通过

在Microsoft Defender门户中调查事件

  • 适用于: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Defender门户将所有资产中的相关警报、资产、调查和证据呈现到事件中,让你全面了解攻击的整个范围。

在事件中,可以分析警报,了解它们的含义,并整理证据,以便制定有效的修正计划。

初始调查

在深入了解详细信息之前,请查看事件的属性和整个攻击故事。

首先,可以从“检查标记”列中选择事件。 下面是一个示例。

在Microsoft Defender门户中选择事件

执行此作时,会打开一个摘要窗格,其中包含有关事件的关键信息,例如事件的详细信息、建议的作和相关威胁。 下面是一个示例。

显示Microsoft Defender门户中事件的摘要详细信息的窗格。

在此处,可以选择“ 打开事件”页。 这会打开事件的主页,你可以在其中找到完整的攻击事件信息和警报、设备、用户、调查和证据选项卡。 还可以通过从事件队列中选择事件名称来打开事件的主页。

注意

对智能 Microsoft Security Copilot 副驾驶®具有预配访问权限的用户在打开事件时,将看到屏幕右侧的“Copilot”窗格。 Copilot 提供实时见解和建议,帮助你调查和响应事件。 有关详细信息,请参阅 Microsoft Defender 中的Microsoft Copilot

攻击故事

攻击事件可帮助你快速查看、调查和修正攻击,同时在同一选项卡上查看攻击的完整故事。它还允许查看实体详细信息并采取修正作,例如删除文件或隔离设备,而不会丢失上下文。

以下视频简要描述了攻击故事。

在攻击事件中,可以找到警报页和事件图。

事件警报页包含以下部分:

  • 警报故事,其中包括:

    • 发生了什么事
    • Mailbox01 会使用新的数据库重新联机。
    • 相关事件

  • 右窗格中的警报属性 (状态、详细信息、说明和其他)

请注意,并非每个警报都将包含 警报情景 部分中列出的所有子部分。

该图显示攻击的全部范围、攻击如何随时间推移在网络中传播、攻击的开始位置以及攻击者走得有多远。 它将属于攻击的不同可疑实体与其相关资产(例如用户、设备和邮箱)连接起来。

从图形中,可以:

  • 播放随时间推移发生的警报和图形上的节点,以了解攻击的年表。

    显示攻击情景图页上的警报和节点的播放的屏幕截图。

  • 打开实体窗格,允许查看实体详细信息并执行修正作,例如删除文件或隔离设备。

    显示攻击故事图页上实体详细信息的查看的屏幕截图。

  • 根据警报相关的实体突出显示警报。

  • 搜寻设备、文件、IP 地址、URL、用户、电子邮件、邮箱或云资源的实体信息。

转到查寻

go 搜寻作利用高级搜寻功能来查找有关实体的相关信息。 go 搜寻查询会检查相关架构表是否存在涉及你正在调查的特定实体的任何事件或警报。 可以选择任何选项来查找有关实体的相关信息:

  • 查看所有可用查询 - 选项返回正在调查的实体类型的所有可用查询。
  • 所有活动 – 查询返回与实体关联的所有活动,为你提供事件上下文的全面视图。
  • 相关警报 – 查询搜索并返回涉及特定实体的所有安全警报,确保不会错过任何信息。

在攻击故事中,在设备上选择“去搜寻”选项

通过选择结果,然后选择“链接到事件”,可以将生成的日志或警报 链接到事件

突出显示 go 搜寻查询结果中的事件链接选项

如果事件或相关警报是已设置的分析规则的结果,则还可以选择“ 运行查询 ”以查看其他相关结果。

重要

本文中的某些信息与预发行的产品有关,该产品在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。

爆炸半径分析

爆炸半径分析是集成到事件调查体验中的高级图形可视化效果。 它基于Microsoft Sentinel 数据湖和图形基础结构生成一个交互式图,其中显示了从所选节点到预定义的关键目标的可能传播路径,范围限定为用户权限。

