Ponimaniie konciepcij razwiedki ugroz in Microsoft Defender dlia konietchnoj totchki

• 25.03.2021
• Tchtieniie zanimaiet 3 min

• • m

W etoj statie

Oblast primienieniia: Se aplica:

• Microsoft Defender dlia konietchnoj totchki Microsoft Defender for Endpoint
• Microsoft 365 Defender Microsoft 365 Defender

Chotitie ispytat Microsoft Defender dlia konietchnoj totchki? Doriti sa experimentati Microsoft Defender pentru Endpoint? Zariegistriwsia dlia biesplatnoj probnoj.Inscrieti-va pentru o incercare gratuita.

Rasshiriennyie ataki kibierbiezopasnosti wkliutchaiut nieskolko sloznych wriedonosnych sobytij, atributow i kobi Opriedielieniie i opriedielieniie togo, kakiie iz etich diejstwij kwalificiruiutsia kak podozritielnyie oto sie posti sie prowati. Washie znaniie izwiestnych atributow i nienormalnych diejstwij, charaktiernych dlia washiej otrasli, imieiet osnowopolagaiushtchieie znatchieniie, znaia, kogda wyzywat nabliudaiemoie powiedieniie kak podozritielnoie.Your cunoasterea atributelor cunoscute si activitati anormale specifice industriei dumneavoastra este fundamental in a sti cand sa numim un comportament observat ca suspect .

S pomoshtchiu Microsoft Defender dlia konietchnoj totchki mozno sozdawat nastraiwaiemyie opowieshtchieniia ob ugrozach, kotoryie pomogut otslieziwat wozmoznyie diejstwiia ataki w organizacii.With Microsoft Defender pentru Endpoint, puteti crea alerte personalizate de amenintare care va pot ajuta sa urmariti de posibile activitati de atac in organizatia dumneavoastra. Wy mozietie pomietit podozritielnyie sobytiia, tchtoby sobrat kliutchi i, wozmozno, ostanowit ciepokkku ut ata Eti nastraiwaiemyie opowieshtchienij ob ugrozach budut otobrazatsia tolko w washiej organizacii i budut otobrazat sobytiia, kotoryie wy ustanowitie dlia otslieziwaniia.These amenintare alerte personalizate vor aparea doar in organizatia dumneavoastra si evenimente vor pavilion pe care il setati-l pentru a urmari.

Pieried sozdaniiem polzowatielskich opowieshtchienij ob ugrozach wazno znat poniatiia, kotoryie stoiat za opriedielieniiami opowieshtchienij i indikatorami kompromissa (IOCs) i swiaz miezdu nimi.Before crearea de alerte de amenintare personalizate, este important sa se cunoasca conceptele din spatele definitii si indicatori ai compromis de alerta (IOCs), iar relatia dintre ei.

Opriedielieniia opowieshtchienij Definitii de alerta

Opriedielieniia opowieshtchienij – eto kontiekstnyie atributy, kotoryie mozno sowmiestno ispolzowat dlia wyiawlieniia rannich ulik o wozmoznoj atakie na definitii kibierbiezopasnost.Alert sunt atribute contextuale care pot fi utilizate in mod colectiv pentru a identifica indicii timpurii privind un posibil atac de securitate cibernetica. Eti indikatory obytchno iawliaiutsia sotchietaniiem diejstwij, charaktieristik i diejstwij, priedpriniatych zloumyshliennikom dlia uspieshnogo dostizieniia cieli ataki.These indicatori sunt, de obicei o combinatie de activitati, caracteristicile si actiunile intreprinse de catre un atacator pentru a realiza cu succes obiectivul unui atac. Monitoring etich kombinacij atributow imieiet rieshaiushtchieie znatchieniie dlia polutchieniia totchki zashtchity ot atak i, wozmozno, dlia togo, tchtoby wmieshiwatsia w ciepotchku sobytij do togo, kak budiet dostignuta ciel zloumyshliennika.

Indikatory kompromissa (MOK) Indicatori de compromis (IOC)

IOC – eto otdielno izwiestnyie wriedonosnyie sobytiia, kotoryie ukazywaiut na to, tchto siet ili ustrojstwo o este deja cunoscut. W otlitchiie ot opriedielienij opowieshtchienij, eti indikatory rassmatriwaiutsia kak swidietielstwo narushieniia. Oni tchasto widny poslie togo, kak ataka uzie wypolniena i ciel dostignuta, naprimier, eksfiltraciia a fost deja realizata. Tinerea evidentei COI este, de asemenea, importanta in timpul investigatiilor criminalistice. Chotia ona moziet i nie obiespietchit wozmoznost wmieshatielstwa w ciepotchku atak,

Swiaz miezdu opriedielieniiami opowieshtchienij i IOC Relatia dintre definitiile de alerta si IOC

W kontiekstie Microsoft Defender dlia konietchnoj totchki opriedielieniia opowieshtchienij iawliaiutsia kontiejnierami dlia IOCs i opriedieliaiut opowieshtchieniie, w tom tchislie mietadannyie, podniatyie w slutchaie opriedieliennogo sowpadieniia MOK.In contextul Microsoft Defender pentru Endpoint, definitiile de alerta sunt containere pentru IOCs si defineste alerta, inclusiv metadatele care sunt ridicate in cazul unei potriviri specifice IOC. Diverse metadate sunt furnizate ca parte a definitiilor de alerta. Mietadannyie, takiie kak imia opriedielieniia opowieshtchienij ob atakie, sierieznost i opisaniie, priedostawliaiutsia wmiestie s drugimi wariantami.Metadata, cum ar fi alerta nume definitia de atac, severitatea si descrierea este furnizata impreuna cu alte optiuni.

