Prioriter hændelser på Microsoft Defender-portalen
Den samlede platform til sikkerhedshandlinger på Microsoft Defender-portalen anvender korrelationsanalyser og aggregerer relaterede beskeder og automatiserede undersøgelser fra forskellige produkter i en hændelse. Microsoft Sentinel og Defender XDR også udløse entydige beskeder om aktiviteter, der kun kan identificeres som skadelige på grund af synligheden fra ende til anden på den samlede platform på tværs af hele produktpakken. Denne visning giver dine sikkerhedsanalytikere den bredere angrebshistorie, som hjælper dem med bedre at forstå og håndtere komplekse trusler på tværs af din organisation.
Vigtigt
Microsoft Sentinel er generelt tilgængelig på Microsofts unified security operations-platform på Microsoft Defender-portalen. Som prøveversion er Microsoft Sentinel tilgængelig på Defender-portalen uden Microsoft Defender XDR eller en E5-licens. Du kan få flere oplysninger under Microsoft Sentinel på Microsoft Defender-portalen.
Hændelseskøen viser en samling hændelser, der blev oprettet på tværs af enheder, brugere, postkasser og andre ressourcer. Det hjælper dig med at sortere gennem hændelser for at prioritere og oprette en informeret beslutning om cybersikkerhedsrespons, en proces, der er kendt som hændelsestriage.
Du kan gå til hændelseskøen fra Hændelser & beskeder > Hændelser på hurtig start af Microsoft Defender-portalen. Her er et eksempel.
Vælg Seneste hændelser og beskeder for at skifte mellem udvidelsen af det øverste afsnit, som viser en tidslinjegraf over antallet af modtagne beskeder og hændelser, der er oprettet inden for de seneste 24 timer.
Under dette viser hændelseskøen på Microsoft Defender-portalen hændelser, der er set i de sidste seks måneder. Du kan vælge en anden tidsramme ved at vælge den på rullelisten øverst. Hændelser arrangeres i henhold til de seneste automatiske eller manuelle opdateringer af en hændelse. Du kan arrangere hændelserne efter kolonnen for seneste opdateringstidspunkt for at få vist hændelser i henhold til de seneste automatiske eller manuelle opdateringer.
Hændelseskøen har kolonner, der kan tilpasses, og som giver dig indblik i forskellige egenskaber for hændelsen eller de påvirkede objekter. Denne filtrering hjælper dig med at træffe en informeret beslutning om prioriteringen af hændelser til analyse. Vælg Tilpas kolonner for at udføre følgende tilpasninger baseret på din foretrukne visning:
- Markér/fjern markeringen i de kolonner, du vil se i hændelseskøen.
- Arranger kolonnernes rækkefølge ved at trække dem.
Hvis du vil have et overblik, Microsoft Defender XDR genererer automatisk hændelsesnavne baseret på beskedattributter, f.eks. antallet af berørte slutpunkter, berørte brugere, registreringskilder eller kategorier. Denne specifikke navngivning giver dig mulighed for hurtigt at forstå omfanget af hændelsen.
Eksempel: Hændelse med flere faser på flere slutpunkter rapporteret af flere kilder.
Hvis du onboardede Microsoft Sentinel til unified security operations-platformen, vil eventuelle beskeder og hændelser, der kommer fra Microsoft Sentinel sandsynligvis få deres navne ændret (uanset om de blev oprettet før eller siden onboarding).
Vi anbefaler, at du undgår at bruge hændelsesnavnet som en betingelse for at udløse automatiseringsregler. Hvis hændelsesnavnet er en betingelse, og hændelsesnavnet ændres, udløses reglen ikke.
Hændelseskøen indeholder også flere filtreringsindstillinger, der, når de anvendes, giver dig mulighed for at udføre en bred gennemgang af alle eksisterende hændelser i dit miljø eller beslutte at fokusere på et bestemt scenarie eller en bestemt trussel. Anvendelse af filtre på hændelseskøen kan hjælpe med at afgøre, hvilken hændelse der kræver øjeblikkelig opmærksomhed.
Listen Filtre over listen over hændelser viser de aktuelt anvendte filtre.
Fra standardhændelseskøen kan du vælge Tilføj filter for at se rullelisten Tilføj filter , hvorfra du angiver filtre, der skal anvendes på hændelseskøen for at begrænse det viste sæt hændelser. Her er et eksempel.
Vælg de filtre, du vil bruge, og vælg derefter Tilføj nederst på listen for at gøre dem tilgængelige.
Nu vises de valgte filtre sammen med de eksisterende anvendte filtre. Vælg det nye filter for at angive dets betingelser. Hvis du f.eks. vælger filteret "Tjeneste-/registreringskilder", skal du vælge det for at vælge de kilder, listen skal filtreres efter.
Du kan også se ruden Filter ved at vælge et af filtrene på listen Filtre over listen over hændelser.
I denne tabel vises de filternavne, der er tilgængelige.
