Мониторинг инцидентов в режиме реального времени с помощью Центра безопасности Microsoft 365.

Мониторинг инцидентов в режиме реального времени с помощью Центра безопасности Microsoft 365.

08.03.2024

Эта техническая и образовательная статья призвана помочь аналитикам безопасности, ИТ-администраторам и системным инженерам отслеживать и управлять инцидентами безопасности в режиме реального времени с помощью портала Microsoft 365 Defender (ранее известного как Центр безопасности Microsoft 365). Этот портал объединяет возможности мониторинга и реагирования на инциденты нескольких решений безопасности Microsoft, таких как Defender для конечных точек, Defender для Office 365, Defender для удостоверений и Defender для облачных приложений, предоставляя централизованную платформу для операций безопасности [1].

Введение

В постоянно меняющейся среде киберугроз способность быстро и эффективно обнаруживать, расследовать и реагировать на инциденты безопасности имеет решающее значение для минимизации последствий атаки. Портал Microsoft 365 Defender действует как центр управления и контроля, сопоставляя предупреждения системы безопасности от различных продуктов Microsoft в связные инциденты. Это позволяет командам SecOps (операций по обеспечению безопасности) получить целостное представление об атаке, понять ее цепочку действий и более эффективно предпринять корректирующие действия [2].

В этом практическом руководстве описывается, как перемещаться по порталу Защитника Microsoft 365, отслеживать очередь инцидентов, исследовать коррелирующие оповещения и управлять жизненным циклом инцидента. Будут предоставлены пошаговые инструкции, примеры использования интерфейса и методы проверки, чтобы читатель мог оптимизировать свои операции по обеспечению безопасности и улучшить возможности реагирования на инциденты в своей среде Microsoft 365.

Почему портал Защитника Microsoft 365 предназначен для мониторинга инцидентов?

  • Унифицированная видимость: объединяет оповещения безопасности из нескольких продуктов Defender (Endpoint, Office 365, Identity, Cloud Apps) на единой информационной панели.
  • Автоматическая корреляция: автоматически сопоставляет связанные оповещения по инцидентам, предоставляя более полный контекст атаки.
  • Комплексное расследование: предоставляет инструменты углубленного расследования, включая хронологию событий, графики атак и подробную информацию о затронутых объектах.
  • Скоординированное реагирование: позволяет службам безопасности централизованно реагировать на инциденты, используя автоматические и ручные действия.
  • Автоматизация реагирования (SOAR): интегрируется с возможностями SOAR для автоматизации задач реагирования на инциденты, сокращая среднее время реагирования (MTTR).

Предварительные условия

Чтобы отслеживать инциденты в режиме реального времени с помощью портала Защитника Microsoft 365, вам потребуются следующие элементы:

  1. Лицензирование: соответствующие лицензии для продуктов Microsoft 365 Defender (например, Microsoft 365 E5 Security, Microsoft 365 E5), которые включают доступ к порталу и возможности обнаружения [3].
  2. Административный доступ: учетная запись с разрешениями администратора безопасности, оператора безопасности или читателя безопасности на портале Microsoft 365 Defender (https://security.microsoft.com).
  3. Активные продукты Defender. По крайней мере один из продуктов Defender (Защитник для конечной точки, Защитник для Office 365, Защитник для удостоверений, Защитник для облачных приложений) должен быть активен и настроен для создания оповещений.
  4. Подключенные источники данных. Данные безопасности должны приниматься и отслеживаться соответствующими продуктами Defender.

Шаг за шагом: мониторинг и управление инцидентами

Давайте рассмотрим интерфейс портала Microsoft 365 Defender и ключевые функции для мониторинга и управления инцидентами.

1. Доступ к порталу Защитника Microsoft 365

  1. Откройте браузер и перейдите по адресу https://security.microsoft.com.
  2. Войдите в систему под учетной записью, имеющей необходимые разрешения.

