Stanovení priorit incidentů na portálu Microsoft Defender
Sjednocená platforma operací zabezpečení na portálu Microsoft Defender používá analýzu korelace a agreguje související výstrahy a automatizovaná šetření z různých produktů do incidentu. Microsoft Sentinel a Defender XDR také aktivovat jedinečná upozornění na aktivity, které se dají identifikovat pouze jako škodlivé vzhledem k celkové viditelnosti na sjednocené platformě v celé sadě produktů. Toto zobrazení poskytuje analytikům zabezpečení širší příběh útoku, který jim pomůže lépe pochopit a řešit složité hrozby v rámci vaší organizace.
Důležité
Microsoft Sentinel je obecně k dispozici v rámci sjednocené platformy operací zabezpečení společnosti Microsoft na portálu Microsoft Defender. Ve verzi Preview je Microsoft Sentinel k dispozici na portálu Defender bez Microsoft Defender XDR nebo licence E5. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.
Fronta incidentů zobrazuje kolekci incidentů vytvořených napříč zařízeními, uživateli, poštovními schránkami a dalšími prostředky. Pomáhá řadit incidenty, abyste mohli určit prioritu a vytvořit informované rozhodnutí o reakci na kybernetickou bezpečnost, což je proces označovaný jako třídění incidentů.
Do fronty incidentů se dostanete z části Incidenty & výstrahy > Incidenty na rychlém spuštění portálu Microsoft Defender. Tady je příklad.
Výběrem možnosti Nejnovější incidenty a výstrahy můžete přepnout rozšíření horní části, která zobrazuje graf časové osy s počtem přijatých upozornění a incidenty vytvořenými za posledních 24 hodin.
Pod tím se ve frontě incidentů na portálu Microsoft Defender zobrazí incidenty za posledních šest měsíců. Můžete zvolit jiný časový rámec tak, že ho vyberete v rozevíracím seznamu v horní části. Incidenty se uspořádávají podle nejnovějších automatických nebo ručních aktualizací incidentu. Můžete uspořádat sloupec incidentů podle času poslední aktualizace a zobrazit incidenty podle nejnovějších automatických nebo ručně provedených aktualizací.
Fronta incidentů obsahuje přizpůsobitelné sloupce, které poskytují přehled o různých charakteristikách incidentu nebo ovlivněných entit. Toto filtrování vám pomůže učinit informované rozhodnutí ohledně stanovení priorit incidentů pro účely analýzy. Vyberte Přizpůsobit sloupce a proveďte následující přizpůsobení na základě preferovaného zobrazení:
- Zaškrtněte nebo zrušte zaškrtnutí sloupců, které chcete zobrazit ve frontě incidentů.
- Pořadí sloupců uspořádejte jejich přetažením.
Pro lepší přehlednost Microsoft Defender XDR automaticky vygeneruje názvy incidentů na základě atributů upozornění, jako je počet ovlivněných koncových bodů, ovlivnění uživatelé, zdroje detekce nebo kategorie. Díky tomuto konkrétnímu pojmenování můžete rychle porozumět rozsahu incidentu.
Příklad: Vícefázový incident na více koncových bodech hlášených několika zdroji.
Pokud jste Microsoft Sentinel onboardovali na sjednocenou platformu operací zabezpečení, pak se u všech výstrah a incidentů pocházejících z Microsoft Sentinel pravděpodobně změní jejich názvy (bez ohledu na to, jestli byly vytvořeny před nebo po onboardingu).
Doporučujeme nepoužívat název incidentu jako podmínku pro aktivaci pravidel automatizace. Pokud je název incidentu podmínkou a název incidentu se změní, pravidlo se neaktivuje.
Fronta incidentů také nabízí několik možností filtrování, které při použití umožňují provádět širokou škálu všech existujících incidentů ve vašem prostředí nebo se rozhodnout zaměřit se na konkrétní scénář nebo hrozbu. Použití filtrů ve frontě incidentů může pomoct určit, který incident vyžaduje okamžitou pozornost.
Seznam Filtry nad seznamem incidentů zobrazuje aktuálně použité filtry.
Ve výchozí frontě incidentů můžete výběrem možnosti Přidat filtr zobrazit rozevírací seznam Přidat filtr , ve kterém zadáte filtry, které se mají použít pro frontu incidentů, aby se omezila sada zobrazených incidentů. Tady je příklad.
Vyberte filtry, které chcete použít, a pak vyberte Přidat v dolní části seznamu, aby byly dostupné.
Filtry, které jste vybrali, se teď zobrazí společně s existujícími použitými filtry. Vyberte nový filtr a určete jeho podmínky. Pokud jste například zvolili filtr "Služba/zdroje detekce", vyberte ho a zvolte zdroje, podle kterých chcete seznam filtrovat.
Podokno Filtr můžete zobrazit také tak, že vyberete některý z filtrů v seznamu Filtry nad seznamem incidentů.
Tato tabulka uvádí názvy filtrů, které jsou k dispozici.
