Správa incidentů v Microsoft Defender

  • Článek

Poznámka

Chcete vyzkoušet XDR v Microsoft Defenderu? Přečtěte si další informace o tom, jak můžete vyhodnotit a pilotně nasadit XDR v Microsoft Defenderu.

Platí pro:

  • Microsoft Defender XDR
  • Platforma jednotného zabezpečovacího operačního centra (SOC) Microsoft Defender

Správa incidentů je nezbytná k zajištění toho, aby incidenty byly pojmenovány, přiřazovány a označeny, aby se optimalizoval čas v pracovním postupu incidentů a rychleji se zachytávají a řešily hrozby.

Tip

Po omezenou dobu během ledna 2024 se při návštěvě stránky Incidenty zobrazí Defender Boxed. Defender Boxed zvýrazňuje úspěchy, vylepšení a reakce vaší organizace ohledně zabezpečení během roku 2023. Pokud chcete znovu otevřít Defender Boxed, přejděte na portálu Microsoft Defender na Incidenty a pak vyberte Váš Defender Boxed.

Incidenty můžete spravovat v části Incidenty & výstrahy > Incidenty na rychlém spuštění portálu Microsoft Defender (security.microsoft.com). Tady je příklad.

Zvýraznění možnosti správy incidentu ve frontě incidentů a podokně Snadné spuštění na portálu Microsoft Defender

Incidenty můžete spravovat takto:

Incidenty můžete spravovat v podokně Spravovat incident pro incident. Tady je příklad.

Podokno Spravovat incident na portálu Microsoft Defender

Toto podokno můžete zobrazit z odkazu Spravovat incident na stránce:

  • Stránka s informacemi o upozornění
  • Podokno Vlastnosti incidentu ve frontě incidentů
  • Stránka souhrnu incidentu
  • Možnost Spravovat incident se nachází v pravém horním rohu stránky Incident.

V případech, kdy chcete přesunout výstrahy z jednoho incidentu do druhého, můžete to udělat také na kartě Výstrahy a vytvořit tak větší nebo menší incident, který zahrnuje všechny relevantní výstrahy.

Úprava názvu incidentu

Microsoft Defender automaticky přiřadí název na základě atributů upozornění, jako je počet ovlivněných koncových bodů, ovlivněných uživatelů, zdroje detekce nebo kategorie. Název incidentu umožňuje rychle porozumět rozsahu incidentu. Příklad: Vícefázový incident na více koncových bodech hlášených několika zdroji.

Název incidentu můžete upravit v poli Název incidentu v podokně Spravovat incident .

Poznámka

Incidenty, které existovaly před uvedením funkce automatického pojmenování incidentů, si zachovají svůj název.

Přiřazení nebo změna závažnosti incidentu

Závažnost incidentu můžete přiřadit nebo změnit z pole Závažnost v podokně Spravovat incident . Závažnost incidentu je určena nejvyšší závažností výstrah, které jsou k němu přidruženy. Závažnost incidentu může být nastavená na vysokou, střední, nízkou nebo informační.

Přidání značek incidentů

K incidentu můžete přidat vlastní značky, například označit skupinu incidentů společnou charakteristikou. Později můžete frontu incidentů filtrovat pro všechny incidenty, které obsahují určitou značku.

Po zahájení psaní se zobrazí možnost výběru ze seznamu dříve použitých a vybraných značek.

Přiřazení incidentu

Můžete vybrat pole Přiřadit k a zadat uživatelský účet pro přiřazení incidentu. Pokud chcete změnit přiřazení incidentu, odeberte aktuální účet přiřazení tak, že vyberete x vedle názvu účtu a pak zaškrtnete políčko Přiřadit. Přiřazení vlastnictví incidentu přiřadí stejné vlastnictví všem výstrahám, které jsou k němu přidružené.

Seznam přiřazených incidentů můžete získat filtrováním fronty incidentů.

  1. Ve frontě incidentů vyberte Filtry.
  2. V části Přiřazení incidentuzrušte zaškrtnutí políčka Vybrat vše. Vyberte Přiřazeno mně, Přiřazeno jinému uživateli nebo Přiřazeno ke skupině uživatelů.
  3. Vyberte Použít a pak zavřete podokno Filtry .

Výslednou adresu URL pak můžete uložit do prohlížeče jako záložku a rychle zobrazit seznam přiřazených incidentů.

Řešení incidentu

Výběrem možnosti Vyřešit incident přesuňte přepínač doprava při nápravě incidentu. Řešení incidentu také vyřeší všechny propojené a aktivní výstrahy související s incidentem.

Incident, který se nevyřešil, se zobrazí jako Aktivní.

