Microsoft 365 सुरक्षा केंद्र के साथ वास्तविक समय में घटनाओं की निगरानी करना

Microsoft 365 सुरक्षा केंद्र के साथ वास्तविक समय में घटनाओं की निगरानी करना

03/08/2024

इस तकनीकी और शैक्षिक लेख का उद्देश्य Microsoft 365 डिफेंडर पोर्टल (जिसे पहले Microsoft 365 सुरक्षा केंद्र के रूप में जाना जाता था) का उपयोग करके वास्तविक समय की सुरक्षा घटनाओं की निगरानी और प्रबंधन में सुरक्षा विश्लेषकों, आईटी प्रशासकों और सिस्टम इंजीनियरों का मार्गदर्शन करना है। यह पोर्टल कई माइक्रोसॉफ्ट सुरक्षा समाधानों की दृश्यता और घटना प्रतिक्रिया क्षमताओं को एकीकृत करता है, जैसे एंडपॉइंट के लिए डिफेंडर, ऑफिस 365 के लिए डिफेंडर, आइडेंटिटी के लिए डिफेंडर और क्लाउड ऐप्स के लिए डिफेंडर, सुरक्षा संचालन के लिए एक केंद्रीकृत मंच प्रदान करता है [1]।

परिचय

लगातार विकसित हो रहे साइबर खतरे के माहौल में, किसी हमले के प्रभाव को कम करने के लिए सुरक्षा घटनाओं का तुरंत और कुशलता से पता लगाने, जांच करने और प्रतिक्रिया देने की क्षमता महत्वपूर्ण है। Microsoft 365 डिफेंडर पोर्टल एक कमांड और नियंत्रण केंद्र के रूप में कार्य करता है, जो विभिन्न Microsoft उत्पादों से सुरक्षा अलर्ट को सुसंगत घटनाओं में सहसंबंधित करता है। यह SecOps (सुरक्षा संचालन) टीमों को किसी हमले का समग्र दृष्टिकोण प्राप्त करने, इसकी मारक श्रृंखला को समझने और अधिक प्रभावी ढंग से सुधारात्मक कार्रवाई करने की अनुमति देता है [2]।

यह कैसे करें मार्गदर्शिका Microsoft 365 डिफेंडर पोर्टल को नेविगेट करने, घटना कतार की निगरानी करने, सहसंबद्ध अलर्ट की जांच करने और किसी घटना के जीवनचक्र को प्रबंधित करने के तरीके को कवर करेगी। चरण-दर-चरण निर्देश, इंटरफ़ेस उपयोग उदाहरण और सत्यापन विधियां प्रदान की जाएंगी ताकि पाठक अपने सुरक्षा संचालन को अनुकूलित कर सकें और अपने Microsoft 365 वातावरण में घटना प्रतिक्रिया क्षमताओं में सुधार कर सकें।

घटना की निगरानी के लिए Microsoft 365 डिफ़ेंडर पोर्टल क्यों?

  • एकीकृत दृश्यता: एकाधिक डिफेंडर उत्पादों (एंडपॉइंट, ऑफिस 365, आइडेंटिटी, क्लाउड ऐप्स) से सुरक्षा अलर्ट को एक ही डैशबोर्ड में एकत्रित करता है।
  • स्वचालित सहसंबंध: किसी हमले के बारे में समृद्ध संदर्भ प्रदान करते हुए, घटनाओं से संबंधित अलर्ट को स्वचालित रूप से सहसंबंधित करता है।
  • व्यापक जांच: घटनाओं की समय-सीमा, हमले के ग्राफ और प्रभावित संस्थाओं के बारे में विस्तृत जानकारी सहित गहन जांच उपकरण प्रदान करता है।
  • समन्वित प्रतिक्रिया: सुरक्षा टीमों को स्वचालित और मैन्युअल कार्रवाइयों के साथ केंद्रीय रूप से घटनाओं पर प्रतिक्रिया करने की अनुमति देता है।
  • प्रतिक्रिया का स्वचालन (SOAR): घटना प्रतिक्रिया कार्यों को स्वचालित करने के लिए SOAR क्षमताओं के साथ एकीकृत होता है, जिससे प्रतिक्रिया के लिए औसत समय (MTTR) कम हो जाता है।

पूर्वावश्यकताएँ

Microsoft 365 डिफेंडर पोर्टल के साथ वास्तविक समय में घटनाओं की निगरानी करने के लिए, आपको निम्नलिखित वस्तुओं की आवश्यकता होगी:

  1. लाइसेंसिंग: Microsoft 365 डिफ़ेंडर उत्पादों (उदाहरण के लिए Microsoft 365 E5 सुरक्षा, Microsoft 365 E5) के लिए उपयुक्त लाइसेंस जिसमें पोर्टल और पहचान क्षमताओं तक पहुंच शामिल है [3]।
  2. प्रशासनिक पहुंच: Microsoft 365 डिफेंडर पोर्टल (https://security.microsoft.com) में सुरक्षा प्रशासक, सुरक्षा ऑपरेटर, या सुरक्षा रीडर अनुमतियों वाला एक खाता।
  3. सक्रिय डिफेंडर उत्पाद: कम से कम एक डिफेंडर उत्पाद (एंडपॉइंट के लिए डिफेंडर, ऑफिस 365 के लिए डिफेंडर, पहचान के लिए डिफेंडर, क्लाउड ऐप्स के लिए डिफेंडर) सक्रिय होना चाहिए और अलर्ट उत्पन्न करने के लिए कॉन्फ़िगर किया जाना चाहिए।
  4. कनेक्टेड डेटा स्रोत: सुरक्षा डेटा को संबंधित डिफेंडर उत्पादों द्वारा ग्रहण और मॉनिटर किया जाना चाहिए।

कदम दर कदम: घटनाओं की निगरानी और प्रबंधन

आइए घटना की निगरानी और प्रबंधन के लिए Microsoft 365 डिफेंडर पोर्टल इंटरफ़ेस और प्रमुख कार्यक्षमताओं का पता लगाएं।

1. Microsoft 365 डिफ़ेंडर पोर्टल तक पहुँचना

  1. अपना ब्राउज़र खोलें और https://security.microsoft.com पर जाएँ।
  2. उस खाते से लॉग इन करें जिसके पास आवश्यक अनुमतियाँ हैं।

2. घटना कतार को नेविगेट करना

घटना कतार SecOps टीमों के लिए केंद्रीय बिंदु है। यह वह जगह है जहां किसी हमले का प्रासंगिक दृश्य प्रदान करने के लिए संबंधित अलर्ट को एक साथ समूहीकृत किया जाता है।

  1. बाएँ नेविगेशन फलक में, घटनाएँ और अलर्ट > घटनाएँ चुनें।
  2. घटना कतार गंभीरता, स्थिति, प्रभावित संस्थाओं और अंतिम गतिविधि जैसी जानकारी के साथ सभी ज्ञात घटनाओं की एक सूची प्रदर्शित करेगी।

3. किसी विशिष्ट घटना का विश्लेषण करना

जब आप किसी घटना पर क्लिक करते हैं, तो आपको एक विस्तृत दृश्य तक पहुंच प्राप्त होगी जिसमें सभी सहसंबद्ध अलर्ट, डिवाइस शामिल होंगे।प्रभावित उपयोगकर्ता, उपयोक्ता और फ़ाइलें।

  1. घटना कतार में, किसी घटना का विवरण पृष्ठ खोलने के लिए उसके नाम पर क्लिक करें।
  2. घटना विवरण पृष्ठ कई टैब से बना है:
    • अवलोकन: गंभीरता, स्थिति, वर्गीकरण, प्रभावित उपयोगकर्ताओं और उपकरणों सहित घटना का सारांश प्रदान करता है।
    • अलर्ट: इस घटना से संबंधित सभी अलर्ट सूचीबद्ध करता है। आप प्रत्येक अलर्ट पर क्लिक करके उसका विशिष्ट विवरण देख सकते हैं।
    • डिवाइस: घटना में शामिल सभी डिवाइस दिखाता है।
    • उपयोगकर्ता: प्रभावित या शामिल उपयोगकर्ताओं की सूची।
    • मेलबॉक्स: प्रभावित मेलबॉक्स दिखाता है (यदि Office 365 अलर्ट के लिए डिफेंडर हैं)।
    • जांच: घटना के जवाब में शुरू की गई स्वचालित जांच को प्रदर्शित करता है।
    • साक्ष्य और प्रतिक्रिया: एकत्रित साक्ष्य (फ़ाइलें, आईपी, यूआरएल) और अनुशंसित या की गई प्रतिक्रिया कार्रवाइयां प्रस्तुत करता है।
    • ग्राफ़: हमले की श्रृंखला का एक दृश्य प्रतिनिधित्व, अलर्ट, संस्थाओं और घटनाओं के बीच संबंध दर्शाता है।

