Správa incidentů v Microsoft Defender
Poznámka
Chcete vyzkoušet XDR v Microsoft Defenderu? Přečtěte si další informace o tom, jak můžete vyhodnotit a pilotně nasadit XDR v Microsoft Defenderu.
Platí pro:
- Microsoft Defender XDR
- Platforma jednotného zabezpečovacího operačního centra (SOC) Microsoft Defender
Správa incidentů je nezbytná k zajištění toho, aby incidenty byly pojmenovány, přiřazovány a označeny, aby se optimalizoval čas v pracovním postupu incidentů a rychleji se zachytávají a řešily hrozby.
Tip
Po omezenou dobu během ledna 2024 se při návštěvě stránky Incidenty zobrazí Defender Boxed. Defender Boxed zvýrazňuje úspěchy, vylepšení a reakce vaší organizace ohledně zabezpečení během roku 2023. Pokud chcete znovu otevřít Defender Boxed, přejděte na portálu Microsoft Defender na Incidenty a pak vyberte Váš Defender Boxed.
Incidenty můžete spravovat v části Incidenty & výstrahy > Incidenty na rychlém spuštění portálu Microsoft Defender (security.microsoft.com). Tady je příklad.
Incidenty můžete spravovat takto:
- Úprava názvu incidentu
- Přiřazení nebo změna závažnosti
- Přidání značek incidentů
- Přiřazení incidentu k uživatelskému účtu
- Vyřešte je
- Zadejte jeho klasifikaci.
- Přidat komentáře
- Posouzení auditu aktivit a přidání komentářů do protokolu aktivit
- Export dat incidentů do PDF
Incidenty můžete spravovat v podokně Spravovat incident pro incident. Tady je příklad.
Toto podokno můžete zobrazit z odkazu Spravovat incident na stránce:
- Stránka s informacemi o upozornění
- Podokno Vlastnosti incidentu ve frontě incidentů
- Stránka souhrnu incidentu
- Možnost Spravovat incident se nachází v pravém horním rohu stránky Incident.
V případech, kdy chcete přesunout výstrahy z jednoho incidentu do druhého, můžete to udělat také na kartě Výstrahy a vytvořit tak větší nebo menší incident, který zahrnuje všechny relevantní výstrahy.
Úprava názvu incidentu
Microsoft Defender automaticky přiřadí název na základě atributů upozornění, jako je počet ovlivněných koncových bodů, ovlivněných uživatelů, zdroje detekce nebo kategorie. Název incidentu umožňuje rychle porozumět rozsahu incidentu. Příklad: Vícefázový incident na více koncových bodech hlášených několika zdroji.
Název incidentu můžete upravit v poli Název incidentu v podokně Spravovat incident .
Poznámka
Incidenty, které existovaly před uvedením funkce automatického pojmenování incidentů, si zachovají svůj název.
Přiřazení nebo změna závažnosti incidentu
Závažnost incidentu můžete přiřadit nebo změnit z pole Závažnost v podokně Spravovat incident . Závažnost incidentu je určena nejvyšší závažností výstrah, které jsou k němu přidruženy. Závažnost incidentu může být nastavená na vysokou, střední, nízkou nebo informační.
Přidání značek incidentů
K incidentu můžete přidat vlastní značky, například označit skupinu incidentů společnou charakteristikou. Později můžete frontu incidentů filtrovat pro všechny incidenty, které obsahují určitou značku.
Po zahájení psaní se zobrazí možnost výběru ze seznamu dříve použitých a vybraných značek.
Přiřazení incidentu
Můžete vybrat pole Přiřadit k a zadat uživatelský účet pro přiřazení incidentu. Pokud chcete změnit přiřazení incidentu, odeberte aktuální účet přiřazení tak, že vyberete x vedle názvu účtu a pak zaškrtnete políčko Přiřadit. Přiřazení vlastnictví incidentu přiřadí stejné vlastnictví všem výstrahám, které jsou k němu přidružené.
Seznam přiřazených incidentů můžete získat filtrováním fronty incidentů.
- Ve frontě incidentů vyberte Filtry.
- V části Přiřazení incidentuzrušte zaškrtnutí políčka Vybrat vše. Vyberte Přiřazeno mně, Přiřazeno jinému uživateli nebo Přiřazeno ke skupině uživatelů.
- Vyberte Použít a pak zavřete podokno Filtry .
Výslednou adresu URL pak můžete uložit do prohlížeče jako záložku a rychle zobrazit seznam přiřazených incidentů.
Řešení incidentu
Výběrem možnosti Vyřešit incident přesuňte přepínač doprava při nápravě incidentu. Řešení incidentu také vyřeší všechny propojené a aktivní výstrahy související s incidentem.
Incident, který se nevyřešil, se zobrazí jako Aktivní.
Určení klasifikace
V poli Klasifikace určíte, jestli se jedná o incident:
- Nenastaví se (výchozí).
