Administrer hændelser i Microsoft Defender
Administration af hændelser er afgørende for at sikre, at hændelser navngives, tildeles og mærkes for at optimere tiden i din hændelsesarbejdsproces og hurtigere indeholde og håndtere trusler.
Du kan administrere hændelser fra hændelser & beskeder > Hændelser på hurtig start af Microsoft Defender-portalen (security.microsoft.com). Her er et eksempel.
Her er de måder, du kan administrere dine hændelser på:
- Rediger navnet på hændelsen.
- Tildel eller skift alvorsgrad.
- Tilføj hændelseskoder.
- Tildel hændelsen til en brugerkonto.
- Løs dem.
- Angiv klassificeringen.
- Tilføj kommentarer.
- Vurder aktivitetsrevisionen, og tilføj kommentarer i aktivitetsloggen.
- Eksportér hændelsesdata til PDF.
Du kan administrere hændelser fra ruden Administrer hændelse for en hændelse. Her er et eksempel.
Du kan få vist denne rude via linket Administrer hændelse på:
- Siden Beskedhistorie .
- Ruden Egenskaber for en hændelse i hændelseskøen.
- Oversigtsside for en hændelse.
- Administrer hændelsesindstilling, der er placeret øverst til højre på siden Hændelse.
I de tilfælde, hvor du vil flytte beskeder fra én hændelse til en anden, kan du også gøre det fra fanen Beskeder og dermed oprette en større eller mindre hændelse, der indeholder alle relevante beskeder.
Rediger hændelsesnavnet
Microsoft Defender tildeler automatisk et navn baseret på beskedattributter, f.eks. antallet af berørte slutpunkter, berørte brugere, registreringskilder eller kategorier. Hændelsesnavnet giver dig mulighed for hurtigt at forstå omfanget af hændelsen. Eksempel: Hændelse med flere faser på flere slutpunkter rapporteret af flere kilder.
Du kan redigere navnet på hændelsen fra feltet Hændelsesnavn i ruden Administrer hændelse .
Bemærk!
Hændelser, der fandtes før udrulningen af funktionen til automatisk navngivning af hændelser, bevarer deres navn.
Tildel eller skift hændelses alvorsgrad
Du kan tildele eller ændre alvorsgraden af en hændelse fra feltet Alvorsgrad i ruden Administrer hændelse . Alvorsgraden af en hændelse bestemmes af den højeste alvorsgrad af de beskeder, der er knyttet til den. Alvorsgraden af en hændelse kan angives til høj, mellem, lav eller oplysende.
Tilføj hændelseskoder
Du kan føje brugerdefinerede mærker til en hændelse, f.eks. for at markere en gruppe af hændelser med en fælles egenskab. Du kan senere filtrere hændelseskøen for alle hændelser, der indeholder et bestemt mærke.
Muligheden for at vælge på en liste over tidligere anvendte og valgte mærker vises, når du begynder at skrive.
En hændelse kan have systemkoder og/eller brugerdefinerede mærker med visse farvebaggrunde. Brugerdefinerede mærker bruger den hvide baggrund, mens systemkoder typisk bruger røde eller sorte baggrundsfarver. Systemkoder identificerer følgende i en hændelse:
- En type angreb, f.eks. phishing med legitimationsoplysninger eller BEC-svindel
- Automatiske handlinger, f.eks. automatisk undersøgelse og svar og automatisk afbrydelse af angreb
- Defender Experts, der håndterer en hændelse
- Kritiske aktiver , der er involveret i hændelsen
Tip
Microsofts Security Exposure Management, der er baseret på foruddefinerede klassificeringer, mærker automatisk enheder, identiteter og cloudressourcer som et vigtigt aktiv. Denne "out-of-the-box"-funktionalitet sikrer beskyttelse af en organisations værdifulde og vigtigste aktiver. Det hjælper også sikkerhedsteams med at prioritere undersøgelse og afhjælpning. Få mere at vide om kritisk ressourcestyring.
Tildel en hændelse
Du kan markere afkrydsningsfeltet Tildel til og angive den brugerkonto, der skal tildeles en hændelse. Hvis du vil omfordele en hændelse, skal du fjerne den aktuelle tildelingskonto ved at vælge "x" ud for kontonavnet og derefter vælge feltet Tildel til . Tildeling af ejerskab for en hændelse tildeler det samme ejerskab til alle de beskeder, der er knyttet til den.
Du kan få en liste over hændelser, der er tildelt dig, ved at filtrere hændelseskøen.
- Vælg Filtre i hændelseskøen.
- I afsnittet Hændelsestildeling skal du fjerne markeringen i Vælg alle. Vælg Tildelt til mig, Tildelt til en anden bruger eller Tildelt til en brugergruppe.
- Vælg Anvend, og luk derefter ruden Filtre .
Du kan derefter gemme den resulterende URL-adresse i din browser som et bogmærke for hurtigt at se listen over hændelser, der er tildelt dig.
Løs en hændelse
Når en hændelse afhjælpes og løses, skal du vælge Løst på rullelisten Status . Løsning af en hændelse løser også alle de linkede og aktive beskeder, der er relateret til hændelsen.
