Stanovení priorit incidentů na portálu Microsoft Defender

  • Platí pro: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Portál Microsoft Defender používá analýzu korelace a agreguje související výstrahy a automatizovaná šetření z různých produktů do incidentu. Microsoft Sentinel a Defender XDR také aktivovat jedinečná upozornění na aktivity, které se dají identifikovat pouze jako škodlivé vzhledem k celkové viditelnosti na sjednocené platformě v celé sadě produktů. Toto zobrazení poskytuje analytikům zabezpečení širší příběh útoku, který jim pomůže lépe pochopit a řešit složité hrozby v rámci vaší organizace.

Důležité

Microsoft Sentinel je obecně k dispozici na portálu Microsoft Defender, s Microsoft Defender XDR nebo licencí E5 nebo bez. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Po 31. březnu 2027 už se Microsoft Sentinel nebudou v Azure Portal podporovat a budou dostupné jenom na portálu Microsoft Defender.

Pokud v Azure Portal aktuálně používáte Microsoft Sentinel, doporučujeme začít plánovat přechod na portál Defender, abyste zajistili hladký přechod a plně využili jednotné prostředí operací zabezpečení, které nabízí Microsoft Defender. Další informace najdete v tématech Převod prostředí Microsoft Sentinel na portál Defender a Plánování přechodu na portál Microsoft Defender pro všechny zákazníky Microsoft Sentinel (blog).

Fronta incidentů

Fronta incidentů zobrazuje frontu incidentů vytvořených napříč zařízeními, uživateli, poštovními schránkami a dalšími prostředky. Pomůže vám určit prioritu incidentů, určit prioritu a vytvořit informované rozhodnutí o reakci na kybernetickou bezpečnost.

Frontu incidentů najdete v části Incidenty & výstrahy > Incidenty na rychlém spuštění portálu Microsoft Defender.

Výběrem možnosti Nejnovější incidenty a výstrahy můžete přepnout graf časové osy s počtem přijatých výstrah a incidentů vytvořených za posledních 24 hodin.

Snímek obrazovky s 24hodinovým grafem incidentů

Fronta incidentů zahrnuje Pomocníka pro frontu defenderu, který pomáhá bezpečnostním týmům projít velký počet incidentů a zaměřit se na incidenty, které jsou nejdůležitější. Pomocí algoritmu stanovení priority strojového učení zobrazí Pomocník pro frontu incidenty s nejvyšší prioritou, vysvětluje důvody pro stanovení priority a poskytuje intuitivní nástroje pro řazení a filtrování fronty incidentů. Algoritmus se spouští pro všechny výstrahy, nativní výstrahy Microsoftu, vlastní detekce nebo signály třetích stran. Algoritmus se trénuje na reálných anonymizovaných datech a při výpočtu skóre priority bere mimo jiné v úvahu následující datové body:

  • Signály přerušení útoku
  • Analýza hrozeb
  • Závažnosti
  • Snr
  • Techniky MITRE
  • Důležitost prostředků
  • Typy upozornění a vzácnost
  • Vysoce profilované hrozby, jako jsou ransomware a útoky na národní stát.

Incidentům se automaticky přiřadí skóre priority od 0 do 100, přičemž nejvyšší prioritou je 100. Rozsahy skóre jsou barevně odlišovány následujícím způsobem:

  • Červená: Nejvyšší priorita (skóre > 85)
  • Oranžová: Střední priorita (15–85)
  • Šedá: Nízká priorita (<15)

Snímek obrazovky fronty incidentů na portálu Microsoft Defender

Výběrem řádku incidentu kdekoli kromě názvu incidentu zobrazíte souhrnné podokno s klíčovými informacemi o incidentu. Podokno obsahuje posouzení priority, faktory ovlivňující skóre priority, podrobnosti incidentu, doporučené akce a související hrozby. Pomocí šipek nahoru a dolů v horní části podokna přejděte na předchozí nebo další incident ve frontě incidentů. Další informace o vyšetřování incidentu najdete v tématu Prošetření incidentů.