注意

爆炸半径分析扩展并取代了攻击路径分析。

爆炸半径图在事件页上提供了预破和违规后信息的独特统一视图。 在事件调查期间,分析师可以在一个合并图中查看违规的当前影响和未来可能的影响。 由于爆炸半径图已集成到事件图中,因此爆炸半径图可帮助安全团队更快地了解安全事件的范围,并增强其防御措施,以减少广泛损坏的可能性。 爆炸半径分析可帮助分析师更好地评估备受推崇的目标的风险,并了解业务影响。

使用爆炸半径图需要满足以下先决条件:

重要

攻击路径和爆炸半径特征是根据组织的可用环境数据计算的。 随着可用于计算的数据越来越多,图形中的值也会增加。 如果未启用进一步的工作负载或未完全定义关键资产,则爆炸半径图不会完全反映环境风险。 有关定义关键资产的详细信息,请参阅 查看和分类关键资产

下表总结了不同用户角色的爆炸半径分析用例:

用户角色 用例
安全分析师 使用爆炸半径分析来调查事件。 立即在图的中心看到已泄露的组件,以及可能已泄露的目标的路径。 该图提供对事件的直观直观理解,并帮助你快速了解违规的潜在范围。 根据目标和路径,可以升级并触发作,以中断、隔离和包含指向目标路径的节点上的事件。
IT 管理员和 SOC 工程师 使用爆炸半径分析根据业务影响和潜在损害估计来调动资源。 工程师可以确定需要立即关注的最关键漏洞的优先级。 工程师可以通过检查地图上标有漏洞的多个节点,根据爆炸半径范围主动分配所需的资源到组织中的关键目标。 工程师可以清楚地传达受保护的内容以及受影响的内容,并规划并优先考虑所需的其他防御和网络分段,以减少未来潜在攻击的进一步影响。
事件响应团队 使用动态可视事件映射快速确定事件范围,使他们能够对图上指示的系统采取有针对性的作。
CISO 或安全领导者 使用爆炸半径功能指示当前状态、设置目标和指标指标,并使用它来报告和审核合规性原因。 该功能可用于跟踪防御作和保护措施投资的进度。

查看爆炸半径图

从“ 事件”页 的列表中选择事件后,将显示一个图形视图,其中显示了事件所涉及的实体和资产。

选择节点以打开上下文菜单,然后选择“ 查看爆炸半径”。 若要查看组中单个节点的爆炸半径,请使用网格上方的 取消分组 切换来显示所有节点。

显示爆炸半径上下文菜单项的屏幕截图。

将加载一个新的图形视图,其中显示了 8 个最高评级的攻击路径。 选择图形上方的“查看完整爆炸半径列表”时,右侧面板会显示 路径的完整列表 。 从可访问目标列表中,可以通过选择列出的目标之一来进一步浏览路径。 右侧面板显示从入口点到此目标的潜在路径。 某些节点可能没有关联的路径。

显示爆炸半径图的屏幕截图。

有关用于爆炸半径图中节点和边缘的图标的说明,请参阅了解Microsoft Defender中的图形和可视化效果

选择“ 查看爆炸半径列表” 以查看目标资产的列表。 从列表中选择目标资产以查看其详细信息和潜在攻击路径。 选择连接中的锁屏提醒会显示有关连接的更多详细信息。

当路径指向相同类型的分组目标时,若要查看指向目标的离散路径,请选择分组图标。 此时会打开一个右侧面板,其中显示了组中的所有目标。 选择左侧的“检查”框,然后选择顶部的“展开”按钮,分别显示每个目标及其路径。

显示爆炸半径列表的屏幕截图。

通过选择节点并选择“隐藏爆炸半径”来隐藏爆炸半径图并返回到原始事件

限制

以下限制适用于爆炸半径图:

  • 路径长度限制 (分析) 的范围: 爆炸半径图长度计算从源节点限制为最多 7 个跃点。 爆炸半径是整个攻击范围的近似值。 最大跃点数取决于环境:

