Číst v angličtině

Sdílet prostřednictvím


Správa incidentů v Microsoft Defender

Správa incidentů je nezbytná k zajištění toho, aby incidenty byly pojmenovány, přiřazovány a označeny, aby se optimalizoval čas v pracovním postupu incidentů a rychleji se zachytávají a řešily hrozby.

Spravujte incidenty z webu Investigation & response > Incidenty & výstrahy > Incidenty na rychlém spuštění portálu Microsoft Defender (security.microsoft.com). Tady je příklad.

Snímek obrazovky zobrazující frontu incidentů a podokno snadného spuštění na portálu Microsoft Defender

V tomto článku se dozvíte, jak provádět různé úlohy správy incidentů spojené s různými fázemi životního cyklu incidentu.

Třídění incidentů:

Vyšetřování a řešení incidentů:

Protokolování a hlášení incidentů:

Přístup k podoknu Spravovat incident

Většina z těchto úloh je pro incident přístupná z podokna Spravovat incident . K tomuto podoknu se dostanete z libovolného umístění.

Z fronty incidentů

  1. Na rychlém spuštění portálu Microsoft Defender vyberte Vyšetřování & reakce > Incidenty & výstrahy > Incidenty.

  2. Z fronty incidentů přejděte do podokna Spravovat incident jedním ze dvou způsobů:

    • Zaškrtněte políčko incidentu a na panelu nástrojů nad filtry vyberte Spravovat incidenty . Můžete spravovat mnoho incidentů najednou tak, že zaškrtnete více zaškrtávacích políček.

    • Vyberte řádek incidentu (bez výběru názvu incidentu), aby se zobrazilo podokno podrobností incidentu, a v podokně podrobností incidentu vyberte Spravovat incident .

      Snímek obrazovky znázorňující, jak spravovat incidenty z fronty incidentů na portálu Microsoft Defender

Na stránce incidentu

  1. Na rychlém spuštění portálu Microsoft Defender vyberte Vyšetřování & reakce > Incidenty & výstrahy > Incidenty.

  2. Vyberte název incidentu z fronty. Nebo vyberte řádek incidentu ve frontě a pak v podokně podrobností incidentu vyberte Otevřít stránku incidentu .

  3. Na stránce incidentu v horním panelu vyberte Spravovat incident .

    Pokud možnost Spravovat incident není viditelná, vyberte tři tečky v pravém horním rohu (viditelné na následujícím snímku obrazovky vedle položky Spravovat incident) a vyberte je v zobrazené nabídce.

    Snímek obrazovky znázorňující, jak spravovat incident ze stránky incidentu na portálu Microsoft Defender

Posouzení incidentů

Následující úlohy správy jsou úzce spojené s posouzením incidentů, i když je možné je kdykoli provést.

Přiřazení incidentu vlastníkovi

Ve výchozím nastavení se nové incidenty vytvářejí bez vlastníka. V ideálním případě by váš tým SecOps měl mít zavedené mechanismy a postupy pro automatické přiřazování incidentů vlastníkům. V případě eskalace nebo chybného původního přiřazení možná budete muset incident přiřadit znovu.

Přiřazení vlastníka

Pokud chcete k incidentu přiřadit nového vlastníka ručně, proveďte následující kroky:

  1. Podle pokynů v úvodní části přejděte k podoknu Správa incidentu.

  2. Zaškrtněte políčko Přiřadit k . Zobrazí se rozevírací seznam navrhovaných přiřazených.

  3. Pokud se zobrazí účet uživatele nebo skupiny, ke kterému chcete incident přiřadit, vyberte ho.

    V opačném případě začněte do textového pole v horní části seznamu psát jméno nebo ID účtu požadovaného uživatele nebo skupiny. Seznam se dynamicky aktualizuje a filtruje se podle toho, co píšete. Až uvidíte požadovaného uživatele nebo skupinu, vyberte ho.

  4. Pokud chcete odebrat existující přiřazení, včetně toho, které jste právě přidali, vyberte X vedle názvu účtu. Pokud chcete přidat další přiřazení, zaškrtněte políčko Přiřadit k.

    K incidentu je možné přiřadit pouze jeden uživatelský nebo skupinový účet.

  5. Vyberte Uložit.

Přiřazení vlastnictví incidentu přiřadí stejné vlastnictví všem výstrahám, které jsou k němu přidružené.

