Microsoft Defender 入口網站中的事件和警示
Microsoft Defender 入口網站整合了一組統一的安全性服務,可減少暴露於安全性威脅的風險、改善組織安全性狀態、偵測安全性威脅,以及調查和回應缺口。 這些服務會收集並產生顯示在入口網站中的訊號。 兩種主要訊號類型為:
警示:各種威脅偵測活動所產生的訊號。 這些訊號表示您的環境中發生惡意或可疑事件。
事件:包含相關警示集合並說明攻擊完整案例的容器。 單一事件中的警示可能來自所有Microsoft安全性與合規性解決方案,以及透過雲端 Microsoft Sentinel 和 Microsoft Defender 收集的大量外部解決方案。
相互關聯和調查的事件
雖然您可以調查並減輕個別警示引起您注意的威脅,但這些威脅本身就是隔離的發生事件,不會告訴您有關更廣泛且複雜的攻擊案例。 您可以搜尋、研究、調查和相互關聯屬於單一攻擊案例的警示群組,但這會耗費您許多時間、精力和精力。
相反地,Microsoft Defender 入口網站中的相互關聯引擎和演算法會自動匯總相關警示並相互關聯,以形成代表這些較大攻擊案例的事件。 Defender 會將多個訊號識別為屬於相同的攻擊案例,並使用 AI 持續監視其遙測來源,並新增更多辨識項來開啟事件。 事件包含所有被視為彼此相關且與整體攻擊案例相關的警示,並以各種形式呈現故事:
- 警示的時間軸及其根據的原始事件
- 已使用的策略清單
- 清單 所有相關和受影響的用戶、裝置和其他資源
- 故事中所有玩家互動方式的可視化表示法
- Defender 全面偵測回應 起始和完成的自動調查和響應程序記錄
- 支持攻擊案例的辨識項集合:不良執行者的用戶帳戶和裝置資訊和位址、惡意檔案和程式、相關威脅情報等等
- 攻擊案例的文字摘要
事件也提供您管理及記錄調查和威脅回應的架構。 如需有關事件功能的詳細資訊,請參閱管理 Microsoft Defender 中的事件。
警示來源和威脅偵測
Microsoft Defender 入口網站中的警示來自許多來源。 這些來源包括許多屬於 Microsoft Defender 全面偵測回應的服務,以及其他與 Microsoft Defender 入口網站整合程度不同的服務。
例如,當 Microsoft Sentinel 上線至 Microsoft Defender 入口網站時,Defender 入口網站中的相互關聯引擎可以存取 Microsoft Sentinel 所擷取的所有原始數據,您可以在 Defender 的進階搜捕數據表中找到這些數據。
Microsoft Defender 全面偵測回應 本身也會建立警示。 Defender 全面偵測回應的獨特相互關聯功能為數字資產中的所有非Microsoft解決方案提供另一層數據分析和威脅偵測。 除了 Microsoft Sentinel 分析規則已提供的警示之外,這些偵測還會產生 Defender 全面偵測回應 警示。
在這些來源中,有一或多個威脅偵測機制會根據每個機制中定義的規則產生警示。
例如,Microsoft Sentinel 至少有四個不同的引擎會產生不同類型的警示,每個引擎都有自己的規則。
調查和回應的工具和方法
Microsoft Defender 入口網站包含可自動化或以其他方式協助事件分級、調查和解決的工具和方法。 下表顯示這些工具:
工具/方法 | 描述 |
---|---|
管理和調查事件 | 請確定您根據嚴重性排定事件的優先順序,然後進行調查。 使用進階搜尋威脅,並透過威脅分析來超越新興的威脅。 |
自動調查和解決警示 | 如果啟用,Microsoft Defender 全面偵測回應 可以透過自動化和人工智慧,自動調查和解決來自 Microsoft 365 和 Entra ID 來源的警示。 |
設定自動攻擊中斷動作 | 使用從 Microsoft Defender 全面偵測回應 收集的高信賴度訊號,Microsoft Sentinel 在機器速度自動中斷作用中的攻擊,包含威脅並限制影響。 |
設定 Microsoft Sentinel 自動化規則 | 使用自動化規則來自動化事件的分級、指派和管理,而不論事件的來源為何。 藉由設定規則以根據事件內容將標籤套用至事件、隱藏雜訊 (誤判) 事件,以及關閉符合適當準則的已解決事件、指定原因並新增批註,進一步協助小組的效率。 |
使用進階搜捕主動搜捕 | 使用 Kusto 查詢語言 (KQL) ,藉由查詢在 Defender 入口網站中收集的記錄,主動檢查網路中的事件。 進階搜捕支持引導模式,讓使用者尋找查詢產生器的便利性。 |
利用安全性 Microsoft Copilot 來運用 AI | 新增 AI 以支援具有複雜且耗時每日工作流程的分析師。 例如,Microsoft Copilot 安全性可透過提供清楚描述的攻擊案例、可採取動作的逐步補救指引和事件活動摘要報告、自然語言 KQL 搜捕和專家程式代碼分析,協助進行端對端事件調查和回應—將所有來源數據的 SOC 效率優化。 這項功能除了 Microsoft Sentinel 帶入統一平臺的其他 AI 型功能之外,也包括使用者和實體行為分析、異常偵測、多階段威脅偵測等等。 |
相關項目
若要深入瞭解 Defender 入口網站中的警示相互關聯和事件合併,請參閱 Microsoft Defender 全面偵測回應 中的警示、事件和相互關聯