Určení klasifikace

V poli Klasifikace určíte, jestli se jedná o incident:

  • Nenastaví se (výchozí).
  • Pravdivě pozitivní s typem hrozby. Tuto klasifikaci použijte pro incidenty, které přesně označují skutečnou hrozbu. Určení typu hrozby pomůže vašemu bezpečnostnímu týmu vidět vzory hrozeb a jednat tak, aby před nimi chránil vaši organizaci.
  • Informační, očekávaná aktivita s typem aktivity. Pomocí možností v této kategorii můžete klasifikovat incidenty pro testy zabezpečení, aktivitu červeného týmu a očekávané neobvyklé chování důvěryhodných aplikací a uživatelů.
  • Falešně pozitivní u typů incidentů, které určíte, je možné ignorovat, protože jsou technicky nepřesné nebo zavádějící.

Klasifikace incidentů a určení jejich stavu a typu pomáhá ladit Microsoft Defender XDR tak, aby poskytovaly lepší zjišťování v průběhu času.

Přidat komentáře

Pomocí pole Komentář můžete k incidentu přidat více komentářů. Pole komentáře podporuje text a formátování, odkazy a obrázky. Každý komentář je omezený na 30 000 znaků.

Všechny komentáře se přidají k historickým událostem incidentu. Komentáře a historii incidentu můžete zobrazit pomocí odkazu Komentáře a historie na stránce Souhrn .

Protokol aktivit

V protokolu aktivit se zobrazí seznam všech komentářů a akcí provedených u incidentu, označovaných jako audity a komentáře. Všechny změny incidentu provedené uživatelem nebo systémem se zaznamenají do protokolu aktivit. Protokol aktivit je k dispozici v možnosti Protokol aktivit na stránce incidentu nebo v bočním podokně incidentu.

Zvýraznění možnosti protokolu aktivit na stránce incidentu na portálu Microsoft Defender

Aktivity v protokolu můžete filtrovat podle komentářů a akcí. Klikněte na Obsah: Audity, Komentáře a pak vyberte typ obsahu pro filtrování aktivit. Tady je příklad.

Zvýraznění možností filtrování v podokně protokolu aktivit na stránce incidentu na portálu Microsoft Defender

Můžete také přidat vlastní komentáře pomocí pole komentáře, které je k dispozici v protokolu aktivit. Pole komentáře umožňuje text a formátování, odkazy a obrázky.

Zvýraznění pole komentáře na stránce incidentu na portálu Microsoft Defender

Export dat incidentů do PDF

Důležité

Některé informace v tomto článku se týkají předem vydaného produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje v souvislosti se zde uvedenými informacemi žádné výslovné ani předpokládané záruky.

Funkce exportu dat incidentů je v současné době dostupná pro Microsoft Defender XDR a Microsoft Defender zákazníky platformy SOC (Unified Security Operations Center) s licencí Microsoft Copilot pro zabezpečení.

Data incidentu můžete exportovat do PDF prostřednictvím funkce Exportovat incident jako PDF a uložit je do formátu PDF. Tato funkce umožňuje bezpečnostním týmům kdykoli offline kontrolovat podrobnosti incidentu.

Exportovaná data incidentu obsahují následující informace:

Tady je příklad exportovaného SOUBORU PDF:

Snímek obrazovky s první stránkou exportovaného PDF

Pokud máte licenci Copilot pro Security, exportovaný soubor PDF obsahuje následující další data incidentu:

Funkce exportu do PDF je také k dispozici na bočním panelu Copilotu ve vygenerované sestavě incidentu.

Snímek obrazovky s dalšími akcemi na kartě s výsledky hlášení incidentu.

Pokud chcete soubor PDF vygenerovat, proveďte následující kroky:

  1. Otevřete stránku incidentu. Vyberte tři tečky Další akce (...) v pravém horním rohu a zvolte Exportovat incident jako PDF. Během generování SOUBORU PDF se funkce zobrazí šedě.

    Snímek obrazovky s možností exportu incidentu do PDF

  2. Zobrazí se dialogové okno s oznámením, že se soubor PDF generuje. Pokud chcete dialogové okno zavřít, vyberte Získat . Kromě toho se pod názvem incidentu zobrazí stavová zpráva s informací o aktuálním stavu stahování. Proces exportu může trvat několik minut v závislosti na složitosti incidentu a množství exportovaných dat.

    Snímek obrazovky se zvýrazněnou zprávou o exportu a stavem před stažením

  3. Jakmile je SOUBOR PDF připravený, stavová zpráva indikuje, že soubor PDF je připravený, a zobrazí se další dialogové okno. V dialogovém okně vyberte Stáhnout a uložte soubor PDF do zařízení.

    Snímek obrazovky se zvýrazněnou zprávou o exportu a stavem, když je stahování k dispozici

Sestava se pár minut ukládá do mezipaměti. Systém poskytuje dříve vygenerovaný soubor PDF, pokud se pokusíte exportovat stejný incident znovu během krátké doby. Pokud chcete vygenerovat novější verzi SOUBORU PDF, počkejte několik minut, než vyprší platnost mezipaměti.

Další kroky

V případě nových incidentů zahajte šetření.

V případě procesních incidentů pokračujte ve vyšetřování.

V případě vyřešených incidentů proveďte závěrečné vyhodnocení incidentu.

Viz také

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.