Název filtru | Popis/podmínky |
---|---|
Stav | Vyberte Nový, Probíhá nebo Vyřešeno. |
Závažnost upozornění Závažnost incidentu |
Závažnost výstrahy nebo incidentu značí dopad, který může mít na vaše prostředky. Čím vyšší je závažnost, tím větší dopad a obvykle vyžaduje okamžitou pozornost. Vyberte Vysoká, Střední, Nízká nebo Informační. |
Přiřazení incidentu | Vyberte přiřazeného uživatele nebo uživatele. |
Více zdrojů služeb | Určete, zda je filtr určen pro více než jeden zdroj služby. |
Služba / zdroje detekce | Zadejte incidenty, které obsahují výstrahy z jedné nebo několika z následujících možností: Mnoho z těchto služeb je možné v nabídce rozbalit a odhalit tak další možnosti zdrojů detekce v rámci dané služby. |
Značky | Ze seznamu vyberte jeden nebo více názvů značek. |
Více kategorií | Určete, zda je filtr určen pro více než jednu kategorii. |
Kategorie | Zvolte kategorie, které se mají zaměřit na konkrétní taktiku, techniky nebo komponenty útoku. |
Entity | Zadejte název prostředku, jako je uživatel, zařízení, poštovní schránka nebo název aplikace. |
Citlivost dat | Některé útoky se zaměřují na cílení na exfiltraci citlivých nebo cenných dat. Použitím filtru pro konkrétní popisky citlivosti můžete rychle zjistit, jestli byly citlivé informace potenciálně ohroženy, a určit prioritu řešení těchto incidentů. Tento filtr zobrazí informace jenom v případě, že jste použili popisky citlivosti z Microsoft Purview Information Protection. |
Skupiny zařízení | Zadejte název skupiny zařízení . |
Platforma operačního systému | Zadejte operační systémy zařízení. |
Klasifikace | Zadejte sadu klasifikací souvisejících výstrah. |
Stav automatizovaného šetření | Zadejte stav automatizovaného vyšetřování. |
Přidružená hrozba | Zadejte pojmenovanou hrozbu. |
Zásady upozornění | Zadejte název zásady upozornění. |
ID odběru upozornění | Zadejte upozornění na základě ID předplatného. |
Výchozí filtr zobrazuje všechny výstrahy a incidenty se stavem Nový a Probíhá a se závažností Vysoká, Střední nebo Nízká.
Filtr můžete rychle odebrat výběrem symbolu X v názvu filtru v seznamu Filtry .
Sady filtrů můžete také vytvořit na stránce incidentů tak, že vyberete Uložené dotazy > filtru Vytvořit sadu filtrů. Pokud se nevytvořily žádné sady filtrů, vyberte Uložit a vytvořte ji.
Poznámka
Microsoft Defender XDR zákazníci teď můžou filtrovat incidenty s výstrahami, kdy ohrožené zařízení komunikovalo se zařízeními OT připojenými k podnikové síti prostřednictvím integrace zjišťování zařízení Microsoft Defender pro IoT a Microsoft Defender for Endpoint. Pokud chcete tyto incidenty filtrovat, vyberte v části Služba/zdroje detekce možnost Libovolná a pak v názvu produktu vyberte Microsoft Defender pro IoT nebo se podívejte na téma Zkoumání incidentů a upozornění v Microsoft Defender pro IoT na portálu Defender. Skupiny zařízení můžete také použít k filtrování výstrah specifických pro web. Další informace o požadavcích na Defender for IoT najdete v tématu Začínáme s podnikovým monitorováním IoT v Microsoft Defender XDR.
Jakmile nakonfigurujete užitečný filtr ve frontě incidentů, můžete si uložit adresu URL karty prohlížeče do záložek nebo ji jinak uložit jako odkaz na webovou stránku, Word dokument nebo místo podle vašeho výběru. Záložky umožňují jedním kliknutím získat přístup ke klíčovým zobrazením fronty incidentů, například:
- Nové incidenty
- Vysoce závažné incidenty
- Nepřiřazené incidenty
- Vysoce závažné nepřiřazené incidenty
- Incidenty přiřazené mně
- Incidenty přiřazené mně a pro Microsoft Defender for Endpoint
- Incidenty s konkrétní značkou nebo značkami
- Incidenty s konkrétní kategorií hrozeb
- Incidenty s konkrétní přidruženou hrozbou
- Incidenty s konkrétním aktérem
Jakmile zkompilujete a uložíte seznam užitečných zobrazení filtru jako adresy URL, použijte ho k rychlému zpracování a určení priorit incidentů ve frontě a jejich správě pro následné přiřazení a analýzu.
V poli Hledat jméno nebo ID nad seznamem incidentů můžete incidenty vyhledat mnoha způsoby, abyste rychle našli, co hledáte.
Vyhledejte incident přímo zadáním ID incidentu nebo názvu incidentu. Když vyberete incident ze seznamu výsledků hledání, portál Microsoft Defender otevře novou kartu s vlastnostmi incidentu, ze které můžete zahájit šetření.
Prostředek můžete pojmenovat , například uživatele, zařízení, poštovní schránku, název aplikace nebo cloudový prostředek, a najít všechny incidenty související s tímto prostředkem.
Výchozí seznam incidentů je pro incidenty, ke kterým došlo v posledních šesti měsících. Nový časový rozsah můžete zadat v rozevíracím seznamu vedle ikony kalendáře tak, že vyberete:
- Jeden den
- Tři dny
- Jeden týden
- 30 dní
- 30 dní
- Šest měsíců
- Vlastní rozsah, ve kterém můžete zadat data i časy.
Jakmile určíte, který incident vyžaduje nejvyšší prioritu, vyberte ho a:
- Spravujte vlastnosti incidentu pro značky, přiřazení, okamžité řešení falešně pozitivních incidentů a komentáře.
- Zahajte šetření.
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.