Monitering van voorvalle intyds met Microsoft 365 Security Center

Monitering van voorvalle intyds met Microsoft 365 Security Center

03/08/2024

Hierdie tegniese en opvoedkundige artikel het ten doel om sekuriteitsontleders, IT-administrateurs en stelselingenieurs te lei in die monitering en bestuur van intydse sekuriteitsinsidente met behulp van die Microsoft 365 Defender-portaal (voorheen bekend as Microsoft 365 Security Center). Hierdie portaal verenig die sigbaarheid en insidentreaksievermoëns van verskeie Microsoft-sekuriteitsoplossings, soos Defender for Endpoint, Defender for Office 365, Defender for Identity, en Defender for Cloud Apps, wat 'n gesentraliseerde platform vir sekuriteitsbedrywighede verskaf [1].

Inleiding

In 'n steeds ontwikkelende kuberbedreigingsomgewing is die vermoë om sekuriteitsinsidente vinnig en doeltreffend op te spoor, te ondersoek en daarop te reageer noodsaaklik om die impak van 'n aanval te verminder. Die Microsoft 365 Defender-portaal dien as 'n bevel- en beheersentrum, wat sekuriteitwaarskuwings van verskillende Microsoft-produkte met samehangende insidente korreleer. Dit stel SecOps (Security Operations)-spanne in staat om 'n holistiese siening van 'n aanval te kry, die doodsketting daarvan te verstaan, en regstellende aksie meer effektief te neem [2].

Hierdie hoe-om-gids sal dek hoe om die Microsoft 365 Defender-portaal te navigeer, die voorvaltou te monitor, gekorreleerde waarskuwings te ondersoek en die lewensiklus van 'n voorval te bestuur. Stap-vir-stap instruksies, koppelvlakgebruikvoorbeelde en valideringsmetodes sal verskaf word sodat die leser hul sekuriteitsbedrywighede kan optimaliseer en insidentreaksievermoëns in hul Microsoft 365-omgewing kan verbeter.

Hoekom Microsoft 365 Defender-portaal vir voorvalmonitering?

  • Verenigde sigbaarheid: Voeg sekuriteitwaarskuwings van verskeie Defender-produkte (Eindpunt, Office 365, Identiteit, Wolk-toepassings) saam in 'n enkele kontroleskerm.
  • Outomatiese korrelasie: Korreleer outomaties verwante waarskuwings oor voorvalle, wat 'n ryker konteks oor 'n aanval verskaf.
  • Omvattende ondersoek: Verskaf in-diepte ondersoekinstrumente, insluitend tydlyn van gebeure, aanvalgrafieke en gedetailleerde inligting oor geaffekteerde entiteite.
  • Gekoördineerde reaksie: Laat sekuriteitspanne toe om sentraal op voorvalle te reageer, met outomatiese en handmatige aksies.
  • Outomatisering van reaksie (SOAR): Integreer met SOAR-vermoëns om insidentreaksietake te outomatiseer, wat die gemiddelde tyd tot reaksie (MTTR) verminder.

Voorvereistes

Om voorvalle intyds met die Microsoft 365 Defender-portaal te monitor, het jy die volgende items nodig:

  1. Lisensiëring: Toepaslike lisensies vir Microsoft 365 Defender-produkte (bv. Microsoft 365 E5 Security, Microsoft 365 E5) wat toegang tot die portaal en opsporingsvermoëns insluit [3].
  2. Administratiewe toegang: 'n Rekening met sekuriteitsadministrateur, sekuriteitsoperateur of sekuriteitsleser-toestemmings in die Microsoft 365 Defender-portaal (https://security.microsoft.com).
  3. Active Defender-produkte: Ten minste een van die Defender-produkte (Defender for Endpoint, Defender for Office 365, Defender for Identity, Defender for Cloud Apps) moet aktief en opgestel wees om waarskuwings te genereer.
  4. Gekoppelde databronne: Sekuriteitsdata moet deur die onderskeie Defender-produkte ingeneem en gemonitor word.

Stap vir stap: Monitering en bestuur van voorvalle

Kom ons verken die Microsoft 365 Defender-portaalkoppelvlak en sleutelfunksies vir insidentmonitering en -bestuur.

1. Toegang tot die Microsoft 365 Defender Portal

  1. Maak jou blaaier oop en navigeer na https://security.microsoft.com.
  2. Meld aan met 'n rekening wat die nodige toestemmings het.

2. Navigeer die Insident-waglys

Die voorvalry is die sentrale punt vir SecOps-spanne. Dit is waar verwante waarskuwings saam gegroepeer word om 'n kontekstualiseerde siening van 'n aanval te verskaf.

