Monitorování incidentů v reálném čase s Microsoft 365 Security Center

Monitorování incidentů v reálném čase s Microsoft 365 Security Center

03/08/2024

Tento technický a vzdělávací článek má za cíl vést bezpečnostní analytiky, IT administrátory a systémové inženýry při monitorování a správě bezpečnostních incidentů v reálném čase pomocí portálu Microsoft 365 Defender (dříve známého jako Microsoft 365 Security Center). Tento portál sjednocuje možnosti viditelnosti a reakce na incidenty různých bezpečnostních řešení společnosti Microsoft, jako je Defender for Endpoint, Defender for Office 365, Defender for Identity a Defender for Cloud Apps, čímž poskytuje centralizovanou platformu pro bezpečnostní operace [1].

Úvod

V neustále se vyvíjejícím prostředí kybernetických hrozeb je schopnost rychle a efektivně detekovat, vyšetřovat a reagovat na bezpečnostní incidenty zásadní pro minimalizaci dopadu útoku. Portál Microsoft 365 Defender funguje jako příkazové a řídicí centrum, které spojuje bezpečnostní výstrahy z různých produktů Microsoft do soudržných incidentů. To umožňuje týmům SecOps (Security Operations) získat holistický pohled na útok, porozumět řetězci jeho zabíjení a efektivněji provádět nápravná opatření [2].

Tento návod popisuje, jak se pohybovat na portálu Microsoft 365 Defender, monitorovat frontu incidentů, zkoumat související výstrahy a spravovat životní cyklus incidentu. Budou poskytnuty podrobné pokyny, příklady použití rozhraní a metody ověření, aby čtenář mohl optimalizovat své bezpečnostní operace a zlepšit možnosti reakce na incidenty ve svém prostředí Microsoft 365.

Proč portál Microsoft 365 Defender pro monitorování incidentů?

  • Sjednocená viditelnost: Shromažďuje bezpečnostní výstrahy z více produktů Defender (koncový bod, Office 365, identita, cloudové aplikace) do jednoho řídicího panelu.
  • Automatická korelace: Automaticky koreluje související výstrahy napříč incidenty a poskytuje bohatší kontext o útoku.
  • Komplexní vyšetřování: Poskytuje nástroje pro hloubkové vyšetřování včetně časové osy událostí, grafů útoků a podrobných informací o postižených subjektech.
  • Coordinated Response: Umožňuje bezpečnostním týmům reagovat na incidenty centrálně pomocí automatických a manuálních akcí.
  • Automatizace odezvy (SOAR): Integruje se s funkcemi SOAR pro automatizaci úloh reakce na incidenty a zkracuje střední dobu odezvy (MTTR).

Předpoklady

Chcete-li monitorovat incidenty v reálném čase pomocí portálu Microsoft 365 Defender, budete potřebovat následující položky:

  1. Licencování: Příslušné licence pro produkty Microsoft 365 Defender (např. Microsoft 365 E5 Security, Microsoft 365 E5), které zahrnují přístup k portálu a možnosti detekce [3].
  2. Administrativní přístup: Účet s oprávněními Security Administrator, Security Operator nebo Security Reader na portálu Microsoft 365 Defender (https://security.microsoft.com).
  3. Aktivní produkty Defender: Alespoň jeden z produktů Defender (Defender for Endpoint, Defender for Office 365, Defender for Identity, Defender for Cloud Apps) musí být aktivní a nakonfigurován pro generování výstrah.
  4. Připojené zdroje dat: Bezpečnostní data musí přijímat a monitorovat příslušné produkty Defender.

Krok za krokem: Monitorování a řízení incidentů

Pojďme prozkoumat rozhraní portálu Microsoft 365 Defender a klíčové funkce pro monitorování a správu incidentů.

1. Přístup k portálu Microsoft 365 Defender Portal

  1. Otevřete prohlížeč a přejděte na https://security.microsoft.com.
  2. Přihlaste se pomocí účtu, který má potřebná oprávnění.

2. Navigace ve frontě incidentů

Fronta incidentů je ústředním bodem pro týmy SecOps. Zde jsou související výstrahy seskupeny a poskytují kontextový pohled na útok.

