Tính năng quản lý và phản ứng sự cố trong Microsoft 365 Defender
Tính năng quản lý và phản ứng sự cố trong Microsoft 365 Defender giúp tập hợp các cảnh báo tương quan và dữ liệu liên quan để phân tích và hiểu rõ các cuộc tấn công nhắm tới doanh nghiệp của bạn.

Các dịch vụ và ứng dụng Microsoft 365 sẽ tạo các cảnh báo khi chúng phát hiện một sự kiện hoặc hoạt động đáng ngờ hoặc độc hại. Các cảnh báo này sẽ tạo ra các manh mối giá trị để giúp quản trị viên tìm hiểu và phân tích các cuộc tấn công đang và đã diễn ra. Tuy nhiên, các cuộc tấn công thường sử dụng nhiều kỹ thuật khác nhau để nhắm vào nhiều mục tiêu như thiết bị, thông tin người dùng và hòm thư. Điều này tạo ra một loạt các cảnh báo tới tenant của bạn.

Việc tập hợp các cảnh báo riêng lẻ trong các thành phần của Microsoft 365 để tạo ra một bức tranh tổng thể về cuộc tấn công thường rất khó khăn và tốn thời gian. Với Microsoft 365 Defender, các cảnh báo và thông tin liên quan sẽ được tự động tập hợp và xây dựng các biểu đồ trực quan về cuộc tấn công.

Kiểm soát và kiểm tra sự cố toàn diện với Microsoft 365 Defender
Microsoft 365 Defender giúp quản trị viên gộp các sự kiện liên quan thành một sự cố để có một cái nhìn toàn diện về cuộc tấn công. Qua đó bạn có thể biết được:

- Nơi cuộc tấn công bắt đầu.
- Các kỹ thuật tấn công đã sử dụng.
- Cuộc tấn công đã tới giai đoạn nào.
- Phạm vi cuộc tấn công: bao nhiêu thiết bị, người dùng, hòm thư đã bị ảnh hưởng.
- Tất cả dữ liệu liên quan đến cuộc tấn công.

Khi được kích hoạt, Microsoft 365 Defender có thể tự động điều tra và giải quyết các cảnh báo thông qua tự động hóa và trí tuệ nhân tạo. Bạn cũng có thể thực hiện các bước khắc phục bổ sung để giải quyết cuộc tấn công.

Quản lý cảnh báo và sự cố trong Microsoft 365 Defender Portal

Bạn có thể quản lý các sự cố trong mục Incidents & Alerts nhanh chóng trên trang Microsoft 365 Defender portal (security.microsoft.com)

Quy trình phản hồi sự cố với Microsoft 365 Defender
Quy trình phản hồi và xử lý sự cố trong Microsoft 365 Defender sẽ được chia thành 4 bước bao gồm:

1. Phân tích và điều tra các cảnh báo của cuộc tấn công
Xem tóm tắt của sự cố để hiểu phạm vi và mức độ nghiêm trọng của sự cố và những thực thể nào bị ảnh hưởng với các tab Tóm tắt và Biểu đồ (Xem trước).
Bắt đầu phân tích các cảnh báo để hiểu nguồn gốc, phạm vi và mức độ nghiêm trọng của chúng với tab Cảnh báo .
Nếu cần, hãy thu thập thông tin về các thiết bị, người dùng và hộp thư bị ảnh hưởng bằng các tab Thiết bị , Người dùng và Hộp thư .
Xem cách Microsoft 365 Defender đã tự động giải quyết một số cảnh báo với tab Điều tra .
Nếu cần, hãy sử dụng thông tin trong tập dữ liệu cho sự cố để biết thêm thông tin với tab Bằng chứng và Phản hồi .
2. Sau hoặc trong quá trình phân tích của bạn, hãy thực hiện ngăn chặn để giảm bất kỳ tác động bổ sung nào của cuộc tấn công và loại bỏ mối đe dọa bảo mật.
3. Càng nhiều càng tốt, hãy khôi phục sau cuộc tấn công bằng cách khôi phục tài nguyên của người thuê của bạn về trạng thái trước khi xảy ra sự cố.
4. Giải quyết sự cố và dành thời gian cho việc tìm hiểu sau sự cố để:
Hiểu loại tấn công và tác động của nó.
Nghiên cứu cuộc tấn công trong Threat Analytics và cộng đồng bảo mật để biết xu hướng tấn công bảo mật.
Nhớ lại quy trình công việc bạn đã sử dụng để giải quyết sự cố và cập nhật quy trình, quy trình, chính sách và sách phát chuẩn của bạn nếu cần.
Xác định xem các thay đổi trong cấu hình bảo mật của bạn có cần thiết hay không và triển khai chúng.


Gặp tổng đài tư vấn: 0936 362 158 | info@tsg.net.vn

Bài viết khác cùng Box :