Snímek obrazovky znázorňující, jak přiřadit vlastníka v podokně Spravovat incident na portálu Microsoft Defender

Zobrazení incidentů přiřazených konkrétnímu vlastníkovi

Pokud chcete zobrazit seznam incidentů přiřazených konkrétnímu uživateli nebo skupině, vyfiltrujte frontu incidentů:

  1. Ve frontě incidentů vyberte filtr Přiřazení incidentů . Zobrazí se rozevírací seznam navrhovaných přiřazených.

    Pokud mezi filtry nevidíte přiřazení incidentu , vyberte Přidat filtr, v rozevíracím seznamu vyberte Přiřazení incidentu a vyberte Přidat.

  2. Pokud se zobrazí uživatelský účet, jehož přiřazené incidenty chcete zobrazit, vyberte ho.

    V opačném případě začněte do textového pole v horní části seznamu psát jméno nebo ID účtu požadovaného uživatele nebo skupiny. Seznam se dynamicky aktualizuje a filtruje se podle toho, co píšete. Až uvidíte požadovaného uživatele nebo skupinu, vyberte ho.

    Na rozdíl od přiřazování incidentů zde můžete vybrat více než jednu přiřazenou adresu, podle které chcete seznam filtrovat. Pokud chcete do filtru přidat další uživatelský nebo skupinový účet, vyberte textové pole (vedle existujícího účtu ve filtru) a znovu se zobrazí seznam navrhovaných příjemců.

  3. Vyberte Použít.

    Snímek obrazovky znázorňující, jak zobrazit incidenty přiřazené vlastníkovi na stránce fronty incidentů na portálu Microsoft Defender

Pokud chcete uložit odkaz na frontu incidentů s použitými aktuálními filtry, vyberte z panelu nástrojů na stránce fronty incidentů možnost Kopírovat odkaz na seznam . Vytvořte zástupce v oblíbených nebo na ploše a vložte do něj odkaz.

Přiřazení nebo změna závažnosti incidentu

Závažnost incidentu je určena nejvyšší závažností výstrah, které jsou k němu přidruženy. Závažnost incidentu může být nastavená na vysokou, střední, nízkou nebo informační.

Pokud chcete ručně přiřadit nebo změnit závažnost incidentu, proveďte následující kroky:

  1. Podle pokynů v úvodní části přejděte k podoknu Správa incidentu.

  2. V rozevíracím seznamu Závažnost v podokně Spravovat incident vyberte hodnotu závažnosti, kterou chcete použít.

  3. Vyberte Uložit.

Přidání značek incidentů

Vlastní značky přidávají informace, které incidentu propůjčují kontext. Značka může například označit skupinu incidentů společnou charakteristikou. Značky jsou kritériem pro filtrování, takže později můžete filtrovat frontu incidentů pro všechny incidenty, které obsahují konkrétní značku. Použití značky u incidentu:

  1. Podle pokynů v úvodní části přejděte k podoknu Správa incidentu.

  2. Do pole Značky incidentů začněte psát název značky, kterou chcete použít. Při psaní se zobrazí seznam dříve použitých a vybraných značek. Pokud se v seznamu zobrazí značka, kterou chcete použít, vyberte ji.

    Snímek obrazovky znázorňující, jak vytvořit značku incidentu v podokně Spravovat incidenty

    Pokud jste zadali název značky, který se ještě nepoužil, vyberte poslední položku v seznamu, což je zadaný text následovaný textem (Vytvořit nový).

    Snímek obrazovky znázorňující, jak vybrat značku, která se má použít u incidentu, v podokně Spravovat incidenty

    Značka se pak zobrazí jako popisek v poli Značky incidentů. Tento krok opakujte, pokud chcete přidat další značky.

    Snímek obrazovky znázorňující, jak se vybraná značka zobrazuje v poli Značky incidentů

  3. Vyberte Uložit.

Incident může mít systémové značky nebo vlastní značky s určitými barevnými pozadími. Vlastní značky používají bílé pozadí, zatímco systémové značky obvykle používají červené nebo černé barvy pozadí. Systémové značky identifikují v incidentu následující:

  • Typ útoku, jako je phishing s přihlašovacími údaji nebo podvod BEC
  • Automatické akce, jako je automatické vyšetřování a reakce a automatické přerušení útoku
  • Experti defenderu zpracovávající incident
  • Kritické prostředky zapojené do incidentu

Tip

Správa míry rizika zabezpečení Microsoftu na základě předdefinovaných klasifikací automaticky označí zařízení, identity a cloudové prostředky jako kritický prostředek. Tato předefinované funkce zajišťuje ochranu nejcennějších a nejdůležitějších prostředků organizace. Pomáhá také týmům pro operace zabezpečení určit prioritu vyšetřování a nápravy. Přečtěte si další informace o správě důležitých prostředků.