Výběr incidentu na portálu Microsoft Defender

Ve výchozím nastavení se ve frontě incidentů zobrazují incidenty vytvořené v posledním týdnu. Vyberte jiný časový rámec výběrem rozevíracího seznamu selektoru času nad frontou.

Snímek obrazovky s voličem času pro frontu incidentů

Celkový počet incidentů ve frontě se zobrazí vedle voliče času. Počet incidentů se liší v závislosti na filtrech, které se používají. Incidenty můžete vyhledat podle názvu nebo ID incidentu.

Vyberte Přizpůsobit sloupce a vyberte sloupce zobrazené ve frontě. Zaškrtněte nebo zrušte zaškrtnutí sloupců, které chcete zobrazit ve frontě incidentů. Pořadí sloupců uspořádejte tak, že je přetáhnete nahoru a dolů.

Snímek obrazovky s filtrem stránky incidentu a ovládacími prvky sloupce

Tlačítko Exportovat umožňuje exportovat filtrovaná data ve frontě incidentů do souboru CSV. Maximální počet záznamů, které můžete exportovat do souboru CSV, je 10 000.

Názvy incidentů

Pro lepší přehlednost Microsoft Defender XDR automaticky vygeneruje názvy incidentů na základě atributů upozornění, jako je počet ovlivněných koncových bodů, ovlivnění uživatelé, zdroje detekce nebo kategorie. Díky tomuto konkrétnímu pojmenování můžete rychle porozumět rozsahu incidentu.

Příklad: Vícefázový incident na více koncových bodech hlášených několika zdroji.

Pokud jste Microsoft Sentinel onboardovali na portálu Defender, u všech výstrah a incidentů pocházejících od Microsoft Sentinel se pravděpodobně změní jejich názvy (bez ohledu na to, jestli byly vytvořeny před nebo po onboardingu).

Doporučujeme nepoužívat název incidentu jako podmínku pro aktivaci pravidel automatizace. Pokud je název incidentu podmínkou a název incidentu se změní, pravidlo se neaktivuje.

Filtry

Fronta incidentů také nabízí několik možností filtrování, které při použití umožňují provádět širokou škálu všech existujících incidentů ve vašem prostředí nebo se rozhodnout zaměřit se na konkrétní scénář nebo hrozbu. Použití filtrů ve frontě incidentů může pomoct určit, který incident vyžaduje okamžitou pozornost.

Seznam filtrů ve frontě incidentů

Seznam Filtry nad frontou incidentů zobrazuje aktuální filtry, které se na frontu aktuálně použily. Vyberte Přidat filtr a použijte další filtry, abyste omezili sadu zobrazených incidentů.

Podokno Filtry pro frontu incidentů na portálu Microsoft Defender.

Vyberte filtry, které chcete použít, a pak vyberte Přidat. Vybrané filtry se zobrazí společně s existujícími použitými filtry. Vyberte nový filtr a určete jeho podmínky. Pokud jste například zvolili filtr "Služba/zdroje detekce", vyberte ho a zvolte zdroje, podle kterých chcete seznam filtrovat.

Filtr můžete odebrat tak, že vyberete X v názvu filtru v seznamu filtrů.

Následující tabulka uvádí dostupné filtry.

Název filtru Popis/podmínky
Stav Vyberte Nový, Probíhá nebo Vyřešeno.
Závažnost upozornění
Závažnost incidentu		 Závažnost výstrahy nebo incidentu značí dopad, který může mít na vaše prostředky. Čím vyšší je závažnost, tím větší dopad a obvykle vyžaduje okamžitou pozornost. Vyberte Vysoká, Střední, Nízká nebo Informační.
Přiřazení incidentu Vyberte přiřazeného uživatele nebo uživatele.
Více zdrojů služeb Určete, zda je filtr určen pro více než jeden zdroj služby.
Služba / zdroje detekce Zadejte incidenty, které obsahují výstrahy z jedné nebo několika z následujících možností:
  • Microsoft Defender for Identity
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Endpoint
  • Microsoft Defender XDR
  • Microsoft Defender pro Office 365
  • Zásady správného řízení aplikací
  • Microsoft Entra ID Protection
  • Microsoft Data Loss Prevention
  • Microsoft Defender for Cloud
  • Microsoft Sentinel
  • Správa insiderských rizik Microsoft Purview

