Stanovení priorit incidentů na portálu Microsoft Defender

  • Článek
  • Platí pro:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Sjednocená platforma operací zabezpečení na portálu Microsoft Defender používá analýzu korelace a agreguje související výstrahy a automatizovaná šetření z různých produktů do incidentu. Služba Microsoft Sentinel a Defender XDR také aktivují jedinečná upozornění na aktivity, které je možné identifikovat pouze jako škodlivé vzhledem k celkové viditelnosti na sjednocené platformě v celé sadě produktů. Toto zobrazení poskytuje analytikům zabezpečení širší příběh útoku, který jim pomůže lépe pochopit a řešit složité hrozby v rámci vaší organizace.

Důležité

Microsoft Sentinel je k dispozici jako součást verze Public Preview pro sjednocenou platformu operací zabezpečení na portálu Microsoft Defender. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Fronta incidentů

Fronta incidentů zobrazuje kolekci incidentů vytvořených napříč zařízeními, uživateli, poštovními schránkami a dalšími prostředky. Pomáhá řadit incidenty, abyste mohli určit prioritu a vytvořit informované rozhodnutí o reakci na kybernetickou bezpečnost, což je proces označovaný jako třídění incidentů.

Tip

Po omezenou dobu během ledna 2024 se při návštěvě stránky Incidenty zobrazí Defender Boxed. Defender Boxed zvýrazňuje úspěchy, vylepšení a reakce vaší organizace ohledně zabezpečení během roku 2023. Pokud chcete znovu otevřít Defender Boxed, přejděte na portálu Microsoft Defender na Incidenty a pak vyberte Váš Defender Boxed.

Do fronty incidentů se dostanete z části Incidenty & výstrahy > Incidenty na rychlém spuštění portálu Microsoft Defender. Tady je příklad.

Snímek obrazovky fronty incidentů na portálu Microsoft Defender

Výběrem možnosti Nejnovější incidenty a výstrahy můžete přepnout rozšíření horní části, která zobrazuje graf časové osy s počtem přijatých upozornění a incidenty vytvořenými za posledních 24 hodin.

Snímek obrazovky s 24hodinovým grafem incidentů

Pod tím se ve frontě incidentů na portálu Microsoft Defender zobrazí incidenty za posledních šest měsíců. Poslední incident je v horní části seznamu, abyste ho viděli jako první. Můžete zvolit jiný časový rámec tak, že ho vyberete v rozevíracím seznamu v horní části.

Fronta incidentů obsahuje přizpůsobitelné sloupce (vyberte Přizpůsobit sloupce), které vám poskytnou přehled o různých charakteristikách incidentu nebo ovlivněných entit. Toto filtrování vám pomůže učinit informované rozhodnutí ohledně stanovení priorit incidentů pro účely analýzy.

Snímek obrazovky s filtrem stránky incidentu a ovládacími prvky sloupce

Názvy incidentů

Pro lepší přehlednost Microsoft Defender XDR automaticky vygeneruje názvy incidentů na základě atributů upozornění, jako je počet ovlivněných koncových bodů, ovlivnění uživatelé, zdroje detekce nebo kategorie. Díky tomuto konkrétnímu pojmenování můžete rychle porozumět rozsahu incidentu.

Příklad: Vícefázový incident na více koncových bodech hlášených několika zdroji.

Pokud jste službu Microsoft Sentinel onboardovali na platformu sjednocených operací zabezpečení, u všech výstrah a incidentů pocházejících ze služby Microsoft Sentinel se pravděpodobně změní jejich názvy (bez ohledu na to, jestli byly vytvořeny před nebo po onboardingu).

Doporučujeme nepoužívat název incidentu jako podmínku pro aktivaci pravidel automatizace. Pokud je název incidentu podmínkou a název incidentu se změní, pravidlo se neaktivuje.

Filtry

Fronta incidentů také nabízí několik možností filtrování, které při použití umožňují provádět širokou škálu všech existujících incidentů ve vašem prostředí nebo se rozhodnout zaměřit se na konkrétní scénář nebo hrozbu. Použití filtrů ve frontě incidentů může pomoct určit, který incident vyžaduje okamžitou pozornost.

Seznam Filtry nad seznamem incidentů zobrazuje aktuálně použité filtry.

Ve výchozí frontě incidentů můžete výběrem možnosti Přidat filtr zobrazit rozevírací seznam Přidat filtr , ve kterém zadáte filtry, které se mají použít pro frontu incidentů, aby se omezila sada zobrazených incidentů. Tady je příklad.

Podokno Filtry pro frontu incidentů na portálu Microsoft Defender.

Vyberte filtry, které chcete použít, a pak vyberte Přidat v dolní části seznamu, aby byly dostupné.

Filtry, které jste vybrali, se teď zobrazí společně s existujícími použitými filtry. Vyberte nový filtr a určete jeho podmínky. Pokud jste například zvolili filtr "Služba/zdroje detekce", vyberte ho a zvolte zdroje, podle kterých chcete seznam filtrovat.

Podokno Filtr můžete zobrazit také tak, že vyberete některý z filtrů v seznamu Filtry nad seznamem incidentů.

Tato tabulka uvádí názvy filtrů, které jsou k dispozici.

Název filtru Popis/podmínky
Stav Vyberte Nový, Probíhá nebo Vyřešeno.
Závažnost upozornění
Závažnost incidentu		 Závažnost výstrahy nebo incidentu značí dopad, který může mít na vaše prostředky. Čím vyšší je závažnost, tím větší dopad a obvykle vyžaduje okamžitou pozornost. Vyberte Vysoká, Střední, Nízká nebo Informační.
Přiřazení incidentu Vyberte přiřazeného uživatele nebo uživatele.
Více zdrojů služeb Určete, zda je filtr určen pro více než jeden zdroj služby.
Služba / zdroje detekce Zadejte incidenty, které obsahují výstrahy z jedné nebo několika z následujících možností:
  • Microsoft Defender for Identity
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Endpoint
  • Microsoft Defender XDR
  • Microsoft Defender pro Office 365
  • Zásady správného řízení aplikací
  • Microsoft Entra ID Protection
  • Microsoft Data Loss Prevention
  • Microsoft Defender for Cloud
  • Microsoft Sentinel

    Mnoho z těchto služeb je možné v nabídce rozbalit a odhalit tak další možnosti zdrojů detekce v rámci dané služby.
    		•
    Značky Ze seznamu vyberte jeden nebo více názvů značek.
    Více kategorií Určete, zda je filtr určen pro více než jednu kategorii.
    Kategorie Zvolte kategorie, které se mají zaměřit na konkrétní taktiku, techniky nebo komponenty útoku.
    Entity Zadejte název prostředku, jako je uživatel, zařízení, poštovní schránka nebo název aplikace.
    Citlivost dat Některé útoky se zaměřují na cílení na exfiltraci citlivých nebo cenných dat. Použitím filtru pro konkrétní popisky citlivosti můžete rychle zjistit, jestli byly citlivé informace potenciálně ohroženy, a určit prioritu řešení těchto incidentů.

    Tento filtr zobrazí informace jenom v případě, že jste použili popisky citlivosti z Microsoft Purview Information Protection.
    Skupiny zařízení Zadejte název skupiny zařízení .
    Platforma operačního systému Zadejte operační systémy zařízení.
    Klasifikace Zadejte sadu klasifikací souvisejících výstrah.
    Stav automatizovaného šetření Zadejte stav automatizovaného vyšetřování.
    Přidružená hrozba Zadejte pojmenovanou hrozbu.
    Zásady upozornění Zadejte název zásady upozornění.

    Výchozí filtr zobrazuje všechny výstrahy a incidenty se stavem Nový a Probíhá a se závažností Vysoká, Střední nebo Nízká.

    Filtr můžete rychle odebrat výběrem symbolu X v názvu filtru v seznamu Filtry .

    Sady filtrů můžete také vytvořit na stránce incidentů tak, že vyberete Uložené dotazy > filtru Vytvořit sadu filtrů. Pokud se nevytvořily žádné sady filtrů, vyberte Uložit a vytvořte ji.

    Možnost vytvořit filtr nastaví pro frontu incidentů na portálu Microsoft Defender.

    Uložení vlastních filtrů jako adres URL

    Jakmile nakonfigurujete užitečný filtr ve frontě incidentů, můžete si uložit adresu URL karty prohlížeče do záložek nebo ji jinak uložit jako odkaz na webovou stránku, Word dokument nebo místo podle vašeho výběru. Záložky umožňují jedním kliknutím získat přístup ke klíčovým zobrazením fronty incidentů, například:

    • Nové incidenty
    • Vysoce závažné incidenty
    • Nepřiřazené incidenty
    • Vysoce závažné nepřiřazené incidenty
    • Incidenty přiřazené mně
    • Incidenty přiřazené mně a pro Microsoft Defender for Endpoint
    • Incidenty s konkrétní značkou nebo značkami
    • Incidenty s konkrétní kategorií hrozeb
    • Incidenty s konkrétní přidruženou hrozbou
    • Incidenty s konkrétním aktérem

    Jakmile zkompilujete a uložíte seznam užitečných zobrazení filtru jako adresy URL, použijte ho k rychlému zpracování a určení priorit incidentů ve frontě a jejich správě pro následné přiřazení a analýzu.

    V poli Search jméno nebo ID nad seznamem incidentů můžete incidenty vyhledat mnoha způsoby, abyste rychle našli to, co hledáte.

    Search podle názvu nebo ID incidentu

    Search přímo pro incident zadáním ID incidentu nebo názvu incidentu. Když vyberete incident ze seznamu výsledků hledání, portál Microsoft Defender otevře novou kartu s vlastnostmi incidentu, ze které můžete zahájit šetření.

    Search ovlivněnými prostředky

    Prostředek můžete pojmenovat , například uživatele, zařízení, poštovní schránku, název aplikace nebo cloudový prostředek, a najít všechny incidenty související s tímto prostředkem.

    Určení časového rozsahu

    Výchozí seznam incidentů je pro incidenty, ke kterým došlo v posledních šesti měsících. Nový časový rozsah můžete zadat v rozevíracím seznamu vedle ikony kalendáře tak, že vyberete:

    • Jeden den
    • Tři dny
    • Jeden týden
    • 30 dní
    • 30 dní
    • Šest měsíců
    • Vlastní rozsah, ve kterém můžete zadat data i časy.

    Další kroky

    Jakmile určíte, který incident vyžaduje nejvyšší prioritu, vyberte ho a:

    • Spravujte vlastnosti incidentu pro značky, přiřazení, okamžité řešení falešně pozitivních incidentů a komentáře.
    • Zahajte šetření.

    Viz také

    Tip

    Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.