Del via


Svar på din første hændelse i Microsoft Defender XDR

Gælder for:

  • Microsoft Defender XDR

Denne vejledning indeholder En liste over Microsoft-ressourcer, så nye Microsoft Defender XDR brugere med sikkerhed kan udføre daglige opgaver for svar på hændelser, mens de bruger portalen. De forventede resultater af brug af denne vejledning er:

  • Du lærer hurtigt at bruge Microsoft Defender XDR til at reagere på hændelser og beskeder.
  • Du finder portalens funktioner, der kan hjælpe med undersøgelse og afhjælpning af hændelser via videoerne og selvstudierne.

Microsoft Defender XDR giver dig mulighed for at se relevante trusselshændelser på tværs af alle aktiver (enheder, identiteter, postkasser, cloudapps og meget mere). Portalen konsoliderer signaler fra Defender Protection Suite, Microsoft Sentinel og andre integrerede SIKKERHEDSoplysninger og SIEM-løsninger (Event Management). Korrelerede angrebsoplysninger med fuld kontekst i en enkelt rude giver dig mulighed for at forsvare og beskytte din organisation.

Denne vejledning indeholder tre hovedafsnit:

  • Om hændelser: adgang til, sortering og administration af hændelser på portalen
  • Analyse af angreb: en samling videoer og selvstudier om, hvordan du undersøger specifikke angreb ved hjælp af portalens funktioner.
  • Afhjælpning af angreb: Viser en liste over automatiserede og manuelle handlinger, der er tilgængelige på portalen for at afhjælpe trusler. Dette afsnit indeholder links til videoer og selvstudier.

Om hændelser

En hændelse er en kæde af processer, der er oprettet, kommandoer og handlinger, som muligvis ikke er sammenfaldende. En hændelse giver et holistisk billede og kontekst af mistænkelig eller ondsindet aktivitet. En enkelt hændelse giver dig en komplet kontekst for et angreb i stedet for at opsøge hundredvis af beskeder fra flere tjenester.

Tip

I en begrænset periode i løbet af januar 2024, når du besøger siden Hændelser , vises Defender Boxed. Defender Boxed fremhæver din organisations sikkerhedsmæssige succeser, forbedringer og svarhandlinger i løbet af 2023. Hvis du vil genåbne Defender Boxed, skal du gå til Hændelser på Microsoft Defender-portalen og derefter vælge Din Defender Boxed.

Microsoft Defender XDR har mange funktioner, som du kan bruge til at reagere på en hændelse. Du kan navigere i hændelserne ved at vælge Få vist alle hændelser på kortet Aktive hændelser på siden Startside eller via Hændelser & beskeder i venstre navigationsrude.

Få vist alle hændelser, der vises på Microsoft Defender XDR startsideFigur 1. Kortet Aktive hændelser på startsiden for Microsoft Defender XDR

Hændelseskø i Microsoft Defender XDRFigure 2. Hændelseskø

Hver hændelse indeholder automatisk korrelerede beskeder fra forskellige registreringskilder og kan omfatte forskellige slutpunkter, identiteter eller cloudapps.

Hændelsestriage

Prioriteringen af hændelser varierer afhængigt af svar, sikkerhedsteam og organisation. Planer for svar på hændelser og sikkerhedsteams retning kan angive prioritet for hændelser.

Microsoft Defender XDR har forskellige indikatorer, f.eks. alvorsgrad af hændelser, typer af brugere eller trusselstyper til at prioritere hændelser. Du kan bruge en hvilken som helst kombination af disse indikatorer, der er tilgængelige via filtrene for hændelseskøen .

Et eksempel på fastlæggelse af hændelsesprioritet er at kombinere følgende faktorer for en hændelse:

  • Hændelsen har en høj alvorsgrad.
  • Den automatiske undersøgelsestilstand mislykkedes.
  • Der er fem påvirkede aktiver, hvor to af aktiverne er mærket med meget fortrolig datafølsomhed.
  • Hændelsesstatussen er ny.
  • Hændelsen er ikke tildelt et teammedlem til undersøgelse.

Du kan tildele hændelsen en høj prioritet ved hjælp af ovenstående oplysninger. Du kan begynde din undersøgelse af hændelser, når en prioritet er fastlagt.

Bemærk!

Microsoft Defender XDR bestemmer automatisk filtre som alvorsgrad, undersøgelsestilstande, påvirkede aktiver og hændelsesstatusser. Oplysningerne er baseret på organisationens netværksaktiviteter, der er kontekstualiseret med trusselsintelligensfeeds og de automatiserede afhjælpningshandlinger, der anvendes.

Administrer hændelser

Du kan bidrage til effektivitet i forbindelse med administration af hændelser ved at angive vigtige oplysninger i hændelser og beskeder. Når du føjer oplysninger til følgende filtre, fra hvornår du filtrerer og analyserer hver hændelse, angiver du yderligere kontekst for den pågældende hændelse, som andre respondere kan drage fordel af:

Få mere at vide om, hvordan du klassificerer hændelser og beskeder via denne video:

Næste trin

Se også

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.