    Mnoho z těchto služeb je možné v nabídce rozbalit a odhalit tak další možnosti zdrojů detekce v rámci dané služby.
    		•
    Značky Ze seznamu vyberte jeden nebo více názvů značek.
    Více kategorií Určete, zda je filtr určen pro více než jednu kategorii.
    Kategorie Zvolte kategorie, které se mají zaměřit na konkrétní taktiku, techniky nebo komponenty útoku.
    Entity Zadejte název prostředku, jako je uživatel, zařízení, poštovní schránka nebo název aplikace.
    Popisek citlivosti Incidenty můžete filtrovat na základě popisku citlivosti použitého na data. Některé útoky se zaměřují na exfiltraci citlivých nebo cenných dat. Použitím filtru pro konkrétní popisky citlivosti můžete rychle zjistit, jestli jsou citlivé informace potenciálně ohroženy, a určit prioritu řešení těchto incidentů.
    Skupiny zařízení Zadejte název skupiny zařízení .
    Platforma operačního systému Zadejte operační systémy zařízení.
    Klasifikace Zadejte sadu klasifikací souvisejících výstrah.
    Stav automatizovaného šetření Zadejte stav automatizovaného vyšetřování.
    Přidružená hrozba Zadejte pojmenovanou hrozbu.
    Zásady nebo pravidlo zásad Filtrování incidentů na základě zásad nebo pravidla zásad
    Názvy produktů Incidenty můžete filtrovat na základě názvu produktu.
    Datový stream Incidenty můžete filtrovat na základě umístění nebo úlohy.

    Poznámka

    Pokud jste zřídili přístup k Správa insiderských rizik Microsoft Purview, můžete na portálu Microsoft Defender zobrazit a spravovat upozornění na řízení insiderských rizik a vyhledávat události řízení insiderských rizik. Další informace najdete v tématu Zkoumání hrozeb insiderských rizik na portálu Microsoft Defender.

    Výchozí filtr zobrazuje všechny výstrahy a incidenty se stavem Nový a Probíhá a se závažností Vysoká, Střední nebo Nízká.

    Sady filtrů můžete také vytvořit na stránce incidentů tak, že vyberete Uložené dotazy > filtru Vytvořit sadu filtrů. Pokud se nevytvořily žádné sady filtrů, vyberte Uložit a vytvořte ji.

    Možnost vytvořit filtr nastaví pro frontu incidentů na portálu Microsoft Defender.

    Poznámka

    Microsoft Defender XDR zákazníci teď můžou filtrovat incidenty s výstrahami, kdy ohrožené zařízení komunikovalo se zařízeními OT připojenými k podnikové síti prostřednictvím integrace zjišťování zařízení Microsoft Defender pro IoT a Microsoft Defender for Endpoint. Pokud chcete tyto incidenty filtrovat, vyberte v části Služba/zdroje detekce možnost Libovolná a pak v názvu produktu vyberte Microsoft Defender pro IoT nebo se podívejte na téma Zkoumání incidentů a upozornění v Microsoft Defender pro IoT na portálu Defender. Skupiny zařízení můžete také použít k filtrování výstrah specifických pro web. Další informace o požadavcích na Defender for IoT najdete v tématu Začínáme s podnikovým monitorováním IoT v Microsoft Defender XDR.