4. घटना जीवनचक्र का प्रबंधन

घटना प्रबंधन में असाइनमेंट, वर्गीकरण और समाधान शामिल है।

  1. घटना निर्दिष्ट करें: घटना विवरण पृष्ठ पर, अवलोकन अनुभाग में, आप घटना को एक विशिष्ट विश्लेषक को सौंप सकते हैं। असाइन करें पर क्लिक करें और एक उपयोगकर्ता चुनें।
  2. स्थिति बदलें: जांच आगे बढ़ने पर घटना की स्थिति बदलें (जैसे नया, प्रगति में, समाधान)।
  3. घटना को वर्गीकृत करें: किसी घटना को हल करते समय, आपको इसे सीखने और रिपोर्टिंग उद्देश्यों के लिए वर्गीकृत करना होगा। वर्गीकरण पर क्लिक करें और चुनें:
    • सच्चा सकारात्मक (यदि यह वास्तविक खतरा है)
    • गलत सकारात्मक (यदि यह गलत चेतावनी है)
    • अपेक्षित गतिविधि (यदि यह वैध गतिविधि है जिसने अलर्ट ट्रिगर किया है)
    • संकल्प का दस्तावेजीकरण करने के लिए एक टिप्पणी जोड़ें।
  4. टिप्पणियाँ जोड़ें: जांच के कदमों, निष्कर्षों और की गई कार्रवाइयों को रिकॉर्ड करने के लिए टिप्पणियाँ और इतिहास अनुभाग का उपयोग करें।

5. प्रतिक्रिया क्रियाएँ करना

जांच के आधार पर, आप सीधे पोर्टल से प्रतिक्रिया कार्रवाई कर सकते हैं।

  1. घटना के भीतर डिवाइस या उपयोगकर्ता टैब में, एक प्रभावित इकाई (उदाहरण के लिए एक डिवाइस) का चयन करें।
  2. उपलब्ध क्रियाओं में शामिल हैं:
    • डिवाइस को अलग करें: खतरे को रोकने के लिए डिवाइस को नेटवर्क से डिस्कनेक्ट कर देता है।
    • एप्लिकेशन निष्पादन को प्रतिबंधित करें: अनधिकृत एप्लिकेशन को चलने से रोकता है।
    • एंटीवायरस स्कैन चलाएँ: डिवाइस का पूर्ण स्कैन प्रारंभ करता है।
    • जांच पैकेज एकत्र करें: डिवाइस से लॉग और फोरेंसिक डेटा एकत्र करता है।
    • उपयोगकर्ता को अक्षम करें: Azure AD में उपयोगकर्ता खाते को अक्षम करता है।
    • उपयोगकर्ता पासवर्ड रीसेट करें: उपयोगकर्ता पासवर्ड को रीसेट करने के लिए बाध्य करता है।

सत्यापन और परीक्षण

घटना की निगरानी को मान्य करने के लिए, हमले के परिदृश्य का अनुकरण करना और यह सत्यापित करना महत्वपूर्ण है कि Microsoft 365 डिफेंडर पोर्टल इसका सही ढंग से पता लगाता है और सहसंबंधित करता है।

1. एक हमले का अनुकरण करें (उदाहरण: ईआईसीएआर परीक्षण)

मैलवेयर का पता लगाने के लिए EICAR (यूरोपियन इंस्टीट्यूट फॉर कंप्यूटर एंटीवायरस रिसर्च) फ़ाइल का उपयोग करें (जैसा कि अनुच्छेद 1 - एंडपॉइंट के लिए डिफेंडर में वर्णित है)।

  1. एंडपॉइंट के लिए डिफेंडर से जुड़े डिवाइस पर, एक EICAR फ़ाइल (https://www.eicar.org/download/eicar.com.txt) डाउनलोड करने या बनाने का प्रयास करें।
  2. एंडपॉइंट के डिफेंडर को फ़ाइल का पता लगाना चाहिए और उसे ब्लॉक करना चाहिए।
  3. माइक्रोसॉफ्ट 365 डिफेंडर पोर्टल में, घटनाएं और अलर्ट > अलर्ट पर जाएं।
  4. आपको EICAR डिटेक्शन से संबंधित एक अलर्ट देखना चाहिए।
  5. सत्यापित करें कि क्या यह अलर्ट किसी मौजूदा घटना से संबंधित है या क्या कोई नई घटना बनाई गई है।

2. प्रतिक्रिया समय और सहसंबंध की जाँच करें

सिमुलेशन के बाद अलर्ट उत्पन्न होने और किसी घटना से सहसंबद्ध होने में लगने वाले समय का निरीक्षण करें। इससे आपको वास्तविक समय की निगरानी की प्रभावशीलता को समझने में मदद मिलती है।

