Undersøg beskeder i Microsoft Defender XDR
Gælder for:
- Microsoft Defender XDR
Bemærk!
I denne artikel beskrives sikkerhedsbeskeder i Microsoft Defender XDR. Du kan dog bruge aktivitetsbeskeder til at sende mailmeddelelser til dig selv eller andre administratorer, når brugerne udfører bestemte aktiviteter i Microsoft 365. Du kan få flere oplysninger under Create aktivitetsbeskeder – Microsoft Purview | Microsoft Docs.
Beskeder er grundlaget for alle hændelser og angiver forekomsten af skadelige eller mistænkelige hændelser i dit miljø. Beskeder er typisk en del af et bredere angreb og giver fingerpeg om en hændelse.
I Microsoft Defender XDR samles relaterede beskeder sammen for at danne hændelser. Hændelser vil altid give den bredere kontekst for et angreb, men analyse af beskeder kan være værdifuld, når en dybere analyse er påkrævet.
Køen Beskeder viser det aktuelle sæt beskeder. Du kommer til beskedkøen fra Hændelser & beskeder > Beskeder på hurtig start af Microsoft Defender-portalen.
Beskeder fra forskellige Microsoft-sikkerhedsløsninger, f.eks. Microsoft Defender for Endpoint, Microsoft Defender for Office 365 og Microsoft Defender XDR vises her.
Som standard viser beskedkøen på Microsoft Defender-portalen de nye og igangværende beskeder fra de seneste 30 dage. Den seneste besked er øverst på listen, så du kan se den først.
Fra standardkøen for beskeder kan du vælge Filter for at få vist ruden Filter , hvorfra du kan angive et undersæt af beskederne. Her er et eksempel.
Du kan filtrere beskeder i henhold til disse kriterier:
- Sværhedsgraden
- Status
- Tjenestekilder
- Enheder (de påvirkede aktiver)
- Automatiseret undersøgelsestilstand
Påkrævede roller for Defender for Office 365 beskeder
Du skal have en af følgende roller for at få adgang til Microsoft Defender for Office 365 beskeder:
For Microsoft Entra globale roller:
- Global administrator
- Sikkerhedsadministrator
- Sikkerhedsoperator
- Global læser
- Sikkerhedslæser
Office 365 rollegrupper for sikkerhed & overholdelse
- Administrator for overholdelse af angivne standarder
- Organisationsadministration
Analysér en besked
Hvis du vil se hovedbeskedsiden, skal du vælge navnet på beskeden. Her er et eksempel.
Du kan også vælge handlingen Åbn hovedbeskedsiden i ruden Administrer besked .
En beskedside består af disse afsnit:
- Beskedhistorie, som er den kæde af hændelser og beskeder, der er relateret til denne besked i kronologisk rækkefølge
- Oversigtsoplysninger
På hele en beskedside kan du vælge ellipsen (...) ud for en hvilken som helst enhed for at se tilgængelige handlinger, f.eks. linke beskeden til en anden hændelse. Listen over tilgængelige handlinger afhænger af typen af besked.
Beskedkilder
Microsoft Defender XDR beskeder kan komme fra løsninger som Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps tilføjelsesprogrammet appstyring for Microsoft Defender for Cloud Apps, Microsoft Entra ID-beskyttelse, og Microsoft Forebyggelse af datatab. Du vil muligvis bemærke beskeder med forudberedte tegn i beskeden. Følgende tabel indeholder en vejledning til at hjælpe dig med at forstå tilknytningen af beskedkilder baseret på det forberedte tegn i beskeden.
Bemærk!
- Guid'erne for forberedelse er kun specifikke for samlede oplevelser, f.eks. unified alerts queue, unified alerts page, unified investigation og unified incident.
- Det forberedte tegn ændrer ikke guid'et for beskeden. Den eneste ændring af GUID'et er den forudforberedte komponent.
