslinjen för aviseringar visar den kronologiska ordning i vilken aviseringarna inträffade och för var och en deras status och namn. |
| Omfattning | Visar antalet berörda enheter, användare och postlådor. Den visar entiteterna efter risknivå och undersökningsprioritet. |
| Varningar | Visar de aviseringar som är inblandade i incidenten. |
| Bevis | Visar antalet entiteter som påverkas av incidenten. |
| Incidentinformation | Visar egenskaperna för incidenten, till exempel taggar, status och allvarlighetsgrad. |
Liknande incidenter
Vissa incidenter kan ha liknande incidenter som visas på sidan Liknande incidenter . Det här avsnittet visar incidenter som har liknande aviseringar, entiteter och andra egenskaper. Den här likheten kan hjälpa dig att förstå omfattningen av attacken och identifiera andra incidenter som kan vara relaterade.
Tips
Defender Boxed, en serie kort som visar organisationens säkerhetsframgångar, förbättringar och svarsåtgärder under de senaste sex månaderna eller året, visas under en begränsad tid under januari och juli varje år. Lär dig hur du kan dela dina Defender Boxed-höjdpunkter .
Nästa steg
Se följande resurser efter behov:
Se även
Tips
Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.