Prioriter, Administrer, Undersøg & Svar på hændelser i Microsoft Defender XDR
Når beskeder udløses i Microsoft Defender XDR, starter og jages automatiseret undersøgelse og svar på tværs af en organisations abonnement, afgør virkningen og omfanget af truslen og samler oplysningerne i en enkelt hændelse, så administratorer ikke behøver at administrere flere hændelser.
Det har du brug for
- Microsoft Defender for Office 365 plan 2 eller nyere
- Tilstrækkelige tilladelser (sikkerhedslæser, sikkerhedshandlinger eller sikkerhedsadministrator samt rollen Søg og fjern rolle)
Prioriter & administrere hændelser
Gå til siden https://security.microsoft.com/incidentsHændelser på sikkerhedsportalen .
Når siden Hændelse indlæses, kan du filtrere og prioritere ved at klikke på kolonner for at sortere handlingerne eller trykke på Filtre for at anvende et filter, f.eks. datakilde, koder eller tilstand.
Nu har du en prioriteret liste over hændelser, hvorfra du kan vælge at omdøbe, tildele, klassificere, mærke, ændre status eller tilføje kommentarer via knappen Administrer hændelser .
Brug filtrene til at sikre, at Microsoft Defender for Office 365 elementer er inkluderet.
Hvis du leder efter bestemte beskeder, skal du enten bruge hændelsessøgefunktionen (Søg for navn eller id) eller overveje at bruge filtrering af beskedkøen på en bestemt besked.
Undersøg & svar på hændelser
Når du har prioriteret din hændelseskø, skal du vælge den hændelse, du vil undersøge for at indlæse siden Oversigt over hændelser. Du kan se nyttige oplysninger, f.eks . MITRE ATT&CK-teknikker, der er observeret , og en tidslinje over angrebet.
Fanerne øverst på hændelsessiden giver dig mulighed for at udforske flere oplysninger, f.eks. de berørte brugere, postkasser, slutpunkter og et cetera.
Under fanen Beviser og svar vises elementer, der er identificeret som relateret til den oprindelige besked via undersøgelsen.
Alle elementer, der vises som Ventende handling i Beviser og Svar, afventer godkendelse fra en administrator. Det anbefales at sortere efter kolonnen med afhjælpningsstatus i visningen Alle beviser efterfulgt af at klikke på enheden eller klyngen for at indlæse pop op-menuen, hvor du derefter kan godkende handlingerne, hvis det er relevant.
Hvis du har brug for at forstå de involverede elementer yderligere, kan du bruge hændelsesgrafen til at se den visuelle sammenkædning af de involverede beviser og enheder. Du kan også gennemse de underliggende undersøgelser, som viser flere af de enheder og elementer, der er involveret i sikkerhedshændelsen.
Næste trin
Du kan begynde at bruge Løsningscenter til at reagere på ventende handlingselementer fra alle hændelser i organisationen, hvis du vil fokusere på de handlingselementer, SOM AIR skal godkendes for.
Flere oplysninger
Administrer hændelser i Microsoft Defender XDR | Microsoft Docs.
Sådan fungerer automatiseret undersøgelse og svar i Microsoft Defender for Office 365.