Beskedkilde | Forberedt tegn |
---|---|
Microsoft Defender XDR | ra ta for ThreatExpertsea for DetectionSource = DetectionSource.CustomDetection |
Microsoft Defender for Office 365 | fa{GUID} Eksempel: fa123a456b-c789-1d2e-12f1g33h445h6i |
Microsoft Defender for Endpoint | da eller ed for beskeder om brugerdefineret registrering |
Microsoft Defender for Identity | aa{GUID} Eksempel: aa123a456b-c789-1d2e-12f1g33h445h6i |
Microsoft Defender for Cloud Apps | ca{GUID} Eksempel: ca123a456b-c789-1d2e-12f1g33h445h6i |
Microsoft Entra ID-beskyttelse | ad |
Appstyring | ma |
Microsoft Forebyggelse af datatab | dl |
Konfigurer Microsoft Entra IP-beskedtjeneste
Gå til Microsoft Defender-portalen (security.microsoft.com), vælg Indstillinger>Microsoft Defender XDR.
På listen skal du vælge Indstillinger for beskedtjeneste og derefter konfigurere Microsoft Entra ID-beskyttelse beskedtjeneste.
Som standard er det kun de mest relevante beskeder for Security Operation Center, der er aktiveret. Hvis du vil hente alle Microsoft Entra ip-risikoregistreringer, kan du ændre det i afsnittet Indstillinger for beskedtjeneste.
Du kan også få adgang til indstillinger for beskedtjenesten direkte fra siden Hændelser på Microsoft Defender portalen.
Vigtigt!
Nogle oplysninger er relateret til et forhåndsudgivet produkt, som kan blive ændret væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier, hverken udtrykkelige eller underforståede, med hensyn til de oplysninger, der gives her.
Analysér berørte aktiver
Afsnittet Udførte handlinger indeholder en liste over påvirkede aktiver, f.eks. postkasser, enheder og brugere, der påvirkes af denne besked.
Du kan også vælge Vis i Handlingscenter for at få vist fanen Oversigt i Løsningscenter på Microsoft Defender portalen.
Spor en beskeds rolle i beskedhistorien
Beskedhistorien viser alle aktiver eller enheder, der er relateret til beskeden, i en procestrævisning. Beskeden i titlen er i fokus, første gang du lander på den valgte beskeds side. Aktiver i beskedhistorien kan udvides, og der kan klikkes på dem. De giver yderligere oplysninger og fremskynder dit svar ved at give dig mulighed for at handle direkte i forbindelse med beskedsiden.
Bemærk!
Afsnittet med beskedhistorien kan indeholde mere end én besked, hvor yderligere beskeder, der er relateret til det samme udførelsestræ, vises før eller efter den besked, du har valgt.
Få vist flere beskedoplysninger på detaljesiden
Detaljesiden viser detaljerne for den valgte besked med oplysninger og handlinger, der er relateret til den. Hvis du vælger en af de berørte aktiver eller objekter i beskedhistorien, ændres detaljesiden for at angive kontekstafhængige oplysninger og handlinger for det valgte objekt.
Når du har valgt et objekt af interesse, ændres detaljesiden, så der vises oplysninger om den valgte objekttype, historikoplysninger, når den er tilgængelig, og indstillinger, der kan udføres på denne enhed direkte fra beskedsiden.
Administrer beskeder
Hvis du vil administrere en besked, skal du vælge Administrer besked i sektionen med oversigtsoplysninger på beskedsiden. For en enkelt besked er her et eksempel på ruden Administrer besked .
Ruden Administrer beskeder giver dig mulighed for at få vist eller angive:
- Beskedstatus (Ny, Løst, Igangværende).
- Den brugerkonto, der er tildelt beskeden.
- Klassificeringen af beskeden:
- Ikke angivet (standard).
- Sand positiv med en form for trussel. Brug denne klassificering til beskeder, der nøjagtigt angiver en reel trussel. Hvis du angiver denne trusselstype, får dit sikkerhedsteam vist trusselsmønstre og reagerer for at forsvare din organisation mod dem.
- Oplysende, forventet aktivitet med en aktivitetstype. Brug denne indstilling til beskeder, der er teknisk nøjagtige, men repræsenterer normal funktionsmåde eller simuleret trusselsaktivitet. Du vil generelt gerne ignorere disse beskeder, men forvente dem for lignende aktiviteter i fremtiden, hvor aktiviteterne udløses af faktiske hackere eller malware. Brug indstillingerne i denne kategori til at klassificere beskeder om sikkerhedstest, rød teamaktivitet og forventet usædvanlig adfærd fra apps og brugere, der er tillid til.
