安全运营中心团队 (SOC) 最大的效率消耗之一是上下文的不断切换——在不同的安全工具之间,甚至在他们寻找不同类型的信息时,在一个解决方案中的各种视图之间切换。这些不连贯的解决方案和视图导致 SOC 团队在尝试手动拼凑相关信号时浪费宝贵的时间。
原文链接:https://techcommunity.microsoft.com/t5/microsoft-365-defender-blog/investigate-incidents-more-effectively-with-the-new-attack-story/ba-p/3670478
另一方面,Microsoft 365 Defender 将跨端点、云和本地身份、电子邮件、文档和云应用程序的数十亿信号关联起来,并将它们分组到事件中——为安全团队提供一种更有效的方式来调查和修复统一体验中的威胁.
今天,我们很高兴地宣布,我们通过在 Microsoft 365 Defender 中引入攻击故事视图来改善调查体验- 以帮助分析师更快地阻止违规行为。在 Microsoft 365 Defender 的新事件调查体验中,分析师现在可以轻松地在受影响的资产之间导航或深入了解各个警报的详细信息,同时始终保留事件的完整上下文。
当您从 Microsoft 365 Defender 中的事件队列中选择事件时,新的攻击故事视图现在是调查体验的核心。它是所有受影响资源的可视化和交互式视图,使安全分析师能够在调查期间的任何时候了解事件上下文。此外,分析师可以与攻击故事视图交互以确定下一步或从带有选项的下拉列表中采取行动。
图 1 显示了新的攻击故事视图——它允许您轻松识别在这种情况下,多个用户、文件、端点、电子邮件帐户以及外部域受到影响。
图 1 – Microsoft 365 Defender 中的新攻击故事视图
图 2 向您展示了与新事件页面的交互方式以及视图如何根据您的操作动态调整。在图 2 的左侧,您可以看到与此事件相关的警报列表——当分析师选择不同的警报时,攻击故事视图会自动调整以放大相关警报,并且事件页面会调整以提供所有相关与此警报相关的详细信息。
图 2 新事件页面上的交互式视图
或者,分析师也可以通过单击相关资产(图 3)直接使用图表来查看实体详细信息,甚至可以选择他们想要采取的行动以进一步调查或开始补救,如图 4 所示。
图 3 – 与攻击故事视图交互以检索设备信息
图 4:选择任何可用操作以进行进一步调查或开始修复
新的攻击故事视图改变了 SOC 团队的游戏规则——无休止的上下文切换和试图不忽视整体事件和受影响资产的日子已经一去不复返了。交互式视图将使调查和响应更加直观,最重要的是 – 有助于更快地响应威胁并限制攻击的影响。
有关更多信息,请查看以下资源:
- 使用 Microsoft 365 Defender获取事件响应概览
- 详细了解使用 Microsoft 365 Defender 进行事件管理
- 了解如何调查Microsoft 365 Defender 中的事件