Sdílet prostřednictvím


Správa incidentů v Microsoft Defender

Správa incidentů je nezbytná k zajištění toho, aby incidenty byly pojmenovány, přiřazovány a označeny, aby se optimalizoval čas v pracovním postupu incidentů a rychleji se zachytávají a řešily hrozby.

Incidenty můžete spravovat v části Incidenty & výstrahy > Incidenty na rychlém spuštění portálu Microsoft Defender (security.microsoft.com). Tady je příklad.

Snímek obrazovky s možností spravovat incident ve frontě incidentů a podokně Snadné spuštění na portálu Microsoft Defender

Incidenty můžete spravovat takto:

Incidenty můžete spravovat v podokně Spravovat incident pro incident. Tady je příklad.

Snímek obrazovky s podoknem Spravovat incident na portálu Microsoft Defender

Toto podokno můžete zobrazit z odkazu Spravovat incident na stránce:

  • Stránka s informacemi o upozornění
  • Podokno Vlastnosti incidentu ve frontě incidentů
  • Stránka souhrnu incidentu
  • Možnost Spravovat incident se nachází v pravém horním rohu stránky Incident.

V případech, kdy chcete přesunout výstrahy z jednoho incidentu do druhého, můžete to udělat také na kartě Výstrahy a vytvořit tak větší nebo menší incident, který zahrnuje všechny relevantní výstrahy.

Úprava názvu incidentu

Microsoft Defender automaticky přiřadí název na základě atributů upozornění, jako je počet ovlivněných koncových bodů, ovlivněných uživatelů, zdroje detekce nebo kategorie. Název incidentu umožňuje rychle porozumět rozsahu incidentu. Příklad: Vícefázový incident na více koncových bodech hlášených několika zdroji.

Název incidentu můžete upravit v poli Název incidentu v podokně Spravovat incident .

Poznámka

Incidenty, které existovaly před uvedením funkce automatického pojmenování incidentů, si zachovají svůj název.

Přiřazení nebo změna závažnosti incidentu

Závažnost incidentu můžete přiřadit nebo změnit z pole Závažnost v podokně Spravovat incident . Závažnost incidentu je určena nejvyšší závažností výstrah, které jsou k němu přidruženy. Závažnost incidentu může být nastavená na vysokou, střední, nízkou nebo informační.

Přidání značek incidentů

K incidentu můžete přidat vlastní značky, například označit skupinu incidentů společnou charakteristikou. Později můžete frontu incidentů filtrovat pro všechny incidenty, které obsahují určitou značku.

Jakmile začnete psát, zobrazí se možnost výběru ze seznamu dříve použitých a vybraných značek.

Incident může mít systémové značky nebo vlastní značky s určitými barevnými pozadími. Vlastní značky používají bílé pozadí, zatímco systémové značky obvykle používají červené nebo černé barvy pozadí. Systémové značky identifikují v incidentu následující:

  • Typ útoku, jako je phishing s přihlašovacími údaji nebo podvod BEC
  • Automatické akce, jako je automatické vyšetřování a reakce a automatické přerušení útoku
  • Experti defenderu zpracovávající incident
  • Kritické prostředky zapojené do incidentu

Tip

Správa míry rizika zabezpečení Microsoftu na základě předdefinovaných klasifikací automaticky označí zařízení, identity a cloudové prostředky jako kritický prostředek. Tato předefinované funkce zajišťuje ochranu nejcennějších a nejdůležitějších prostředků organizace. Pomáhá také týmům pro operace zabezpečení určit prioritu vyšetřování a nápravy. Přečtěte si další informace o správě důležitých prostředků.

Přiřazení incidentu

Můžete vybrat pole Přiřadit k a zadat uživatelský účet pro přiřazení incidentu. Pokud chcete změnit přiřazení incidentu, odeberte aktuální účet přiřazení tak, že vyberete x vedle názvu účtu a pak zaškrtnete políčko Přiřadit. Přiřazení vlastnictví incidentu přiřadí stejné vlastnictví všem výstrahám, které jsou k němu přidružené.

Seznam přiřazených incidentů můžete získat filtrováním fronty incidentů.

  1. Ve frontě incidentů vyberte Filtry.
  2. V části Přiřazení incidentuzrušte zaškrtnutí políčka Vybrat vše. Vyberte Přiřazeno mně, Přiřazeno jinému uživateli nebo Přiřazeno ke skupině uživatelů.
  3. Vyberte Použít a pak zavřete podokno Filtry .

Výslednou adresu URL pak můžete uložit do prohlížeče jako záložku a rychle zobrazit seznam přiřazených incidentů.

Řešení incidentu

Když se incident opraví a vyřeší, v rozevíracím seznamu Stav vyberte Vyřešeno. Řešení incidentu také vyřeší všechny propojené a aktivní výstrahy související s incidentem.

Když změníte stav incidentu na Vyřešeno, zobrazí se nové pole hned za polem Stav . Do tohoto pole zadejte poznámku, která vysvětluje, proč považujete incident za vyřešený. Tato poznámka je viditelná v protokolu aktivit incidentu v blízkosti položky, která zaznamenává řešení incidentu.

Snímek obrazovky panelu pro správu incidentů s poznámkou k řešení incidentu

Na stránce fronty incidentů i na stránce incidentu vyřešeného incidentu uvidíte poznámku k řešení incidentu na bočním panelu v části Podrobnosti incidentu .

Snímek obrazovky se zobrazením poznámky k řešení na panelu podrobností incidentu

Řešení incidentu také vyřeší všechny propojené a aktivní výstrahy související s incidentem. Incident, který se nevyřešil, se zobrazí jako Aktivní.