    Uložení vlastních filtrů jako adres URL

    Jakmile nakonfigurujete užitečný filtr ve frontě incidentů, můžete si uložit adresu URL karty prohlížeče do záložek nebo ji jinak uložit jako odkaz na webovou stránku, Word dokument nebo místo podle vašeho výběru. Záložky umožňují jedním kliknutím získat přístup ke klíčovým zobrazením fronty incidentů, například:

    • Nové incidenty
    • Vysoce závažné incidenty
    • Nepřiřazené incidenty
    • Vysoce závažné nepřiřazené incidenty
    • Incidenty přiřazené mně
    • Incidenty přiřazené mně a pro Microsoft Defender for Endpoint
    • Incidenty s konkrétní značkou nebo značkami
    • Incidenty s konkrétní kategorií hrozeb
    • Incidenty s konkrétní přidruženou hrozbou
    • Incidenty s konkrétním aktérem

    Jakmile zkompilujete a uložíte seznam užitečných zobrazení filtru jako adresy URL, použijte ho k rychlému zpracování a určení priorit incidentů ve frontě a jejich správě pro následné přiřazení a analýzu.

    V poli Hledat jméno nebo ID nad seznamem incidentů můžete incidenty vyhledat mnoha způsoby, abyste rychle našli, co hledáte.

    Hledat podle názvu nebo ID incidentu

    Vyhledejte incident přímo zadáním ID incidentu nebo názvu incidentu. Když vyberete incident ze seznamu výsledků hledání, portál Microsoft Defender otevře novou kartu s vlastnostmi incidentu, ze které můžete zahájit šetření.

    Hledání podle ovlivněných prostředků

    Prostředek můžete pojmenovat , například uživatele, zařízení, poštovní schránku, název aplikace nebo cloudový prostředek, a najít všechny incidenty související s tímto prostředkem.

    Určení časového rozsahu

    Výchozí seznam incidentů je pro incidenty, ke kterým došlo v posledních šesti měsících. Nový časový rozsah můžete zadat v rozevíracím seznamu vedle ikony kalendáře tak, že vyberete:

    • Jeden den
    • Tři dny
    • Jeden týden
    • 30 dní
    • 30 dní
    • Šest měsíců
    • Vlastní rozsah, ve kterém můžete zadat data i časy.

    Další kroky

    Jakmile určíte, který incident vyžaduje nejvyšší prioritu, vyberte ho a:

    • Spravujte vlastnosti incidentu pro značky, přiřazení, okamžité řešení falešně pozitivních incidentů a komentáře.
    • Zahajte šetření.

    Defender Boxed

    Po omezenou dobu během ledna a července každého roku se Defender Boxed automaticky zobrazí při prvním otevření fronty incidentů. Defender Boxed zvýrazňuje úspěch zabezpečení vaší organizace, vylepšení a akce reakce během předchozích šesti měsíců nebo kalendářního roku.

    Defender Boxed, jak je znázorněno ve frontě incidentů.

    Poznámka

    Defender Boxed je k dispozici jenom uživatelům, kteří na portálu Microsoft Defender prováděli příslušné aktivity.

    V řadě karet, které se zobrazují v Defenderu Boxed, můžete provést následující akce:

    • Stáhněte si podrobný souhrn vašich úspěchů, které můžete sdílet s ostatními uživateli ve vaší organizaci.

      Snímek obrazovky se snímkem Defender Boxed a zvýrazněnou možností souhrnu stahování

    • Změňte frekvenci, jak často se bude Defender Boxed zobrazovat. Můžete si vybrat mezi jednou (každý leden) nebo dvakrát (každý leden a červenec) za rok.

      Snímek obrazovky se snímkem Defender Boxed se zvýrazněnou frekvencí

    • Sdílejte svůj úspěch na sociálních sítích, e-mailech a dalších fórech uložením snímku jako obrázku.

      Snímek obrazovky se snímkem Defender Boxed a zvýrazněnou možností uložit

    Pokud chcete defender Boxed znovu otevřít, přejděte do fronty Incidents (Incidenty) a pak na pravé straně podokna vyberte Váš Defender Boxed .

    Snímek obrazovky se zvýrazněnou možností Defender Boxed na stránce Incidenty

    Viz také

    Tip

    Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.

    • Last updated on