2. Навигация по очереди инцидентов

Очередь инцидентов является центральной точкой для команд безопасности. Здесь связанные оповещения группируются вместе, чтобы обеспечить контекстуальное представление об атаке.

  1. На левой панели навигации выберите Инциденты и оповещения > Инциденты.
  2. В очереди инцидентов отобразится список всех обнаруженных инцидентов с такой информацией, как серьезность, статус, затронутые объекты и последняя активность.

3. Анализ конкретного инцидента

Нажав на инцидент, вы получите доступ к подробному представлению, включающему все связанные оповещения, устройства,затронутые пользователи, пользователи и файлы.

  1. В очереди инцидентов нажмите Имя инцидента, чтобы открыть страницу его сведений.
  2. Страница сведений об инциденте состоит из нескольких вкладок:
    • Обзор. Предоставляет сводную информацию об инциденте, включая серьезность, статус, классификацию, затронутых пользователей и устройства.
    • Оповещения: список всех оповещений, связанных с этим инцидентом. Вы можете нажать на каждое предупреждение, чтобы просмотреть его подробные сведения.
    • Устройства: отображаются все устройства, вовлеченные в инцидент.
    • Пользователи: список затронутых или вовлеченных пользователей.
    • Почтовые ящики: отображаются затронутые почтовые ящики (при наличии предупреждений Защитника для Office 365).
    • Расследования: отображаются автоматические расследования, начатые в ответ на инцидент.
    • Доказательства и ответ: представлены собранные доказательства (файлы, IP-адреса, URL-адреса) и рекомендованные или предпринятые ответные действия.
    • График: визуальное представление цепочки атак, показывающее взаимосвязь между оповещениями, объектами и событиями.

4. Управление жизненным циклом инцидента

Управление инцидентами включает назначение, классификацию и разрешение.

  1. Назначить инцидент. На странице сведений об инциденте в разделе Обзор вы можете назначить инцидент конкретному аналитику. Нажмите Назначить и выберите пользователя.
  2. Изменить статус. Изменяйте статус инцидента по мере продвижения расследования (например, «Новый», «В процессе», «Решено»).
  3. Классификация инцидента. При разрешении инцидента вы должны классифицировать его в целях обучения и отчетности. Нажмите Классификация и выберите:
    • True Positive (если это реальная угроза)
    • «Ложное срабатывание» (если это неверное предупреждение)
    • Ожидаемая активность (если это законная деятельность, вызвавшая предупреждение)
    • Добавьте Комментарий, чтобы задокументировать решение.
  4. Добавить комментарии. Используйте раздел Комментарии и история, чтобы записать этапы расследования, выводы и предпринятые действия.

5. Выполнение ответных действий

По результатам расследования вы можете принять ответные меры прямо с портала.

  1. На вкладке Устройства или Пользователи в инциденте выберите затронутый объект (например, устройство).
  2. Доступные действия включают:
    • Изолировать устройство: отключает устройство от сети, чтобы локализовать угрозу.
    • Ограничить выполнение приложений: предотвращает запуск неавторизованных приложений.
    • Запустить антивирусное сканирование: запускает полное сканирование устройства.
    • Собрать пакет расследования: собирает журналы и аналитические данные с устройства.
    • Отключить пользователя: отключает учетную запись пользователя в Azure AD.
    • Сбросить пароль пользователя: принудительный сброс пароля пользователя.

Проверка и тестирование

Чтобы проверить мониторинг инцидентов, важно смоделировать сценарий атаки и убедиться, что портал Защитника Microsoft 365 правильно обнаруживает и сопоставляет его.

1. Имитация атаки (пример: тест EICAR)

Используйте файл EICAR (Европейский институт компьютерных антивирусных исследований) для имитации обнаружения вредоносного ПО (как описано в статье 1 — Защитник для конечной точки).