  1. V levém navigačním panelu vyberte Incidents & Alerts > Incidents.
  2. Fronta incidentů zobrazí seznam všech zjištěných incidentů s informacemi, jako je závažnost, stav, dotčené entity a poslední aktivita.

3. Analýza konkrétního incidentu

Když kliknete na incident, budete mít přístup k podrobnému zobrazení, které zahrnuje všechna související upozornění, zařízení,dotčených uživatelů, uživatelů a souborů.

  1. Ve frontě incidentů kliknutím na Název incidentu otevřete stránku s podrobnostmi.
  2. Stránka s podrobnostmi o incidentu se skládá z několika záložek:
    • Přehled: Poskytuje souhrnné informace o incidentu, včetně závažnosti, stavu, klasifikace, dotčených uživatelů a zařízení.
    • Upozornění: Uvádí všechna upozornění, která souvisela s tímto incidentem. Kliknutím na každé upozornění zobrazíte jeho konkrétní podrobnosti.
    • Zařízení: Zobrazuje všechna zařízení zapojená do incidentu.
    • Uživatelé: Uvádí seznam dotčených nebo zúčastněných uživatelů.
    • Poštovní schránky: Zobrazuje postižené poštovní schránky (pokud existují výstrahy Defenderu pro Office 365).
    • Vyšetřování: Zobrazuje automatizovaná vyšetřování, která byla zahájena v reakci na incident.
    • Důkazy a reakce: Představuje shromážděné důkazy (soubory, adresy IP, adresy URL) a doporučené nebo přijaté akce odezvy.
    • Graf: Vizuální znázornění řetězce útoků znázorňující vztah mezi výstrahami, entitami a událostmi.

4. Správa životního cyklu incidentu

Řízení incidentů zahrnuje přiřazení, klasifikaci a řešení.

  1. Přiřadit incident: Na stránce s podrobnostmi o incidentu v části Přehled můžete přiřadit incident konkrétnímu analytikovi. Klikněte na Přiřadit a vyberte uživatele.
  2. Změnit stav: Změňte Stav incidentu v průběhu vyšetřování (např. „Nový“, „Probíhá“, „Vyřešeno“).
  3. Klasifikace incidentu: Při řešení incidentu jej musíte klasifikovat pro účely učení a hlášení. Klikněte na Klasifikace a vyberte:
    • "Skutečně pozitivní" (pokud je to skutečná hrozba)
    • "Falešně pozitivní" (pokud se jedná o nesprávné upozornění)
    • „Očekávaná aktivita“ (pokud je to legitimní aktivita, která spustila výstrahu)
    • Přidejte Komentář pro zdokumentování rozlišení.
  4. Přidat komentáře: Pomocí sekce Komentáře a historie zaznamenejte kroky, zjištění a přijatá opatření.

5. Provádění akcí odezvy

Na základě šetření můžete přímo z portálu podniknout reakce.

  1. Na kartě Zařízení nebo Uživatelé v rámci incidentu vyberte dotčenou entitu (např. zařízení).
  2. Dostupné akce zahrnují:
    • Izolovat zařízení: Odpojí zařízení od sítě, aby zamezilo hrozbě.
    • Omezit spouštění aplikací: Zabraňuje spouštění neautorizovaných aplikací.
    • Spustit antivirovou kontrolu: Spustí úplnou kontrolu zařízení.
    • Shromažďovat vyšetřovací balíček: Shromažďuje protokoly a forenzní data ze zařízení.
    • Zakázat uživatele: Zakáže uživatelský účet ve službě Azure AD.
    • Resetovat uživatelské heslo: Vynutí resetování uživatelského hesla.

Validace a testování

Pro ověření monitorování incidentů je důležité simulovat scénář útoku a ověřit, že jej portál Microsoft 365 Defender správně detekuje a koreluje.

1. Simulujte útok (Příklad: Test EICAR)

Použijte soubor EICAR (European Institute for Computer Antivirus Research) k simulaci detekce malwaru (jak je popsáno v článku 1 – Defender for Endpoint).