Filternavn | Beskrivelse/betingelser |
---|---|
Status | Vælg Ny, Igangværende eller Løst. |
Alvorsgrad af vigtig besked Alvorsgrad af hændelse |
Alvorsgraden af en besked eller hændelse er et tegn på den indvirkning, den kan have på dine aktiver. Jo højere alvorsgrad, jo større virkning og kræver typisk den mest øjeblikkelige opmærksomhed. Vælg Høj, Mellem, Lav eller Oplysende. |
Hændelsestildeling | Vælg den eller de tildelte brugere. |
Flere tjenestekilder | Angiv, om filteret skal bruges til mere end én tjenestekilde. |
Tjeneste-/registreringskilder | Angiv hændelser, der indeholder beskeder fra en eller flere af følgende: Mange af disse tjenester kan udvides i menuen for at få vist yderligere valg af registreringskilder i en given tjeneste. |
Mærker | Vælg et eller flere mærkatnavne på listen. |
Flere kategorier | Angiv, om filteret skal indeholde mere end én kategori. |
Kategorier | Vælg kategorier for at fokusere på specifikke taktikker, teknikker eller angrebskomponenter, der ses. |
Enheder | Angiv navnet på et aktiv, f.eks. en bruger, en enhed, en postkasse eller et programnavn. |
Datafølsomhed | Nogle angreb fokuserer på målretning for at exfiltrere følsomme eller værdifulde data. Ved at anvende et filter for bestemte følsomhedsmærkater kan du hurtigt afgøre, om følsomme oplysninger potentielt er blevet kompromitteret, og prioritere håndteringen af disse hændelser. Dette filter viser kun oplysninger, når du har anvendt følsomhedsmærkater fra Microsoft Purview Information Protection. |
Enhedsgrupper | Angiv navnet på en enhedsgruppe . |
OS-platform | Angiv enhedsoperativsystemer. |
Klassifikation | Angiv sættet af klassificeringer for de relaterede beskeder. |
Automatiseret undersøgelsestilstand | Angiv status for automatiseret undersøgelse. |
Tilknyttet trussel | Angiv en navngiven trussel. |
Underretningspolitikker | Angiv en titel på en beskedpolitik. |
Id'er for beskedabonnement | Angiv en besked baseret på et abonnements-id. |
Standardfilteret er at vise alle beskeder og hændelser med statussen Ny og I gang og med alvorsgraden Høj, Mellem eller Lav.
Du kan hurtigt fjerne et filter ved at vælge X i navnet på et filter på listen Filtre .
Du kan også oprette filtersæt på hændelsessiden ved at vælge Gemte filterforespørgsler > Opret filtersæt. Hvis der ikke er oprettet nogen filtersæt, skal du vælge Gem for at oprette et.
Bemærk
Microsoft Defender XDR kunder kan nu filtrere hændelser med beskeder, hvor en kompromitteret enhed kommunikeret med driftsteknologienheder, der er forbundet til virksomhedsnetværket, via integration af Microsoft Defender til IoT og Microsoft Defender for Endpoint. Hvis du vil filtrere disse hændelser, skal du vælge Enhver i tjeneste-/registreringskilderne og derefter vælge Microsoft Defender for IoT i produktnavnet eller se Undersøg hændelser og beskeder i Microsoft Defender for IoT på Defender-portalen. Du kan også bruge enhedsgrupper til at filtrere efter webstedsspecifikke beskeder. Du kan få flere oplysninger om Defender for IoT-forudsætninger under Kom i gang med IoT-overvågning i virksomheder i Microsoft Defender XDR.
Når du har konfigureret et nyttigt filter i hændelseskøen, kan du bogmærke URL-adressen til browserfanen eller på anden måde gemme den som et link på en webside, et Word dokument eller et sted efter eget valg. Bogmærker giver dig adgang til nøglevisninger af hændelseskøen med et enkelt klik, f.eks.:
- Nye hændelser
- Hændelser med høj alvorsgrad
- Ikke-tildelte hændelser
- Hændelser med høj alvorsgrad, ikke-tildelte hændelser
- Hændelser, der er tildelt mig
- Hændelser, der er tildelt mig og for Microsoft Defender for Endpoint
- Hændelser med et bestemt mærke eller mærker
- Hændelser med en bestemt trusselskategori
- Hændelser med en bestemt tilknyttet trussel
- Hændelser med en bestemt agent
Når du har kompileret og gemt din liste over nyttige filtervisninger som URL-adresser, kan du bruge den til hurtigt at behandle og prioritere hændelserne i din kø og administrere dem til efterfølgende tildeling og analyse.
I feltet Søg efter navn eller id over listen over hændelser kan du søge efter hændelser på flere måder for hurtigt at finde det, du leder efter.
Søg direkte efter en hændelse ved at skrive hændelses-id'et eller hændelsesnavnet. Når du vælger en hændelse på listen over søgeresultater, åbner Microsoft Defender-portalen en ny fane med egenskaberne for hændelsen, hvorfra du kan starte din undersøgelse.
Du kan navngive et aktiv – f.eks. en bruger, enhed, postkasse, programnavn eller cloudressource – og finde alle de hændelser, der er relateret til det pågældende aktiv.
Standardlisten over hændelser er for dem, der er opstået i de sidste seks måneder. Du kan angive et nyt tidsinterval på rullelisten ud for kalenderikonet ved at vælge:
- En dag
- Tre dage
- En uge
- 30 dage
- 30 dage
- Seks måneder
- Et brugerdefineret område, hvor du kan angive både datoer og klokkeslæt
Når du har bestemt, hvilken hændelse der kræver den højeste prioritet, skal du vælge den og:
- Administrer egenskaberne for hændelsen for tags, tildeling, øjeblikkelig løsning for falske positive hændelser og kommentarer.
- Begynd efterforskningen.
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.