  1. На устройстве, оснащенном Defender for Endpoint, попробуйте загрузить или создать файл EICAR (https://www.eicar.org/download/eicar.com.txt).
  2. Защитник конечной точки должен обнаружить и заблокировать файл.
  3. На портале Защитника Microsoft 365 перейдите в раздел Инциденты и оповещения > Оповещения.
  4. Вы должны увидеть предупреждение, связанное с обнаружением EICAR.
  5. Проверьте, связано ли это предупреждение с существующим инцидентом или был создан новый инцидент.

2. Проверьте время отклика и корреляцию

Обратите внимание на время, необходимое для создания оповещения и сопоставления его с инцидентом после моделирования. Это поможет вам понять эффективность мониторинга в реальном времени.

Советы и рекомендации по безопасности

  • Интегрируйте все источники. Подключите как можно больше источников данных и продуктов Defender к порталу Microsoft 365 Defender для наиболее полного представления и наилучшей корреляции инцидентов.
  • Определите роли и обязанности. Четко определите, кто несет ответственность за мониторинг, расследование инцидентов и реагирование на них.
  • Автоматизация простых ответов: используйте ресурсы.Инструменты автоматизации (сборники сценариев) для автоматического реагирования на оповещения низкой важности или для сбора дополнительной информации о оповещениях высокой серьезности.
  • Будьте в курсе: будьте в курсе новых функций и возможностей Microsoft 365 Defender, поскольку платформа постоянно совершенствуется.
  • Постоянное обучение. Инвестируйте в обучение своей команды SecOps, чтобы они были знакомы с новейшими инструментами и тактикой атак.
  • Упражнения по моделированию: регулярно проводите учения по моделированию инцидентов, чтобы проверить эффективность ваших процессов и инструментов.

Распространенное устранение неполадок

  • Оповещения не отображаются на портале. Убедитесь, что соответствующие продукты Defender активны и правильно настроены. Убедитесь, что коннекторы данных работают и отправляют журналы. Проверьте настройки правил обнаружения в отдельных продуктах Defender.
  • Некоррелированные оповещения об инцидентах: Защитник Microsoft 365 коррелирует автоматически. Если связанные оповещения не группируются вместе, может возникнуть задержка при приеме журнала или контекстной информации (пользователь, устройство, IP-адрес) может оказаться недостаточно для автоматической корреляции. Проверьте журналы аудита и время приема.
  • Проблемы с производительностью портала: очистите кеш браузера, попробуйте использовать другой браузер или проверьте сетевое подключение. В случае больших объемов данных загрузка интерфейса может занять некоторое время.
  • Не удалось выполнить ответные действия: проверьте разрешения учетной записи, пытающейся выполнить действие. Убедитесь, что целевое устройство или пользователь подключены к сети и доступны службам Защитника.

Заключение

Портал Microsoft 365 Defender — незаменимый инструмент для любой организации, которой нужна эффективная стратегия превентивной и реактивной безопасности. Централизуя мониторинг инцидентов, сопоставляя оповещения из нескольких источников и предоставляя комплексные возможности расследования и реагирования, он позволяет командам SecOps защищать свою среду в режиме реального времени. Внедрение и эффективное использование этой платформы не только улучшает видимость угроз, но и значительно сокращает время реагирования, повышая киберустойчивость организации к самым изощренным атакам.

Ссылки:

[1] Microsoft Learn. Портал Microsoft 365 Defender. Доступно по адресу: https://learn.microsoft.com/pt-br/microsoft-365/security/defender/microsoft-365-defender-portal?view=o365-worldwide [2] Microsoft Learn. Обзор инцидентов в Microsoft 365 Defender. Доступно по адресу: https://learn.microsoft.com/pt-br/microsoft-365/security/defender/incidents-overview?view=o365-worldwide. [3] Microsoft Learn. Требования к лицензированию Microsoft 365 Defender. Доступно по адресу: https://learn.microsoft.com/pt-br/microsoft-365/security/defender/requirements?view=o365-worldwide.