  1. Na zařízení s integrovanou aplikací Defender for Endpoint zkuste stáhnout nebo vytvořit soubor EICAR (https://www.eicar.org/download/eicar.com.txt).
  2. Defender for Endpoint by měl detekovat a zablokovat soubor.
  3. Na portálu Microsoft 365 Defender přejděte na Incidenty a výstrahy > Výstrahy.
  4. Měli byste vidět výstrahu související s detekcí EICAR.
  5. Ověřte, zda tato výstraha souvisí s existujícím incidentem nebo zda byl vytvořen nový incident.

2. Zkontrolujte dobu odezvy a korelaci

Sledujte dobu, za kterou se po simulaci vygeneruje výstraha a koreluje s incidentem. To vám pomůže pochopit efektivitu monitorování v reálném čase.

Bezpečnostní tipy a doporučené postupy

  • Integrujte všechny zdroje: Připojte co nejvíce zdrojů dat a produktů Defender k portálu Microsoft 365 Defender pro nejúplnější zobrazení a nejlepší korelaci incidentů.
  • Definujte role a odpovědnosti: Jasně stanovte, kdo je odpovědný za sledování, vyšetřování a reakci na incidenty.
  • Automatizace jednoduchých odpovědí: Používejte zdrojeAutomatizační nástroje (playbooky), které automaticky reagují na výstrahy s nízkou závažností nebo shromažďují další informace o výstrahách vysoké závažnosti.
  • Zůstaňte v obraze: Zůstaňte v obraze s novými funkcemi a možnostmi v Microsoft 365 Defender, protože platforma se neustále vylepšuje.
  • Stálé školení: Investujte do školení svého týmu SecOps, aby se seznámil s nejnovějšími nástroji a útočnými taktikami.
  • Simulační cvičení: Pravidelně provádějte cvičení simulace incidentů, abyste otestovali efektivitu svých procesů a nástrojů.

Běžné odstraňování problémů

  • Výstrahy se na portálu nezobrazují: Ověřte, zda jsou příslušné produkty Defender aktivní a správně nakonfigurované. Ujistěte se, že vaše datové konektory fungují a odesílají protokoly. Zkontrolujte nastavení pravidel detekce na jednotlivých produktech Defender.
  • Nesouvisející výstrahy napříč incidenty: Microsoft 365 Defender koreluje automaticky. Pokud související výstrahy nejsou seskupeny, může dojít ke zpoždění v přijímání protokolu nebo kontextové informace (uživatel, zařízení, IP) nemusí být dostatečné pro automatickou korelaci. Zkontrolujte protokoly auditu a dobu příjmu.
  • Problémy s výkonem portálu: Vymažte mezipaměť prohlížeče, zkuste použít jiný prohlížeč nebo zkontrolujte připojení k síti. V případě velkých objemů dat může načítání rozhraní chvíli trvat.
  • Akce odezvy se nezdaří: Zkontrolujte oprávnění účtu, který se pokouší provést akci. Ujistěte se, že je cílové zařízení nebo uživatel online a přístupný pro služby Defender.

Závěr

Portál Microsoft 365 Defender je nepostradatelným nástrojem pro každou organizaci, která hledá efektivní proaktivní a reaktivní strategii zabezpečení. Tím, že centralizuje monitorování incidentů, koreluje výstrahy z více zdrojů a poskytuje komplexní možnosti vyšetřování a reakce, umožňuje týmům SecOps chránit svá prostředí v reálném čase. Implementace a efektivní využívání této platformy nejen zlepšuje viditelnost hrozeb, ale také výrazně zkracuje dobu odezvy, čímž posiluje kybernetickou odolnost organizace proti nejsofistikovanějším útokům.

Reference:

[1] Microsoft Learn. Microsoft 365 Defender Portal. Dostupné na: https://learn.microsoft.com/pt-br/microsoft-365/security/defender/microsoft-365-defender-portal?view=o365-worldwide [2] Microsoft Learn. Přehled incidentů v Microsoft 365 Defender. Dostupné na: https://learn.microsoft.com/pt-br/microsoft-365/security/defender/incidents-overview?view=o365-worldwide [3] Microsoft Learn. Požadavky na licence Microsoft 365 Defender. Dostupné na: https://learn.microsoft.com/pt-br/microsoft-365/security/defender/requirements?view=o365-worldwide