Změna stavu incidentu

Incidenty začínají se stavem Aktivní. Když pracujete na incidentu, změňte stav na Probíhá.

Vyšetřování a řešení incidentů

Následující úlohy správy jsou úzce spojeny s vyšetřováním a řešením incidentů, i když je možné je kdykoli provést.

Řešení incidentu

Při nápravě a vyřešení incidentu proveďte následující akce k zaznamenání řešení:

  1. Podle pokynů v úvodní části přejděte k podoknu Správa incidentu.

  2. Změňte stav. V rozevíracím seznamu Stav vyberte Vyřešeno. Když změníte stav incidentu na Vyřešeno, zobrazí se nové pole hned za polem Stav .

  3. Do tohoto pole zadejte poznámku, která vysvětluje, proč považujete incident za vyřešený. Tato poznámka je viditelná v protokolu aktivit incidentu v blízkosti položky, která zaznamenává řešení incidentu.

    Snímek obrazovky panelu pro správu incidentů s poznámkou k řešení incidentu

    Poznámka k řešení je také viditelná na panelu Podrobnosti incidentu na stránce fronty incidentů i na stránce incidentu u vyřešeného incidentu.

    Snímek obrazovky se zobrazením poznámky k řešení na panelu podrobností incidentu

  4. Vyberte Uložit.

Řešení incidentu také vyřeší všechny propojené a aktivní výstrahy související s incidentem. Incident, který se nevyřešil, se zobrazí jako Aktivní.

Určení klasifikace incidentu

Při řešení incidentu nebo v jakémkoli okamžiku vyšetřování incidentu nastavte odpovídajícím způsobem pole Klasifikace , jakmile se dozvíte, jak by se incident měl klasifikovat.

  1. Podle pokynů v úvodní části přejděte k podoknu Správa incidentu.

  2. V rozevíracím seznamu Klasifikace zvolte příslušnou hodnotu:

    • Nenastaví se (výchozí).
    • Pravdivě pozitivní s typem hrozby. Tuto klasifikaci použijte pro incidenty, které přesně označují skutečnou hrozbu. Určení typu hrozby pomůže vašemu bezpečnostnímu týmu vidět vzory hrozeb a jednat tak, aby před nimi chránil vaši organizaci.
    • Informační, očekávaná aktivita s typem aktivity. Pomocí možností v této kategorii můžete klasifikovat incidenty pro testy zabezpečení, aktivitu červeného týmu a očekávané neobvyklé chování důvěryhodných aplikací a uživatelů.
    • Falešně pozitivní u typů incidentů, které určíte, je možné ignorovat, protože jsou technicky nepřesné nebo zavádějící.

    Dostupné typy aktivit a hrozeb pro každou z těchto klasifikací najdete na následujícím snímku obrazovky.

  3. Vyberte Uložit.

    Snímek obrazovky znázorňující možnosti klasifikace incidentů

Klasifikace incidentů a určení jejich stavu a typu pomáhá ladit Microsoft Defender tak, aby poskytovaly lepší zjišťování v průběhu času.

Přidání komentářů k incidentu

V průběhu vyšetřování a incidentu přidejte komentáře, které zaznamenají vaše aktivity, poznatky a závěry.

  1. Otevřete protokol aktivit incidentu. Na stránce incidentu nebo na panelu podrobností incidentu na stránce fronty incidentů vyberte tři tečky v pravém horním rohu a ve výsledné nabídce vyberte Protokol aktivit.

    Snímek obrazovky znázorňující přístup k protokolu aktivit incidentu

  2. Do textového pole zadejte komentář. Pole komentáře podporuje text a formátování, odkazy a obrázky. Každý komentář je omezený na 30 000 znaků.

    Snímek obrazovky znázorňující, jak přidat komentář k incidentu

  3. Vyberte Uložit.

Všechny komentáře se přidají k historickým událostem incidentu. Komentáře a historii incidentu můžete zobrazit pomocí odkazu Komentáře a historie na stránce Souhrn .

Protokolování a hlášení incidentů

Následující úlohy správy se dají přidružit k auditování a hlášení o vyšetřování incidentů, i když je možné je kdykoli provést.

Úprava názvu incidentu

Microsoft Defender automaticky přiřadí název na základě atributů upozornění, jako je počet ovlivněných koncových bodů, ovlivněných uživatelů, zdroje detekce nebo kategorie. Název incidentu umožňuje rychle porozumět rozsahu incidentu. Příklad: Vícefázový incident na více koncových bodech hlášených několika zdroji.