- Falsk positiv for typer af beskeder, der blev oprettet, selv når der ikke er nogen skadelig aktivitet eller for en falsk alarm. Brug indstillingerne i denne kategori til at klassificere beskeder, der ved en fejl er identificeret som normale hændelser eller aktiviteter som skadelige eller mistænkelige. I modsætning til beskeder om "Information, forventet aktivitet", hvilket også kan være nyttigt for at opfange reelle trusler, vil du generelt ikke se disse beskeder igen. Klassificering af beskeder som falsk positiv hjælper Microsoft Defender XDR med at forbedre registreringskvaliteten.
- En kommentar til beskeden.
Bemærk!
Omkring den 29. august 2022 frarådes tidligere understøttede værdier for bestemmelse af beskeder ('Apt' og 'SecurityPersonnel') og er ikke længere tilgængelige via API'en.
Bemærk!
En måde at administrere beskeder på ved hjælp af mærker. Mærkningsfunktionen for Microsoft Defender for Office 365 udrulles trinvist og er i øjeblikket en prøveversion.
I øjeblikket anvendes ændrede kodenavne kun på beskeder, der er oprettet efter opdateringen. Beskeder, der blev genereret før ændringen, afspejler ikke det opdaterede kodenavn.
Hvis du vil administrere et sæt beskeder, der ligner en bestemt besked, skal du vælge Få vist lignende beskeder i feltet INSIGHT i afsnittet med oversigtsoplysninger på beskedsiden.
I ruden Administrer beskeder kan du derefter klassificere alle relaterede beskeder på samme tid. Her er et eksempel.
Hvis lignende beskeder allerede tidligere er klassificeret, kan du spare tid ved hjælp af Microsoft Defender XDR anbefalinger for at få mere at vide om, hvordan de andre beskeder blev løst. Vælg Anbefalinger i afsnittet med oversigtsoplysninger.
Fanen Anbefalinger indeholder næste trins handlinger og råd til undersøgelse, afhjælpning og forebyggelse. Her er et eksempel.
Juster en besked
Som SOC-analytiker (Security Operations Center) er et af de største problemer at triaging det eneste antal beskeder, der udløses dagligt. En analytikers tid er værdifuld og vil kun fokusere på vigtige beskeder med høj alvorsgrad og høj prioritet. I mellemtiden er analytikere også forpligtet til at prioritere og løse vigtige beskeder med lavere prioritet, hvilket normalt er en manuel proces.
Justering af beskeder giver mulighed for at justere og administrere beskeder på forhånd. Dette strømliner beskedkøen og sparer triagetid ved at skjule eller løse beskeder automatisk, hver gang en bestemt forventet organisationsfunktionsmåde opstår, og regelbetingelserne er opfyldt.
Du kan oprette regelbetingelser baseret på "bevistyper", f.eks. filer, processer, planlagte opgaver og mange andre bevistyper, der udløser beskeden. Når du har oprettet reglen, kan du anvende reglen på den valgte besked eller en hvilken som helst beskedtype, der opfylder regelbetingelserne, for at justere beskeden.
Desuden dækker funktionen også beskeder, der kommer fra forskellige Microsoft Defender XDR tjenestekilder. Funktionen til justering af beskeder i den offentlige prøveversion modtager beskeder fra arbejdsbelastninger, f.eks. Defender for Endpoint, Defender for Office 365, Defender for Identity, Defender for Cloud Apps, Microsoft Entra ID-beskyttelse (Microsoft Entra IP) og andre, hvis disse kilder er tilgængelige på din platform og plan. Tidligere har funktionen til justering af beskeder kun hentet beskeder fra arbejdsbelastningen Defender for Endpoint.
Bemærk!
Vi anbefaler, at du bruger indstilling af beskeder, tidligere kendt som undertrykkelse af beskeder, med forsigtighed. I visse situationer udløser et kendt internt virksomhedsprogram eller sikkerhedstest en forventet aktivitet, og du vil ikke se disse beskeder. Så du kan oprette en regel for at justere disse beskedtyper.
Create regelbetingelser for justering af beskeder
Du kan indstille en besked på to måder i Microsoft Defender XDR. Sådan finjusterer du en besked fra siden Indstillinger :
Gå til Indstillinger. I venstre rude skal du gå til Regler og vælge Beskedjustering.