  1. Kies Insidente en waarskuwings > Insidente in die linkernavigasiepaneel.
  2. Die voorvalry sal 'n lys van alle bespeurde voorvalle vertoon, met inligting soos erns, status, geaffekteerde entiteite en laaste aktiwiteit.

3. Ontleed 'n Spesifieke Insident

Wanneer jy op 'n voorval klik, sal jy toegang hê tot 'n gedetailleerde aansig wat alle gekorreleerde waarskuwings, toestelle,geaffekteerde gebruikers, gebruikers en lêers.

  1. Klik in die voorval-tou die Naam van 'n voorval om sy besonderhedebladsy oop te maak.
  2. Die voorvalbesonderhedebladsy bestaan uit verskeie oortjies:
    • Oorsig: Verskaf 'n opsomming van die voorval, insluitend erns, status, klassifikasie, geaffekteerde gebruikers en toestelle.
    • Waarskuwings: Lys alle waarskuwings wat met hierdie voorval gekorreleer is. Jy kan op elke waarskuwing klik om sy spesifieke besonderhede te sien.
    • Toestelle: Wys alle toestelle wat by die voorval betrokke is.
    • Gebruikers: Lys geaffekteerde of betrokke gebruikers.
    • Posbusse: Wys geaffekteerde posbusse (as daar Defender vir Office 365-waarskuwings is).
    • Ondersoeke: Wys die outomatiese ondersoeke wat in reaksie op die voorval begin is.
    • Bewyse en reaksie: Bied die versamelde bewyse (lêers, IP's, URL's) en die aanbevole of geneem reaksie-aksies aan.
    • Grafiek: 'n Visuele voorstelling van die aanvalsketting, wat die verhouding tussen waarskuwings, entiteite en gebeure aantoon.

4. Bestuur van die Insidentlewensiklus

Insidentbestuur behels opdrag, klassifikasie en oplossing.

  1. Ken insident toe: Op die voorvalbesonderhedebladsy, in die Oorsig-afdeling, kan jy die voorval aan 'n spesifieke ontleder toewys. Klik Wys toe aan en kies 'n gebruiker.
  2. Verander Status: Verander die Status van die voorval soos die ondersoek vorder (bv. Nuut, In Progress, Opgelos).
  3. Klasifiseer Insident: Wanneer 'n voorval opgelos word, moet jy dit klassifiseer vir leer- en verslagdoeningsdoeleindes. Klik op Klassifikasie en kies:
    • 'Waar positief' (as dit 'n werklike bedreiging is)
    • 'Vals Positief' (as dit 'n verkeerde waarskuwing is)
    • "Verwagte aktiwiteit" (as dit wettige aktiwiteit is wat die waarskuwing geaktiveer het)
    • Voeg 'n Kommentaar by om die resolusie te dokumenteer.
  4. Voeg opmerkings by: Gebruik die Kommentaar en geskiedenis-afdeling om ondersoekstappe, bevindinge en aksies wat geneem is, aan te teken.

5. Voer reaksie-aksies uit

Op grond van die ondersoek kan u reaksie-aksies direk vanaf die portaal neem.

  1. In die Toestelle of Gebruikers-oortjie binne die voorval, kies 'n geaffekteerde entiteit (bv. 'n toestel).
  2. Beskikbare aksies sluit in:
    • Isoleer toestel: Ontkoppel die toestel van die netwerk om die bedreiging te bevat.
    • Beperk toepassingsuitvoering: Verhoed dat ongemagtigde toepassings loop.
    • ** Begin Antivirus Scan**: Begin 'n volledige skandering van die toestel.
    • ** Versamel ondersoekpakket**: Versamel logs en forensiese data van die toestel af.
    • Deaktiveer gebruiker: Deaktiveer die gebruikersrekening in Azure AD.
    • ** Stel gebruikerwagwoord terug**: Dwing die gebruikerwagwoord om terug te stel.

Bekragtiging en toetsing

Om voorvalmonitering te bekragtig, is dit belangrik om 'n aanvalscenario te simuleer en te verifieer dat die Microsoft 365 Defender-portaal dit korrek opspoor en korreleer.

1. Simuleer 'n aanval (Voorbeeld: EICAR-toets)

Gebruik die EICAR-lêer (European Institute for Computer Antivirus Research) om 'n wanware-opsporing te simuleer (soos beskryf in Artikel 1 - Defender for Endpoint).