Kazdyj MOK opriedieliaiet konkrietnuiu logiku obnaruzieniia, osnowannuiu na iego tipie i znatchienii, a takzie iego diejstwii, kotoroie opriedieliaiet, kak ona sowpadaiet.Each IOC defineste logica de detectare a betonului in functie de tipul si de valoarea precum si actiunea sa, care determina modul in care aceasta este asortat. Ono priwiazano k opriedieliennomu opriedielieniiu opowieshtchienij, kotoroie opriedieliaiet otobrazieniie obnaruzieniia w katchiestwie opowieshtchieniia na konsoli Microsoft Defender dlia endpoint.It este obligat sa o definitie alerta specific care defineste modul in care o detectie este afisata ca o alerta pe Microsoft Defender pentru consola Endpoint.

Wot primier MOK: Iata un exemplu de IOC:

• Tip: Sha1Tip: Sha1
• Znatchieniie: 92cfceb39d57d914ed8b14d0e37643de0797ae56 Valoare: 92cfceb39d57d914ed8b14d0e37643de0797ae56
• Diejstwiie: RawnyieAction: Equals

IOCs imieiut mnogo-odno otnoshieniie s opriedielieniiami opowieshtchienij, tchto opriedielieniie opowieshtchieniia moziet imiet mnogo IOCs, kotoryie sootwietstwuiut iemu.IOCs au o relatie multi-la-unu cu definitiile de alerta, astfel incat o definitie de alerta poate avea multe IOCs care corespund ea.

W etom razdielieIn aceasta sectiune

StatiaTopic OpisaniieDescription Pritiagiwat obnaruzieniia k sriedstwam Detectii SIEMPull la instrumentele dvs. SIEM Uznajtie o razlitchnych sposobobach Integrarea Wkliutchieniie intiegracii SIEM w Microsoft Defender dlia konietchnoj totchkiEnable SIEM in Microsoft Defender pentru Endpoint Uznajtie o tom, kak wkliutchit funkciiu intiegracii SIEM stranicie na Paramietry na portalie, tchtoby mozno bylo ispolzowat i sozdawat nieobchodimyie swiedieniia dlia nastrojki poddierziwaiemych instrumientow SIEM.Learn despre care sa permita SIEM functie de integrare in Setaripagina din portal, astfel incat sa puteti utiliza si genera informatiile necesare pentru a configura instrumentele SIEM acceptate. Nastrojka Splunk, tchtoby wytashtchit Microsoft Defender dlia obnaruzieniia konietchnych totchiekConfigure Splunk pentru a trage Microsoft Defender pentru Endpoint detectii Uznajtie ob ustanowkie modulnogo wchodnogo prilozieniia API REST i drugich paramietrow konfiguracii, tchtoby Splunk wytianul Microsoft Defender dlia obnaruzieniia konietchnych totchiek.Learn despre instalarea de intrare API-ul REST modular Aplicatii si alte setari de configurare pentru a permite Splunk sa extraga Microsoft Defender pentru detectii Endpoint. Nastrojtie HP ArcSight, tchtoby wytashtchit Microsoft Defender dlia obnaruzieniia konietchnych totchiekConfigure HP ArcSight to pull Microsoft Defender for Endpoint detections Uznajtie ob usta Microsoft Defender.Aflati despre instalarea pachetului HP ArcSight REST FlexConnector si a fisierelor de care aveti nevoie pentru a configura ArcSight pentru a extrage Microsoft Defender. Microsoft Defender dlia poliej obnaruzieniia konietchnych totchiekMicrosoft Defender pentru Endpoint Detectie campurile Swiedieniia o tom, kakiie polia dannych nachodiatsia w API opowieshtchienij i kak oni sopostawili ich s Cientrom biezopasnosti Zashtchitnika Majkrosoft.Understand ce campuri de date sunt expuse ca parte a API alerte si modul in care acestea harta la Centrul de securitate Microsoft Defender. Trageti Microsoft Defender dlia obnaruzieniia konietchnych totchiek s pomoshtchiu API RESTPull Microsoft Defender pentru detectii Endpoint folosind API REST Utilizati fluxul de acreditari Client OAuth 2.0 pentru a extrage detectiile de la Microsoft Defender pentru Endpoint folosind API-ul REST. Ustranieniie niepoladok w intiegracii instrumientow probleme de integrare instrument SIEMTroubleshoot SIEM Ustranieniie probliem, c kotorymi wy mozietie stolknutsia pri ispolzowanii funkcii intiegracii probleme SIEM.Address s-ar putea intalni atunci cand utilizati caracteristica de integrare SIEM.

Stati po tiemie Subiecte legate

• Uprawlieniie indikatoramiGestionati indicatorii