सुरक्षा युक्तियाँ और सर्वोत्तम प्रथाएँ

  • सभी स्रोतों को एकीकृत करें: सबसे संपूर्ण दृश्य और सर्वोत्तम घटना सहसंबंध के लिए जितना संभव हो उतने डिफेंडर डेटा स्रोतों और उत्पादों को Microsoft 365 डिफेंडर पोर्टल से कनेक्ट करें।
  • भूमिकाएं और जिम्मेदारियां परिभाषित करें: स्पष्ट रूप से स्थापित करें कि घटनाओं की निगरानी, ​​जांच और प्रतिक्रिया के लिए कौन जिम्मेदार है।
  • सरल प्रतिक्रियाएँ स्वचालित करें: संसाधनों का उपयोग करेंकम-गंभीरता वाले प्रकार के अलर्ट पर स्वचालित रूप से प्रतिक्रिया देने या उच्च-गंभीरता वाले अलर्ट पर अतिरिक्त जानकारी एकत्र करने के लिए स्वचालन उपकरण (प्लेबुक)।
  • अद्यतित रहें: Microsoft 365 डिफेंडर में नई सुविधाओं और क्षमताओं के साथ अद्यतित रहें क्योंकि प्लेटफ़ॉर्म में लगातार सुधार किया जा रहा है।
  • चल रही ट्रेनिंग: अपनी SecOps टीम को प्रशिक्षित करने में निवेश करें ताकि वे नवीनतम टूल और हमले की रणनीति से परिचित हों।
  • सिमुलेशन अभ्यास: अपनी प्रक्रियाओं और उपकरणों की प्रभावशीलता का परीक्षण करने के लिए नियमित रूप से घटना सिमुलेशन अभ्यास का संचालन करें।

सामान्य समस्या निवारण

  • अलर्ट पोर्टल में दिखाई नहीं देते: सत्यापित करें कि प्रासंगिक डिफेंडर उत्पाद सक्रिय हैं और सही ढंग से कॉन्फ़िगर किए गए हैं। सुनिश्चित करें कि आपके डेटा कनेक्टर काम कर रहे हैं और लॉग भेज रहे हैं। अलग-अलग डिफेंडर उत्पादों पर डिटेक्शन नियम सेटिंग्स की जाँच करें।
  • घटनाओं के बीच असंबद्ध अलर्ट: Microsoft 365 डिफेंडर स्वचालित रूप से सहसंबद्ध होता है। यदि संबंधित अलर्ट को एक साथ समूहीकृत नहीं किया जा रहा है, तो लॉग अंतर्ग्रहण में देरी हो सकती है या प्रासंगिक जानकारी (उपयोगकर्ता, डिवाइस, आईपी) स्वचालित सहसंबंध के लिए पर्याप्त नहीं हो सकती है। ऑडिट लॉग और अंतर्ग्रहण समय की जाँच करें।
  • पोर्टल प्रदर्शन संबंधी समस्याएं: अपना ब्राउज़र कैश साफ़ करें, किसी भिन्न ब्राउज़र का उपयोग करने का प्रयास करें, या अपनी नेटवर्क कनेक्टिविटी जांचें। बड़ी डेटा मात्रा के मामलों में, इंटरफ़ेस को लोड होने में कुछ समय लग सकता है।
  • प्रतिक्रिया क्रियाएं विफल: कार्रवाई करने का प्रयास करने वाले खाते की अनुमतियों की जांच करें। सुनिश्चित करें कि लक्ष्य डिवाइस या उपयोगकर्ता ऑनलाइन है और डिफेंडर सेवाओं द्वारा पहुंच योग्य है।

निष्कर्ष

Microsoft 365 डिफेंडर पोर्टल प्रभावी सक्रिय और प्रतिक्रियाशील सुरक्षा रणनीति चाहने वाले किसी भी संगठन के लिए एक अनिवार्य उपकरण है। घटना की निगरानी को केंद्रीकृत करके, कई स्रोतों से अलर्ट को सहसंबंधित करके, और व्यापक जांच और प्रतिक्रिया क्षमताएं प्रदान करके, यह SecOps टीमों को वास्तविक समय में अपने पर्यावरण की रक्षा करने के लिए सशक्त बनाता है। इस प्लेटफ़ॉर्म को लागू करने और प्रभावी ढंग से उपयोग करने से न केवल खतरे की दृश्यता में सुधार होता है, बल्कि प्रतिक्रिया समय भी काफी कम हो जाता है, जिससे सबसे परिष्कृत हमलों के खिलाफ संगठन की साइबर लचीलापन मजबूत होता है।

संदर्भ:

[1] माइक्रोसॉफ्ट लर्न। माइक्रोसॉफ्ट 365 डिफेंडर पोर्टल। यहां उपलब्ध है: https://learn.microsoft.com/pt-br/microsoft-365/security/defender/microsoft-365-defender-portal?view=o365-worldव्यापी [2] माइक्रोसॉफ्ट लर्न। Microsoft 365 डिफेंडर में घटनाओं का अवलोकन। यहां उपलब्ध है: https://learn.microsoft.com/pt-br/microsoft-365/security/defender/incidents-overview?view=o365-worldव्यापी [3] माइक्रोसॉफ्ट लर्न। Microsoft 365 डिफेंडर लाइसेंसिंग आवश्यकताएँ। यहां उपलब्ध है: https://learn.microsoft.com/pt-br/microsoft-365/security/defender/requirements?view=o365-worldव्यापी