- Pravdivě pozitivní s typem hrozby. Tuto klasifikaci použijte pro incidenty, které přesně označují skutečnou hrozbu. Určení typu hrozby pomůže vašemu bezpečnostnímu týmu vidět vzory hrozeb a jednat tak, aby před nimi chránil vaši organizaci.
- Informační, očekávaná aktivita s typem aktivity. Pomocí možností v této kategorii můžete klasifikovat incidenty pro testy zabezpečení, aktivitu červeného týmu a očekávané neobvyklé chování důvěryhodných aplikací a uživatelů.
- Falešně pozitivní u typů incidentů, které určíte, je možné ignorovat, protože jsou technicky nepřesné nebo zavádějící.
Klasifikace incidentů a určení jejich stavu a typu pomáhá ladit Microsoft Defender XDR tak, aby poskytovaly lepší zjišťování v průběhu času.
Přidat komentáře
Pomocí pole Komentář můžete k incidentu přidat více komentářů. Pole komentáře podporuje text a formátování, odkazy a obrázky. Každý komentář je omezený na 30 000 znaků.
Všechny komentáře se přidají k historickým událostem incidentu. Komentáře a historii incidentu můžete zobrazit pomocí odkazu Komentáře a historie na stránce Souhrn .
Protokol aktivit
V protokolu aktivit se zobrazí seznam všech komentářů a akcí provedených u incidentu, označovaných jako audity a komentáře. Všechny změny incidentu provedené uživatelem nebo systémem se zaznamenají do protokolu aktivit. Protokol aktivit je k dispozici v možnosti Protokol aktivit na stránce incidentu nebo v bočním podokně incidentu.
Aktivity v protokolu můžete filtrovat podle komentářů a akcí. Klikněte na Obsah: Audity, Komentáře a pak vyberte typ obsahu pro filtrování aktivit. Tady je příklad.
Můžete také přidat vlastní komentáře pomocí pole komentáře, které je k dispozici v protokolu aktivit. Pole komentáře umožňuje text a formátování, odkazy a obrázky.
Export dat incidentů do PDF
Důležité
Některé informace v tomto článku se týkají předem vydaného produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje v souvislosti se zde uvedenými informacemi žádné výslovné ani předpokládané záruky.
Funkce exportu dat incidentů je v současné době dostupná pro Microsoft Defender XDR a Microsoft Defender zákazníky platformy SOC (Unified Security Operations Center) s licencí Microsoft Copilot pro zabezpečení.
Data incidentu můžete exportovat do PDF prostřednictvím funkce Exportovat incident jako PDF a uložit je do formátu PDF. Tato funkce umožňuje bezpečnostním týmům kdykoli offline kontrolovat podrobnosti incidentu.
Exportovaná data incidentu obsahují následující informace:
- Přehled obsahující podrobnosti incidentu
- Graf scénáře útoku a kategorie hrozeb
- Ovlivněná aktiva, která pokrývají až 10 aktiv pro každý typ prostředku
- Seznam důkazů zahrnující až 100 položek
- Podpůrná data, včetně všech souvisejících výstrah a aktivit zaznamenaných v protokolu aktivit
Tady je příklad exportovaného SOUBORU PDF:
Pokud máte licenci Copilot pro Security, exportovaný soubor PDF obsahuje následující další data incidentu:
Funkce exportu do PDF je také k dispozici na bočním panelu Copilotu ve vygenerované sestavě incidentu.
Pokud chcete soubor PDF vygenerovat, proveďte následující kroky:
Otevřete stránku incidentu. Vyberte tři tečky Další akce (...) v pravém horním rohu a zvolte Exportovat incident jako PDF. Během generování SOUBORU PDF se funkce zobrazí šedě.
Zobrazí se dialogové okno s oznámením, že se soubor PDF generuje. Pokud chcete dialogové okno zavřít, vyberte Získat . Kromě toho se pod názvem incidentu zobrazí stavová zpráva s informací o aktuálním stavu stahování. Proces exportu může trvat několik minut v závislosti na složitosti incidentu a množství exportovaných dat.
Jakmile je SOUBOR PDF připravený, stavová zpráva indikuje, že soubor PDF je připravený, a zobrazí se další dialogové okno. V dialogovém okně vyberte Stáhnout a uložte soubor PDF do zařízení.
Sestava se pár minut ukládá do mezipaměti. Systém poskytuje dříve vygenerovaný soubor PDF, pokud se pokusíte exportovat stejný incident znovu během krátké doby. Pokud chcete vygenerovat novější verzi SOUBORU PDF, počkejte několik minut, než vyprší platnost mezipaměti.
Další kroky
V případě nových incidentů zahajte šetření.
V případě procesních incidentů pokračujte ve vyšetřování.
V případě vyřešených incidentů proveďte závěrečné vyhodnocení incidentu.
Viz také
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro