Del via


Prioriter hændelser på Microsoft Defender-portalen

Den samlede platform til sikkerhedshandlinger på Microsoft Defender-portalen anvender korrelationsanalyser og aggregerer relaterede beskeder og automatiserede undersøgelser fra forskellige produkter i en hændelse. Microsoft Sentinel og Defender XDR udløser også entydige beskeder om aktiviteter, der kun kan identificeres som skadelige på grund af synligheden fra ende til anden på den samlede platform på tværs af hele produktpakken. Denne visning giver dine sikkerhedsanalytikere den bredere angrebshistorie, som hjælper dem med bedre at forstå og håndtere komplekse trusler på tværs af din organisation.

Vigtigt!

Microsoft Sentinel er tilgængelig som en del af platformen til samlede sikkerhedshandlinger på Microsoft Defender-portalen. Microsoft Sentinel på Defender-portalen understøttes nu til produktionsbrug. Du kan få flere oplysninger under Microsoft Sentinel på Microsoft Defender-portalen.

Hændelseskø

Hændelseskøen viser en samling hændelser, der blev oprettet på tværs af enheder, brugere, postkasser og andre ressourcer. Det hjælper dig med at sortere gennem hændelser for at prioritere og oprette en informeret beslutning om cybersikkerhedsrespons, en proces, der er kendt som hændelsestriage.

Du kan gå til hændelseskøen fra Hændelser & beskeder > Hændelser på hurtig start af Microsoft Defender-portalen. Her er et eksempel.

Skærmbillede af køen Hændelser på Microsoft Defender-portalen.

Vælg Seneste hændelser og beskeder for at skifte mellem udvidelsen af det øverste afsnit, som viser en tidslinjegraf over antallet af modtagne beskeder og hændelser, der er oprettet inden for de seneste 24 timer.

Skærmbillede af 24-timers hændelsesdiagram.

Under dette viser hændelseskøen på Microsoft Defender-portalen hændelser, der er set i de sidste seks måneder. Du kan vælge en anden tidsramme ved at vælge den på rullelisten øverst. Hændelser arrangeres i henhold til de seneste automatiske eller manuelle opdateringer af en hændelse. Du kan arrangere hændelserne efter kolonnen for seneste opdateringstidspunkt for at få vist hændelser i henhold til de seneste automatiske eller manuelle opdateringer.

Hændelseskøen har kolonner, der kan tilpasses, og som giver dig indblik i forskellige egenskaber for hændelsen eller de påvirkede objekter. Denne filtrering hjælper dig med at træffe en informeret beslutning om prioriteringen af hændelser til analyse. Vælg Tilpas kolonner for at udføre følgende tilpasninger baseret på din foretrukne visning:

  • Markér/fjern markeringen i de kolonner, du vil se i hændelseskøen.
  • Arranger kolonnernes rækkefølge ved at trække dem.

Skærmbillede af filter og kolonnekontrolelementer på hændelsessiden.

Navne på hændelser

Microsoft Defender XDR genererer automatisk hændelsesnavne baseret på beskedattributter, f.eks. antallet af berørte slutpunkter, berørte brugere, registreringskilder eller kategorier, for at få et overblik. Denne specifikke navngivning giver dig mulighed for hurtigt at forstå omfanget af hændelsen.

Eksempel: Hændelse med flere faser på flere slutpunkter rapporteret af flere kilder.

Hvis du onboardede Microsoft Sentinel til den samlede platform til sikkerhedshandlinger, vil alle beskeder og hændelser, der kommer fra Microsoft Sentinel, sandsynligvis få deres navne ændret (uanset om de blev oprettet før eller siden onboarding).

Vi anbefaler, at du undgår at bruge hændelsesnavnet som en betingelse for at udløse automatiseringsregler. Hvis hændelsesnavnet er en betingelse, og hændelsesnavnet ændres, udløses reglen ikke.

Filtre

Hændelseskøen indeholder også flere filtreringsindstillinger, der, når de anvendes, giver dig mulighed for at udføre en bred gennemgang af alle eksisterende hændelser i dit miljø eller beslutte at fokusere på et bestemt scenarie eller en bestemt trussel. Anvendelse af filtre på hændelseskøen kan hjælpe med at afgøre, hvilken hændelse der kræver øjeblikkelig opmærksomhed.

Listen Filtre over listen over hændelser viser de aktuelt anvendte filtre.

Fra standardhændelseskøen kan du vælge Tilføj filter for at se rullelisten Tilføj filter , hvorfra du angiver filtre, der skal anvendes på hændelseskøen for at begrænse det viste sæt hændelser. Her er et eksempel.

Ruden Filtre for hændelseskøen på Microsoft Defender-portalen.

Vælg de filtre, du vil bruge, og vælg derefter Tilføj nederst på listen for at gøre dem tilgængelige.

Nu vises de valgte filtre sammen med de eksisterende anvendte filtre. Vælg det nye filter for at angive dets betingelser. Hvis du f.eks. vælger filteret "Tjeneste-/registreringskilder", skal du vælge det for at vælge de kilder, listen skal filtreres efter.

Du kan også se ruden Filter ved at vælge et af filtrene på listen Filtre over listen over hændelser.

I denne tabel vises de filternavne, der er tilgængelige.

Filternavn Beskrivelse/betingelser
Status Vælg Ny, Igangværende eller Løst.
Alvorsgrad af vigtig besked
Alvorsgrad af hændelse
Alvorsgraden af en besked eller hændelse er et tegn på den indvirkning, den kan have på dine aktiver. Jo højere alvorsgrad, jo større virkning og kræver typisk den mest øjeblikkelige opmærksomhed. Vælg Høj, Mellem, Lav eller Oplysende.
Hændelsestildeling Vælg den eller de tildelte brugere.
Flere tjenestekilder Angiv, om filteret skal bruges til mere end én tjenestekilde.
Tjeneste-/registreringskilder Angiv hændelser, der indeholder beskeder fra en eller flere af følgende:
  • Microsoft Defender for Identity
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Endpoint
  • Microsoft Defender XDR
  • Microsoft Defender for Office 365
  • Appstyring
  • Microsoft Entra ID Protection
  • Microsoft Forebyggelse af datatab
  • Microsoft Defender for Cloud
  • Microsoft Sentinel

    Mange af disse tjenester kan udvides i menuen for at få vist yderligere valg af registreringskilder i en given tjeneste.
  • Mærker Vælg et eller flere mærkatnavne på listen.
    Flere kategorier Angiv, om filteret skal indeholde mere end én kategori.
    Kategorier Vælg kategorier for at fokusere på specifikke taktikker, teknikker eller angrebskomponenter, der ses.
    Enheder Angiv navnet på et aktiv, f.eks. en bruger, en enhed, en postkasse eller et programnavn.
    Datafølsomhed Nogle angreb fokuserer på målretning for at exfiltrere følsomme eller værdifulde data. Ved at anvende et filter for bestemte følsomhedsmærkater kan du hurtigt afgøre, om følsomme oplysninger potentielt er blevet kompromitteret, og prioritere håndteringen af disse hændelser.

    Dette filter viser kun oplysninger, når du har anvendt følsomhedsmærkater fra Microsoft Purview Information Protection.
    Enhedsgrupper Angiv navnet på en enhedsgruppe .
    OS-platform Angiv enhedsoperativsystemer.
    Klassifikation Angiv sættet af klassificeringer for de relaterede beskeder.
    Automatiseret undersøgelsestilstand Angiv status for automatiseret undersøgelse.
    Tilknyttet trussel Angiv en navngiven trussel.
    Underretningspolitikker Angiv en titel på en beskedpolitik.
    Id'er for beskedabonnement Angiv en besked baseret på et abonnements-id.

    Standardfilteret er at vise alle beskeder og hændelser med statussen Ny og I gang og med alvorsgraden Høj, Mellem eller Lav.

    Du kan hurtigt fjerne et filter ved at vælge X i navnet på et filter på listen Filtre .

    Du kan også oprette filtersæt på hændelsessiden ved at vælge Gemte filterforespørgsler > Opret filtersæt. Hvis der ikke er oprettet nogen filtersæt, skal du vælge Gem for at oprette et.

    Indstillingen Opret filtersæt for hændelseskøen på Microsoft Defender-portalen.

    Gem brugerdefinerede filtre som URL-adresser

    Når du har konfigureret et nyttigt filter i hændelseskøen, kan du angive et bogmærke for URL-adressen til browserfanen eller på anden måde gemme den som et link på en webside, et Word-dokument eller et sted efter eget valg. Bogmærker giver dig adgang til nøglevisninger af hændelseskøen med et enkelt klik, f.eks.:

    • Nye hændelser
    • Hændelser med høj alvorsgrad
    • Ikke-tildelte hændelser
    • Hændelser med høj alvorsgrad, ikke-tildelte hændelser
    • Hændelser, der er tildelt mig
    • Hændelser, der er tildelt mig og for Microsoft Defender for Endpoint
    • Hændelser med et bestemt mærke eller mærker
    • Hændelser med en bestemt trusselskategori
    • Hændelser med en bestemt tilknyttet trussel
    • Hændelser med en bestemt agent

    Når du har kompileret og gemt din liste over nyttige filtervisninger som URL-adresser, kan du bruge den til hurtigt at behandle og prioritere hændelserne i din kø og administrere dem til efterfølgende tildeling og analyse.

    I feltet Søg efter navn eller id over listen over hændelser kan du søge efter hændelser på flere måder for hurtigt at finde det, du leder efter.

    Søg efter hændelsesnavn eller id

    Søg direkte efter en hændelse ved at skrive hændelses-id'et eller hændelsesnavnet. Når du vælger en hændelse på listen over søgeresultater, åbner Microsoft Defender-portalen en ny fane med egenskaberne for hændelsen, hvorfra du kan starte din undersøgelse.

    Søg efter påvirkede aktiver

    Du kan navngive et aktiv – f.eks. en bruger, enhed, postkasse, programnavn eller cloudressource – og finde alle de hændelser, der er relateret til det pågældende aktiv.

    Angiv et tidsinterval

    Standardlisten over hændelser er for dem, der er opstået i de sidste seks måneder. Du kan angive et nyt tidsinterval på rullelisten ud for kalenderikonet ved at vælge:

    • En dag
    • Tre dage
    • En uge
    • 30 dage
    • 30 dage
    • Seks måneder
    • Et brugerdefineret område, hvor du kan angive både datoer og klokkeslæt

    Næste trin

    Når du har bestemt, hvilken hændelse der kræver den højeste prioritet, skal du vælge den og:

    • Administrer egenskaberne for hændelsen for tags, tildeling, øjeblikkelig løsning for falske positive hændelser og kommentarer.
    • Begynd efterforskningen.

    Se også

    Tip

    Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.