    • 云的 5 个跃点
    • 本地 5 个跃点
    • 混合的 3 个跃点

  • 数据新鲜度: 组织环境的更改与爆炸半径图中该更改的反射之间可能存在延迟。 在此期间,模型可能不完整。

  • 可能的路径: 爆炸半径图显示了可能的路径。 它不保证攻击者会采取显示的每个路径。

  • 已知攻击途径: 该图依赖于已知的攻击途径。 如果攻击者发现尚未建模的新横向移动或新技术,则爆炸半径图中不会显示该移动。

  • 用户范围: 显示的图形基于查看用户允许的范围。 图形上仅显示基于定义的 RBAC 和范围设置的用户范围的节点和边缘。 包含范围外节点或边缘的路径不可见。

  • 岛节点: 由于在收集数据的时间和爆炸半径的计算之间可能发生更改,因此图形上可能会出现非连接节点。

事件详细信息

可以在事件页面的右窗格中查看事件的详细信息。 事件详细信息包括事件分配、ID、分类、类别以及第一个和最后一个活动日期和时间。 它还包括事件、受影响资产、活动警报的说明,以及相关威胁、建议以及中断摘要和影响(如果适用)。 下面是突出显示事件说明的事件详细信息示例。

突出显示说明的事件详细信息示例。

事件说明提供了事件的简要概述。 在某些情况下,事件中的第一个警报用作事件说明。 在这种情况下,说明仅显示在门户中,不存储在活动日志、高级搜寻表或 Azure 门户 Microsoft Sentinel 中。

提示

Microsoft Sentinel 客户还可以通过 API 或自动化设置事件说明来查看和覆盖Azure 门户中的相同事件说明。

警报

在“ 警报 ”选项卡上,可以查看与事件相关的警报的警报队列以及有关事件的其他信息,如下所示:

  • 警报的严重性。
  • 警报中涉及的实体。
  • 标识、Microsoft Defender for Endpoint、Microsoft Defender for Office 365、Defender for Cloud Apps和应用治理加载项) (Microsoft Defender 警报源。
  • 他们联系在一起的原因。

下面是一个示例。

Microsoft Defender门户中事件的“警报”窗格

默认情况下,警报按时间顺序排序,以便查看攻击随时间推移的方式。 在事件中选择警报时,Microsoft Defender XDR显示特定于整个事件的上下文的警报信息。

可以查看警报的事件、导致当前警报的其他触发警报,以及攻击涉及的所有受影响的实体和活动,包括设备、文件、用户、云应用和邮箱。

下面是一个示例。

Microsoft Defender门户中事件中警报的详细信息。

了解如何在调查警报中使用警报队列和 警报页。

注意

如果已预配Microsoft Purview 内部风险管理访问权限,则可以在Microsoft Defender门户中查看和管理内部风险管理警报,并搜寻内部风险管理事件。 有关详细信息,请参阅在 Microsoft Defender 门户中调查内部风险威胁

资产

使用新的“资产”选项卡,在一个位置轻松查看和管理所有 资产 。此统一视图包括设备、用户、邮箱和应用。

“资产”选项卡在其名称旁边显示资产的总数。 选择“资产”选项卡时,会显示不同类别的列表,其中包含该类别中的资产数。

Microsoft Defender门户中事件的“资产”页

设备

设备” 视图列出与事件相关的所有设备。 下面是一个示例。

Microsoft Defender门户中事件的“设备”页

从列表中选择设备将打开一个用于管理所选设备的栏。 可以快速导出、管理标记、启动自动调查等。

可以为设备选择检查标记,以查看设备、目录数据、活动警报和登录用户的详细信息。 选择设备名称以查看 Defender for Endpoint 设备清单中的设备详细信息。 下面是一个示例。

Microsoft Defender门户的“资产”页中的“设备”选项。

从设备页中,可以收集有关设备的其他信息,例如设备的所有警报、时间线和安全建议。 例如,在“时间线”选项卡中,可以滚动浏览设备时间线,并按时间顺序查看计算机上观察到的所有事件和行为,并穿插引发的警报。

