使用 Microsoft 365 安全中心实时监控事件

2024年3月8日

本文旨在指导安全分析师、IT 管理员和系统工程师使用 Microsoft 365 Defender 门户（以前称为 Microsoft 365 安全中心）监视和管理实时安全事件。该门户统一了多个 Microsoft 安全解决方案（例如 Defender for Endpoint、Defender for Office 365、Defender for Identity 和 Defender for Cloud Apps）的可见性和事件响应功能，为安全操作提供集中式平台 [1]。

简介

在不断发展的网络威胁环境中，快速有效地检测、调查和响应安全事件的能力对于最大限度地减少攻击的影响至关重要。 Microsoft 365 Defender 门户充当命令和控制中心，将来自不同 Microsoft 产品的安全警报关联为连贯的事件。这使得 SecOps（安全运营）团队能够全面了解攻击、了解其杀伤链并更有效地采取纠正措施 [2]。

本操作指南将介绍如何导航 Microsoft 365 Defender 门户、监视事件队列、调查相关警报以及管理事件的生命周期。将提供分步说明、界面使用示例和验证方法，以便读者可以在 Microsoft 365 环境中优化其安全操作并提高事件响应能力。

为什么使用 Microsoft 365 Defender 门户进行事件监控？

统一可见性：将来自多个 Defender 产品（端点、Office 365、身份、云应用程序）的安全警报聚合到单个仪表板中。
自动关联：自动关联跨事件的相关警报，提供有关攻击的更丰富的背景信息。
全面调查：提供深入的调查工具，包括事件时间表、攻击图和有关受影响实体的详细信息。
协调响应：允许安全团队通过自动和手动操作集中响应事件。
响应自动化 (SOAR)：与 SOAR 功能集成以自动执行事件响应任务，从而缩短平均响应时间 (MTTR)。

先决条件

要使用 Microsoft 365 Defender 门户实时监控事件，您需要以下项目：

许可：Microsoft 365 Defender 产品（例如 Microsoft 365 E5 Security、Microsoft 365 E5）的适当许可证，包括对门户的访问和检测功能 [3]。
管理访问权限：在 Microsoft 365 Defender 门户 (https://security.microsoft.com) 中具有安全管理员、安全操作员或安全读者权限的帐户。
主动 Defender 产品：至少一种 Defender 产品（Defender for Endpoint、Defender for Office 365、Defender for Identity、Defender for Cloud Apps）必须处于活动状态并配置为生成警报。
连接的数据源：安全数据必须由相应的 Defender 产品摄取和监控。

一步一步：监控和管理事件

让我们探索 Microsoft 365 Defender 门户界面以及事件监控和管理的关键功能。

1.访问 Microsoft 365 Defender 门户

打开浏览器并导航至“https://security.microsoft.com”。
使用具有必要权限的帐户登录。

2. 浏览事件队列

事件队列是 SecOps 团队的中心点。在这里，相关警报被分组在一起，以提供攻击的上下文视图。

在左侧导航窗格中，选择“事件和警报”>“事件”。
事件队列将显示所有检测到的事件的列表，其中包含严重性、状态、受影响的实体和上次活动等信息。

3. 分析特定事件

当您单击事件时，您将可以访问详细视图，其中包括所有相关警报、设备、受影响的用户、用户和文件。

在事件队列中，单击事件的名称以打开其详细信息页面。
事件详情页面由几个选项卡组成：
- 概述：提供事件的摘要，包括严重性、状态、分类、受影响的用户和设备。
- 警报：列出与此事件相关的所有警报。您可以单击每个警报以查看其具体详细信息。
- 设备：显示事件涉及的所有设备。
- 用户：列出受影响或涉及的用户。
- 邮箱：显示受影响的邮箱（如果有 Defender for Office 365 警报）。
- 调查：显示为响应事件而启动的自动调查。
- 证据和响应：呈现收集的证据（文件、IP、URL）以及建议或采取的响应操作。
- 图表：攻击链的可视化表示，显示警报、实体和事件之间的关系。