Určení klasifikace

V poli Klasifikace určíte, jestli se jedná o incident:

  • Nenastaví se (výchozí).
  • Pravdivě pozitivní s typem hrozby. Tuto klasifikaci použijte pro incidenty, které přesně označují skutečnou hrozbu. Určení typu hrozby pomůže vašemu bezpečnostnímu týmu vidět vzory hrozeb a jednat tak, aby před nimi chránil vaši organizaci.
  • Informační, očekávaná aktivita s typem aktivity. Pomocí možností v této kategorii můžete klasifikovat incidenty pro testy zabezpečení, aktivitu červeného týmu a očekávané neobvyklé chování důvěryhodných aplikací a uživatelů.
  • Falešně pozitivní u typů incidentů, které určíte, je možné ignorovat, protože jsou technicky nepřesné nebo zavádějící.

Klasifikace incidentů a určení jejich stavu a typu pomáhá ladit Microsoft Defender XDR tak, aby poskytovaly lepší zjišťování v průběhu času.

Přidat komentáře

Pomocí pole Komentář můžete k incidentu přidat více komentářů. Pole komentáře podporuje text a formátování, odkazy a obrázky. Každý komentář je omezený na 30 000 znaků.

Všechny komentáře se přidají k historickým událostem incidentu. Komentáře a historii incidentu můžete zobrazit pomocí odkazu Komentáře a historie na stránce Souhrn .

Protokol aktivit

V protokolu aktivit se zobrazí seznam všech komentářů a akcí provedených u incidentu, označovaných jako audity a komentáře. Všechny změny incidentu provedené uživatelem nebo systémem se zaznamenají do protokolu aktivit. Protokol aktivit je k dispozici v možnosti Protokol aktivit na stránce incidentu nebo v bočním podokně incidentu.

Snímek obrazovky se zvýrazněnou možností protokolu aktivit na stránce incidentu na portálu Microsoft Defender

Aktivity v protokolu můžete filtrovat podle komentářů a akcí. Klikněte na Obsah: Audity, Komentáře a pak vyberte typ obsahu pro filtrování aktivit. Tady je příklad.

Snímek obrazovky se zvýrazněním možností filtru v podokně protokolu aktivit na stránce incidentu na portálu Microsoft Defender

Můžete také přidat vlastní komentáře pomocí pole komentáře, které je k dispozici v protokolu aktivit. Pole komentáře umožňuje text a formátování, odkazy a obrázky.

Snímek obrazovky se zvýrazněním pole komentáře na stránce incidentu na portálu Microsoft Defender

Export dat incidentů do PDF

Důležité

Některé informace v tomto článku se týkají předem vydaného produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje v souvislosti se zde uvedenými informacemi žádné výslovné ani předpokládané záruky.

Funkce exportu dat incidentů je v současné době k dispozici pro zákazníky Microsoft Defender XDR a platformy Microsoft Unified Security Operations Center (SOC) s Microsoft Copilot pro licenci zabezpečení.

Data incidentu můžete exportovat do PDF prostřednictvím funkce Exportovat incident jako PDF a uložit je do formátu PDF. Tato funkce umožňuje bezpečnostním týmům kdykoli offline kontrolovat podrobnosti incidentu.

Exportovaná data incidentu obsahují následující informace:

Tady je příklad exportovaného SOUBORU PDF:

Snímek obrazovky s první stránkou exportovaného PDF

Pokud máte licenci Copilot for Security , exportovaný soubor PDF obsahuje následující další data incidentu:

Funkce exportu do PDF je k dispozici také na bočním panelu Copilot. Když v pravém horním rohu karty výsledků sestavy incidentů vyberete tři tečky Další akce (...), můžete zvolit Exportovat incident jako PDF.

Snímek obrazovky s dalšími akcemi na kartě s výsledky hlášení incidentu.

Pokud chcete soubor PDF vygenerovat, proveďte následující kroky:

  1. Otevřete stránku incidentu. Vyberte tři tečky Další akce (...) v pravém horním rohu a zvolte Exportovat incident jako PDF.

    Snímek obrazovky se zvýrazněním tří teček Další akce na stránce incidentu

  2. V dialogovém okně, které se zobrazí jako další, potvrďte informace o incidentu, které chcete zahrnout nebo vyloučit do SOUBORU PDF. Ve výchozím nastavení jsou vybrané všechny informace o incidentech. Pokračujte výběrem možnosti Exportovat PDF .

    Snímek obrazovky s možností exportu incidentu do PDF

  3. Pod názvem incidentu se zobrazí stavová zpráva s informací o aktuálním stavu stahování. Proces exportu může trvat několik minut v závislosti na složitosti incidentu a množství exportovaných dat.

    Snímek obrazovky se zvýrazněnou zprávou o exportu a stavem před stažením

  4. Zobrazí se další dialogové okno s oznámením, že soubor PDF je připravený. V dialogovém okně vyberte Stáhnout a uložte soubor PDF do zařízení. Aktualizuje se také stavová zpráva pod názvem incidentu, která značí, že je stahování k dispozici.

    Snímek obrazovky se zvýrazněnou zprávou o exportu a stavem, když je stahování k dispozici

Sestava se pár minut ukládá do mezipaměti. Systém poskytuje dříve vygenerovaný soubor PDF, pokud se pokusíte exportovat stejný incident znovu během krátké doby. Pokud chcete vygenerovat novější verzi SOUBORU PDF, počkejte několik minut, než vyprší platnost mezipaměti.

Další kroky

V případě nových incidentů zahajte šetření.

V případě procesních incidentů pokračujte ve vyšetřování.

V případě vyřešených incidentů proveďte závěrečné vyhodnocení incidentu.

Viz také

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.