用户

用户” 视图列出已确定为事件一部分或与事件相关的所有用户。 下面是一个示例。

Microsoft Defender门户中的“用户”页。

你可以为用户选择检查标记,以查看用户帐户威胁、暴露和联系信息的详细信息。 选择用户名以查看其他用户帐户详细信息。

了解如何在调查用户中查看其他用户信息和管理事件 的用户

邮箱

邮箱” 视图列出已确定为事件一部分或与事件相关的所有邮箱。 下面是一个示例。

Microsoft Defender门户中事件的“邮箱”页。

可以选择邮箱的检查标记以查看活动警报的列表。 选择邮箱名称,在“资源管理器”页上查看Defender for Office 365的其他邮箱详细信息。

应用

应用” 视图列出标识为事件一部分或与事件相关的所有应用。 下面是一个示例。

Microsoft Defender门户中事件的“应用”页。

可以为应用选择检查标记,以查看活动警报的列表。 选择应用名称,在“资源管理器”页上查看Defender for Cloud Apps的其他详细信息。

云资源

云资源 ”视图列出标识为事件一部分或与事件相关的所有云资源。 下面是一个示例。

Microsoft Defender门户中事件的“云资源”页。

可以选择云资源的检查标记,以查看资源的详细信息和活动警报列表。 选择“打开云资源”页以查看其他详细信息,并在 Microsoft Defender for Cloud 中查看其完整详细信息。

调查

调查 ”选项卡列出了此事件中的警报触发的所有 自动调查 。 自动调查将执行修正作或等待分析师批准作,具体取决于将自动化调查配置为在 Defender for Endpoint 中运行的方式,并Defender for Office 365。

Microsoft Defender门户中事件的“调查”页

选择调查以导航到其详细信息页,获取有关调查和修正状态的完整信息。 如果在调查过程中有任何待审批的作,它们将显示在“ 挂起的作 ”选项卡中。在事件修正过程中采取措施。

还有一个 “调查图 ”选项卡,其中显示:

  • 警报与组织中受影响的资产的连接。
  • 哪些实体与哪些警报以及它们是攻击故事的一部分相关的。
  • 事件的警报。

调查图通过将属于攻击的不同可疑实体与其相关资产(如用户、设备和邮箱)连接起来,帮助你快速了解攻击的全部范围。

有关详细信息,请参阅 Microsoft Defender XDR 中的自动调查和响应

证据和响应

证据和响应 ”选项卡显示事件警报中的所有受支持事件和可疑实体。 下面是一个示例。

Microsoft Defender门户中事件的“证据和响应”页

Microsoft Defender XDR会在警报中自动调查所有事件支持的事件和可疑实体,为你提供有关重要电子邮件、文件、进程、服务、IP 地址等的信息。 这有助于快速检测和阻止事件中的潜在威胁。

每个分析的实体都标有“恶意”、“可疑”、“清理) ”和“修正状态” (判决。 这可帮助你了解整个事件的修正状态,以及可以采取哪些后续步骤。

批准或拒绝修正作

对于修正状态为 “待审批”的事件,可以批准或拒绝修正作,在资源管理器中打开,或者从“证据和响应”选项卡中进行搜寻。下面是一个示例。

Microsoft Defender门户中事件的“证据和响应管理”窗格中的“批准\拒绝”选项。

摘要

使用 “摘要 ”页评估事件的相对重要性,并快速访问关联的警报和受影响的实体。 “摘要”页提供快照一目了然地了解有关事件的首要事项。

显示Microsoft Defender门户中事件的摘要信息的屏幕截图。

信息按这些部分进行组织。

说明
警报和类别 针对杀伤链的攻击进度的视觉和数字视图。 与其他Microsoft安全产品一样,Microsoft Defender XDR与 MITRE ATT&CK™ 框架保持一致。 警报时间线显示警报发生的时间顺序,以及每个警报的状态和名称。
范围 显示受影响的设备、用户和邮箱的数量,并按风险级别和调查优先级顺序列出实体。
警报 显示事件中涉及的警报。
证据 显示受事件影响的实体数。
事件信息 显示事件的属性,例如标记、状态和严重性。

类似事件

某些事件可能在“类似事件”页上列出 类似的事件 。 本部分显示具有类似警报、实体和其他属性的事件。 这可以帮助你了解攻击的范围,并确定可能相关的其他事件。 下面是一个示例。

显示Microsoft Defender门户中事件的“类似事件”选项卡的屏幕截图。

提示

Defender Boxed 是一系列卡片,展示组织在过去六个月/年中的安全成功、改进和响应作,在每年的 1 月和 7 月的有限时间内出现。 了解如何共享 Defender Boxed 亮点。

后续步骤

根据需要:

另请参阅

提示

想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区