Vælg Tilføj ny regel for at finjustere en ny besked. Du kan også redigere en eksisterende regel i denne visning ved at vælge en regel på listen.
I ruden Tilpas besked kan du vælge tjenestekilder, hvor reglen gælder i rullemenuen under Tjenestekilder.
Bemærk!
Det er kun tjenester, som brugeren har tilladelse til, der vises.
Tilføj indikatorer for kompromis (IOCs), der udløser beskeden i afsnittet IOCs . Du kan tilføje en betingelse for at stoppe beskeden, når den udløses af en bestemt IOC eller af en hvilken som helst IOC, der er tilføjet i beskeden.
IOC'er er indikatorer som f.eks. filer, processer, planlagte opgaver og andre bevistyper, der udløser beskeden.
Hvis du vil angive flere regelbetingelser, skal du bruge indstillingerne AND, OR og gruppering til at oprette en relation mellem disse flere "bevistyper", der forårsager beskeden.
- Vælg f.eks. den udløsende bevisenhedsrolle: Udløser, er lig med og enhver for at stoppe beskeden, når den udløses af en IOC, der er tilføjet i beskeden. Alle egenskaberne for dette 'bevis' udfyldes automatisk som en ny undergruppe i de respektive felter nedenfor.
Bemærk!
Der skelnes ikke mellem store og små bogstaver i betingelsesværdier.
Du kan redigere og/eller slette egenskaberne for dette 'bevis' afhængigt af dit krav (ved hjælp af jokertegn, når det understøttes).
Bortset fra filer og processer er AMSI-script (AntiMalware Scan Interface), WMI-hændelse (Windows Management Instrumentation) og planlagte opgaver nogle af de nyligt tilføjede bevistyper, som du kan vælge på rullelisten med bevistyper.
Klik på Tilføj filter for at tilføje endnu en IOC.
Bemærk!
Det er nødvendigt at føje mindst én IOC til regelbetingelsen for at indstille en hvilken som helst beskedtype.
I afsnittet Handling skal du udføre den relevante handling af enten Skjul besked eller Løs besked.
Angiv Navn, Beskrivelse, og klik på Gem.
Bemærk!
Beskedens titel (navn) er baseret på beskedtypen (IoaDefinitionId), som bestemmer beskedens titel. To beskeder med samme beskedtype kan ændres til en anden beskedtitel.
Sådan finjusterer du en besked fra siden Beskeder :
Vælg en besked på siden Beskeder under Hændelser og beskeder. Du kan også vælge en besked, når du gennemser oplysninger om hændelser på siden Hændelse.
Du kan finjustere en besked via ruden Finjuster beskeder , der automatisk åbnes i højre side af siden med beskedoplysninger.
Vælg de betingelser, hvor beskeden gælder i sektionen Beskedtyper . Vælg Kun denne beskedtype for at anvende reglen på den valgte besked.
Hvis du vil anvende reglen på en hvilken som helst beskedtype, der opfylder regelbetingelserne, skal du dog vælge En hvilken som helst beskedtype baseret på IOC-betingelser.
Udfyldning af området er påkrævet, hvis beskedjusteringen er Defender for Endpoint-specifik. Vælg, om reglen skal gælde for alle enheder i organisationen eller for en bestemt enhed.
Bemærk!
Anvendelse af reglen på alle organisationer kræver en administratorrolletilladelse.
Tilføj betingelser i afsnittet Betingelser for at stoppe beskeden, når den udløses af en bestemt IOC eller af en IOC, der er tilføjet i beskeden. Du kan vælge en bestemt enhed, flere enheder, enhedsgrupper, hele organisationen eller efter bruger i dette afsnit.
Bemærk!
Du skal have Administration tilladelse, når området kun er angivet for Bruger. Administration tilladelse er ikke påkrævet, når omfanget er angivet for Bruger sammen med enhed, enhedsgrupper.
Tilføj IOCs, hvor reglen gælder i afsnittet IOCs . Du kan vælge En hvilken som helst IOC for at stoppe beskeden, uanset hvilke 'beviser' der har forårsaget beskeden.
Du kan også vælge Udfyld automatisk alle beskeder 7 relaterede IOCs i sektionen IOCs for at tilføje alle beskedrelaterede bevistyper og deres egenskaber på én gang i afsnittet Betingelser .