4. 管理事件生命周期

事件管理涉及分配、分类和解决。

分配事件：在事件详细信息页面的概述部分中，您可以将事件分配给特定分析师。单击“分配给”并选择一个用户。
更改状态：随着调查的进展更改事件的状态（例如“新”、“进行中”、“已解决”）。
对事件进行分类：解决事件时，您必须将其分类以供学习和报告之用。单击分类并选择： “真阳性”（如果是真正的威胁） “误报”（如果是不正确的警报） *“预期活动”（如果是触发警报的合法活动）
- 添加评论以记录解决方案。
添加评论：使用评论和历史记录部分记录调查步骤、调查结果和采取的行动。

5. 执行响应操作

根据调查，您可以直接从门户采取响应操作。

在事件中的设备或用户选项卡中，选择受影响的实体（例如设备）。
可用的操作包括：
- 隔离设备：断开设备与网络的连接以遏制威胁。
- 限制应用程序执行：防止未经授权的应用程序运行。
- 运行防病毒扫描：开始对设备进行全面扫描。
- 收集调查包：从设备收集日志和取证数据。
- 禁用用户：禁用 Azure AD 中的用户帐户。
- 重置用户密码：强制重置用户密码。

验证和测试

为了验证事件监控，模拟攻击场景并验证 Microsoft 365 Defender 门户是否正确检测并关联它非常重要。

1. 模拟攻击（示例：EICAR 测试）

使用 EICAR（欧洲计算机防病毒研究所）文件模拟恶意软件检测（如第 1 条 - Defender for Endpoint 中所述）。

在装有 Defender for Endpoint 的设备上，尝试下载或创建 EICAR 文件 (https://www.eicar.org/download/eicar.com.txt)。
Defender for Endpoint 应检测并阻止该文件。
在 Microsoft 365 Defender 门户中，转到 事件和警报 > 警报。
您应该看到与 EICAR 检测相关的警报。
验证此警报是否已与现有事件相关或是否已创建新事件。

2. 检查响应时间和相关性

观察模拟后生成警报并将其与事件关联所需的时间。这有助于您了解实时监控的有效性。

安全提示和最佳实践

集成所有源：将尽可能多的 Defender 数据源和产品连接到 Microsoft 365 Defender 门户，以获得最完整的视图和最佳的事件关联。
定义角色和职责：明确确定谁负责监控、调查和响应事件。
自动化简单响应：使用资源自动化工具（剧本），用于自动响应低严重性类型的警报或收集有关高严重性警报的附加信息。
保持最新状态：随着 Microsoft 365 Defender 平台的不断改进，随时了解 Microsoft 365 Defender 中的新特性和功能。
持续培训：投资培训您的 SecOps 团队，使他们熟悉最新的工具和攻击策略。
模拟练习：定期进行事件模拟练习，以测试流程和工具的有效性。

常见故障排除

警报不会出现在门户中：验证相关 Defender 产品是否处于活动状态且配置正确。确保您的数据连接器正常工作并发送日志。检查各个 Defender 产品上的检测规则设置。
跨事件的不相关警报：Microsoft 365 Defender 自动关联。如果相关警报未分组在一起，则日志摄取可能会出现延迟，或者上下文信息（用户、设备、IP）可能不足以进行自动关联。检查审核日志和摄取时间。
门户性能问题：清除浏览器缓存，尝试使用其他浏览器，或检查网络连接。如果数据量较大，界面可能需要一段时间才能加载。
响应操作失败：检查尝试执行操作的帐户的权限。确保目标设备或用户在线并且可以通过 Defender 服务访问。

结论

对于任何寻求有效的主动和被动安全策略的组织来说，Microsoft 365 Defender 门户都是不可或缺的工具。通过集中事件监控、关联多个来源的警报以及提供全面的调查和响应功能，它使 SecOps 团队能够实时保护其环境。实施和有效使用该平台不仅可以提高威胁可见性，还可以显着缩短响应时间，从而增强组织针对最复杂攻击的网络弹性。

参考资料：

[1] 微软学习。 Microsoft 365 Defender 门户。网址：https://learn.microsoft.com/pt-br/microsoft-365/security/defender/microsoft-365-defender-portal?view=o365-worldwide [2] 微软学习。 Microsoft 365 Defender 中的事件概述。网址：https://learn.microsoft.com/pt-br/microsoft-365/security/defender/incidents-overview?view=o365-worldwide [3] 微软学习。 Microsoft 365 Defender 许可要求。网址：https://learn.microsoft.com/pt-br/microsoft-365/security/defender/requirements?view=o365-worldwide