Pokud chcete upravit název incidentu, proveďte následující kroky:

  1. Podle pokynů v úvodní části přejděte k podoknu Správa incidentu.

  2. Do pole Název incidentu v podokně Spravovat incident zadejte nový název.

  3. Vyberte Uložit.

Poznámka

  • Incidenty, které existovaly před uvedením funkce automatického pojmenování incidentů, si zachovají svoje názvy.

  • Pokud se jiný incident sloučí do přejmenovaného incidentu, Defender mu dá nový název a přepíše libovolný vlastní název, který jste mu dali předem.

Zobrazení protokolu aktivit incidentu

Když provádíte postsmrtu incidentu, podívejte se na protokol aktivit incidentu a zobrazte historii akcí provedených s incidentem (označované jako audity) a všechny zaznamenané komentáře. Všechny změny incidentu provedené uživatelem nebo systémem se zaznamenají do protokolu aktivit.

  1. Otevřete protokol aktivit incidentu. Na stránce incidentu nebo na panelu podrobností incidentu na stránce fronty incidentů vyberte tři tečky v pravém horním rohu a ve výsledné nabídce vyberte Protokol aktivit.

    Snímek obrazovky se zvýrazněnou možností protokolu aktivit na stránce incidentu na portálu Microsoft Defender

  2. Aktivity v protokolu můžete filtrovat podle komentářů a akcí. Vyberte Obsah: Audity, Komentáře a pak vyberte typ obsahu pro filtrování aktivit. Tady je příklad.

    Snímek obrazovky se zvýrazněním možností filtru v podokně protokolu aktivit na stránce incidentu na portálu Microsoft Defender

  3. Vyberte Použít.

Můžete také přidat vlastní komentáře pomocí pole komentáře, které je k dispozici v protokolu aktivit. Pole komentáře umožňuje text a formátování, odkazy a obrázky.

Důležité

Některé informace v tomto článku se týkají předem vydaného produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje v souvislosti se zde uvedenými informacemi žádné výslovné ani předpokládané záruky.

Export dat incidentů do PDF

Data incidentu můžete exportovat do PDF prostřednictvím funkce Exportovat incident jako PDF a uložit je do formátu PDF. Tato funkce umožňuje bezpečnostním týmům kdykoli offline kontrolovat podrobnosti incidentu.

Exportovaná data incidentu obsahují následující informace:

Tady je příklad exportovaného SOUBORU PDF:

Snímek obrazovky s první stránkou exportovaného PDF

Pokud máte licenci Copilot for Security , exportovaný soubor PDF obsahuje následující další data incidentu:

Funkce exportu do PDF je k dispozici také na bočním panelu Copilot. Když v pravém horním rohu karty výsledků sestavy incidentů vyberete tři tečky Další akce (...), můžete zvolit Exportovat incident jako PDF.

Snímek obrazovky s dalšími akcemi na kartě s výsledky hlášení incidentu.

Pokud chcete soubor PDF vygenerovat, proveďte následující kroky:

  1. Otevřete stránku incidentu. Vyberte tři tečky Další akce (...) v pravém horním rohu a zvolte Exportovat incident jako PDF.

    Snímek obrazovky se zvýrazněním tří teček Další akce na stránce incidentu

  2. V dialogovém okně, které se zobrazí jako další, potvrďte informace o incidentu, které chcete zahrnout nebo vyloučit do SOUBORU PDF. Ve výchozím nastavení jsou vybrané všechny informace o incidentech. Pokračujte výběrem možnosti Exportovat PDF .

    Snímek obrazovky s možností exportu incidentu do PDF

  3. Pod názvem incidentu se zobrazí stavová zpráva s informací o aktuálním stavu stahování. Proces exportu může trvat několik minut v závislosti na složitosti incidentu a množství exportovaných dat.

    Snímek obrazovky se zvýrazněnou zprávou o exportu a stavem před stažením

  4. Zobrazí se další dialogové okno s oznámením, že soubor PDF je připravený. V dialogovém okně vyberte Stáhnout a uložte soubor PDF do zařízení. Aktualizuje se také stavová zpráva pod názvem incidentu, která značí, že je stahování k dispozici.

    Snímek obrazovky se zvýrazněnou zprávou o exportu a stavem, když je stahování k dispozici

Sestava se pár minut ukládá do mezipaměti. Systém poskytuje dříve vygenerovaný soubor PDF, pokud se pokusíte exportovat stejný incident znovu během krátké doby. Pokud chcete vygenerovat novější verzi SOUBORU PDF, počkejte několik minut, než vyprší platnost mezipaměti.

Další kroky

V případě nových a procesních incidentů pokračujte ve vyšetřování incidentu.

V případě vyřešených incidentů proveďte závěrečné vyhodnocení incidentu.

Viz také

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.