I afsnittet Handling skal du udføre den relevante handling af enten Skjul besked eller Løs besked.
Angiv Navn, Kommentar, og klik på Gem.
Undgå, at IOC'erne bliver blokeret i fremtiden:
Når du gemmer reglen for justering af beskeder, kan du føje de valgte IOC'er som indikatorer til "listen over tilladte" på siden Vellykket oprettelse af regel , der vises, og forhindre dem i at blive blokeret i fremtiden.
Alle beskedrelaterede IOC'er vises på listen.
IOCs, der blev valgt under undertrykkelsesbetingelserne, vælges som standard.
- Du kan f.eks. tilføje filer, der skal have tilladelse til at vælge beviser (IOC), der skal tillades. Som standard vælges den fil, der udløste beskeden.
- Angiv området i det Vælg område, der skal anvendes på. Som standard er området for den relaterede besked valgt.
- Klik på Gem. Nu er filen ikke blokeret, som den er på listen over tilladte.
Den nye funktion til justering af beskeder er som standard tilgængelig.
Du kan dog skifte tilbage til den tidligere oplevelse i Microsoft Defender portal ved at gå til Indstillinger > Microsoft Defender XDR > Beskedindstilling for regler >og derefter slå indstillingen Oprettelse af nye justeringsregler aktiveret fra.
Bemærk!
Snart er det kun den nye beskedjusteringsoplevelse, der er tilgængelig. Du kan ikke gå tilbage til den tidligere oplevelse.
Rediger eksisterende regler:
Du kan altid tilføje eller ændre regelbetingelser og omfanget af nye eller eksisterende regler på Microsoft Defender portalen ved at vælge den relevante regel og klikke på Rediger regel.
Hvis du vil redigere eksisterende regler, skal du sikre, at til/fra-knappen Oprettelse af nye regler for justering af beskeder er aktiveret.
Løs en besked
Når du er færdig med at analysere en besked, og den kan løses, skal du gå til ruden Administrer beskeder for beskeden eller lignende beskeder og markere statussen som Løst og derefter klassificere den som sand positiv med en type trussel, en oplysende, forventet aktivitet med en aktivitetstype eller falsk positiv.
Klassificering af beskeder hjælper Microsoft Defender XDR med at forbedre registreringskvaliteten.
Brug Power Automate til at triage beskeder
SecOps-teams (Modern Security Operations) har brug for automatisering for at fungere effektivt. For at fokusere på jagt efter og undersøge reelle trusler bruger SecOps-teams Power Automate til at gennemgå listen over beskeder og fjerne dem, der ikke er trusler.
Kriterier for løsning af beskeder
- Fraværende-meddelelse er slået til for brugeren
- Brugeren er ikke mærket som høj risiko
Hvis begge er sande, markerer SecOps beskeden som legitim rejse og løser den. Der sendes en meddelelse i Microsoft Teams, når beskeden er løst.
Forbind Power Automate med Microsoft Defender for Cloud Apps
Hvis du vil oprette automatiseringen, skal du bruge et API-token, før du kan oprette forbindelse mellem Power Automate og Microsoft Defender for Cloud Apps.
Åbn Microsoft Defender, og vælg Indstillinger>Cloud Apps>API-token, og vælg derefter Tilføj token under fanen API-tokens.
Angiv et navn til dit token, og vælg derefter Generér. Gem tokenet, som du skal bruge det senere.
Create et automatiseret flow
Se denne korte video for at få mere at vide om, hvordan automatisering fungerer effektivt for at oprette en problemfri arbejdsproces, og hvordan du opretter forbindelse mellem Power Automate og Defender for Cloud Apps.
Næste trin
Fortsæt din undersøgelse efter behov i forbindelse med igangværende hændelser.
Se også
- Oversigt over hændelser
- Administrer hændelser
- Undersøg hændelser
- Undersøg beskeder om forebyggelse af datatab i Defender
- Microsoft Entra ID-beskyttelse
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: I hele 2024 udfaser vi GitHub-problemer som feedbackmekanisme for indhold og erstatter det med et nyt feedbacksystem. Du kan få flere oplysninger under:Indsend og få vist feedback om