調查並回應 Microsoft Defender 全面偵測回應
以下是 Microsoft Defender 全面偵測回應 的主要調查和回應工作:
事件回應
Microsoft 365 服務和應用程式會在偵測到可疑或惡意事件或活動時建立警示。 個別警示提供有關已完成或進行中攻擊的寶貴線索。 不過,攻擊通常會對不同類型的實體採用各種技術,例如裝置、使用者和信箱。 結果是租使用者中多個實體的多個警示。 因為將個別警示結合在一起以深入了解攻擊可能既具挑戰性又耗時,Microsoft Defender 全面偵測回應 會自動將警示及其相關聯的信息匯總成事件。
您必須持續識別事件佇列中最高優先順序的事件,以進行分析和解決,並讓它們準備好進行回應。 此是以下動作的結合:
針對每個事件,請使用您的事件回應工作流程來分析事件及其警示和數據,以包含攻擊、消除威脅、從攻擊中復原,以及從中學習。
自動化調查與補救措施
如果您的組織使用 Microsoft Defender 全面偵測回應,每當偵測到惡意或可疑的活動或成品時,您的安全性作業小組就會在 Microsoft Defender 入口網站內收到警示。 考慮到可能出現的無休止的威脅流程,安全性小組經常面臨處理大量警示的挑戰。 幸運的是,Microsoft Defender 全面偵測回應 包含自動化調查和回應 (AIR) 功能,可協助安全性作業小組更有效率且有效地解決威脅。
自動化調查完成時,對事件的每一個證據都會做出決策。 根據決策,確定補救動作。 在某些情況下,系統會自動採取補救動作;在其他情況下,補救動作會等候 Microsoft Defender 全面偵測回應 控制中心的核准。
如需詳細資訊,請參閱在 Microsoft Defender 全面偵測回應 中自動調查和回應。
使用進階搜尋威脅
在攻擊發生時回應攻擊並不夠。 對於勒索軟體等延伸的多階段攻擊,您必須主動搜尋進行中攻擊的辨識項,並在完成之前採取動作來停止攻擊。
進階搜捕是 Microsoft Defender 全面偵測回應 中以查詢為基礎的威脅搜捕工具,可讓您探索最多 30 天的原始數據。 您可以主動檢查網路中的事件,以找出威脅指標和實體。
提示
您可以使用Microsoft XDR 串流 API 和 適用於端點的 Microsoft Defender 串流 API 來擴充進階搜捕的 30 天原始數據。
這種對 Microsoft Defender 全面偵測回應 數據的彈性存取,可讓您針對已知和潛在威脅進行不受限制的搜捕。
您可以使用相同的威脅搜捕查詢來建置自定義偵測規則。 這些規則會自動執行以檢查,然後回應可疑的入侵活動、設定錯誤的機器和其他結果。
如需詳細資訊,請參閱在 Microsoft Defender 全面偵測回應 中使用進階搜捕主動搜捕威脅。
使用威脅分析來超越新興威脅
威脅分析是 Microsoft Defender 全面偵測回應 中的威脅情報功能,旨在協助安全性小組在面對新興威脅時盡可能有效率。 其中包含詳細的分析和下列相關信息:
- 作用中 威脅執行者 及其活動
- 熱門和新的攻擊技術
- 嚴重的弱點
- 常見的攻擊面
- 常見的惡意程式碼
威脅分析也包含有關每個已識別威脅的Microsoft 365 租用戶內相關事件和受影響資產的資訊。
每個識別的威脅都包含分析師報告,這是一份由網路安全性偵測和分析最前面Microsoft安全性研究人員所撰寫之威脅的完整分析。 這些報告也可以提供攻擊如何在 Microsoft Defender 全面偵測回應 中顯示的資訊。
如需詳細資訊,請參閱 Microsoft Defender 全面偵測回應 中的威脅分析。
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。