  1. Op 'n toestel wat met Defender for Endpoint aan boord is, probeer om 'n EICAR-lêer af te laai of te skep (https://www.eicar.org/download/eicar.com.txt).
  2. Defender for Endpoint moet die lêer opspoor en blokkeer.
  3. In die Microsoft 365 Defender-portaal, gaan na Insidente en waarskuwings > Alerts.
  4. Jy behoort 'n waarskuwing te sien wat verband hou met EICAR-opsporing.
  5. Verifieer of hierdie waarskuwing met 'n bestaande voorval gekorreleer is en of 'n nuwe voorval geskep is.

2. Gaan Reaksietyd en Korrelasie na

Let op die tyd wat dit neem vir 'n waarskuwing om gegenereer te word en korreleer met 'n voorval na die simulasie. Dit help jou om die doeltreffendheid van intydse monitering te verstaan.

Sekuriteitswenke en beste praktyke

  • Integreer alle bronne: Koppel soveel moontlik Defender-databronne en -produkte aan die Microsoft 365 Defender-portaal vir die mees volledige aansig en beste insident-korrelasie.
  • Definieer rolle en verantwoordelikhede: Stel duidelik vas wie verantwoordelik is vir die monitering, ondersoek en reaksie op voorvalle.
  • Outomatiseer eenvoudige antwoorde: Gebruik hulpbronneOutomatiseringnutsmiddels (speelboeke) om outomaties te reageer op lae erns tipes waarskuwings of om bykomende inligting oor hoë erns waarskuwings in te samel.
  • Bly op datum: Bly op hoogte van nuwe kenmerke en vermoëns in Microsoft 365 Defender, aangesien die platform voortdurend verbeter word.
  • Deurlopende opleiding: Belê in die opleiding van jou SecOps-span sodat hulle vertroud is met die nuutste gereedskap en aanvalstaktieke.
  • Simulasie-oefeninge: Doen gereeld insident-simulasie-oefeninge om die doeltreffendheid van jou prosesse en gereedskap te toets.

Algemene probleemoplossing

  • Waarskuwings verskyn nie in die portaal: Verifieer dat relevante Defender-produkte aktief en korrek opgestel is. Maak seker dat jou dataverbindings werk en logs stuur. Gaan die opsporingreëlinstellings op individuele Defender-produkte na.
  • Ongekorreleerde waarskuwings oor voorvalle: Microsoft 365 Defender korreleer outomaties. As verwante waarskuwings nie saam gegroepeer word nie, kan daar 'n vertraging in loginname wees of die kontekstuele inligting (gebruiker, toestel, IP) is dalk nie voldoende vir outomatiese korrelasie nie. Gaan ouditlogboeke en innametyd na.
  • Portaalwerkverrigtingkwessies: Maak jou blaaierkas skoon, probeer om 'n ander blaaier te gebruik, of gaan jou netwerkverbinding na. In gevalle van groot datavolumes kan die koppelvlak 'n rukkie neem om te laai.
  • Reaksieaksies misluk: Kontroleer die toestemmings van die rekening wat probeer om die aksie uit te voer. Maak seker dat die teikentoestel of gebruiker aanlyn is en toeganklik is vir Defender-dienste.

Gevolgtrekking

Die Microsoft 365 Defender-portaal is 'n onontbeerlike hulpmiddel vir enige organisasie wat 'n doeltreffende proaktiewe en reaktiewe sekuriteitstrategie soek. Deur insidentmonitering te sentraliseer, waarskuwings van verskeie bronne te korreleer en omvattende ondersoek- en reaksievermoëns te verskaf, bemagtig dit SecOps-spanne om hul omgewings intyds te beskerm. Die implementering en doeltreffende gebruik van hierdie platform verbeter nie net bedreigingsigbaarheid nie, maar verminder ook reaksietyd aansienlik, wat die organisasie se kuberveerkragtigheid teen die mees gesofistikeerde aanvalle versterk.

Verwysings:

[1] Microsoft Learn. Microsoft 365 Defender Portal. Beskikbaar by: https://learn.microsoft.com/pt-br/microsoft-365/security/defender/microsoft-365-defender-portal?view=o365-worldwide [2] Microsoft Learn. Oorsig van voorvalle in Microsoft 365 Defender. Beskikbaar by: https://learn.microsoft.com/pt-br/microsoft-365/security/defender/incidents-overview?view=o365-worldwide? [3] Microsoft Learn. Microsoft 365 Defender-lisensievereistes. Beskikbaar by: https://learn.microsoft.com/pt-br/microsoft-365/security/defender/requirements?view=o365-worldwide