Når du ændrer status for en hændelse til Løst, vises der et nyt felt umiddelbart efter feltet Status . Angiv en note i dette felt, der forklarer, hvorfor du mener, at hændelsen er løst. Denne note er synlig i aktivitetsloggen for hændelsen i nærheden af posten, der registrerer hændelsens opløsning.
På både siden med hændelseskøen og hændelsessiden for en løst hændelse kan du se notatet om løsning af hændelser i sidepanelet i afsnittet Oplysninger om hændelse .
Løsning af en hændelse løser også alle de linkede og aktive beskeder, der er relateret til hændelsen. En hændelse, der ikke er løst, vises som Aktiv.
Angiv klassificeringen
I feltet Klassificering skal du angive, om hændelsen er:
- Ikke angivet (standard).
- Sand positiv med en form for trussel. Brug denne klassificering til hændelser, der nøjagtigt angiver en reel trussel. Angivelse af trusselstypen hjælper dit sikkerhedsteam med at se trusselsmønstre og reagere for at forsvare din organisation mod dem.
- Oplysende, forventet aktivitet med en aktivitetstype. Brug indstillingerne i denne kategori til at klassificere hændelser for sikkerhedstests, rød teamaktivitet og forventet usædvanlig funktionsmåde fra apps og brugere, der er tillid til.
- Falsk positiv for typer af hændelser, som du finder, kan ignoreres, fordi de teknisk set er unøjagtige eller vildledende.
Klassificering af hændelser og angivelse af deres status og type hjælper med at justere Microsoft Defender XDR for at give bedre registreringsbestemmelse over tid.
Tilføj kommentarer
Du kan føje flere kommentarer til en hændelse med feltet Kommentar . Kommentarfeltet understøtter tekst og formatering, links og billeder. Hver kommentar er begrænset til 30.000 tegn.
Alle kommentarer føjes til de historiske hændelser i hændelsen. Du kan se kommentarerne og historikken for en hændelse fra linket Kommentarer og historik på siden Oversigt .
Aktivitetslog
Aktivitetsloggen viser en liste over alle de kommentarer og handlinger, der er udført på hændelsen, kaldet Overvågninger og kommentarer. Alle ændringer, der foretages af hændelsen, uanset om det er af en bruger eller af systemet, registreres i aktivitetsloggen. Aktivitetsloggen er tilgængelig fra indstillingen Aktivitetslog på hændelsessiden eller i ruden hændelsesside.
Du kan filtrere aktiviteterne i logfilen efter kommentarer og handlinger. Klik på Indhold: Overvågninger, Kommentarer, og vælg derefter indholdstypen for at filtrere aktiviteter. Her er et eksempel.
Du kan også tilføje dine egne kommentarer ved hjælp af kommentarfeltet, der er tilgængeligt i aktivitetsloggen. Kommentarfeltet accepterer tekst og formatering, links og billeder.
Eksportér hændelsesdata til PDF
Vigtigt!
Nogle oplysninger i denne artikel er relateret til et produkt, der er ikke er udgivet endnu, og som kan blive ændret væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier, hverken udtrykkelige eller underforståede, med hensyn til de oplysninger, der gives her.
Funktionen til eksport af hændelsesdata er i øjeblikket tilgængelig for kunder med Microsoft Defender XDR og SOC-platformkunder (Unified Security Operations Center) med Microsoft Copilot til sikkerhedslicens.
Du kan eksportere data fra en hændelse til PDF via funktionen Eksportér som PDF og gemme dem i PDF-format. Denne funktion gør det muligt for sikkerhedsteams at gennemse oplysninger om en hændelse offline når som helst.
De eksporterede hændelsesdata indeholder følgende oplysninger:
- En oversigt, der indeholder oplysninger om hændelsen
- Grafen over angrebshistorien og trusselskategorierne
- De påvirkede aktiver, der dækker op til 10 aktiver for hver aktivtype
- Bevislisten, der dækker op til 100 elementer
- Understøttende data, herunder alle relaterede beskeder og aktiviteter, der er registreret i aktivitetsloggen
Her er et eksempel på den eksporterede PDF-fil:
Hvis du har licensen Copilot for Security , indeholder den eksporterede PDF-fil følgende yderligere hændelsesdata:
Funktionen eksport til PDF er også tilgængelig på Copilot-sidepanelet. Når du vælger ellipsen Flere handlinger (...) i øverste højre hjørne af resultatkortet for hændelsesrapporten, kan du vælge Eksportér hændelse som PDF.
Hvis du vil generere PDF-filen, skal du udføre følgende trin:
Åbn en hændelsesside. Vælg ellipsen Flere handlinger (...) i øverste højre hjørne, og vælg Eksportér hændelse som PDF.
I den dialogboks, der vises næste, skal du bekræfte de hændelsesoplysninger, du vil medtage eller udelade i PDF-filen. Alle hændelsesoplysninger er valgt som standard. Vælg Eksportér PDF for at fortsætte.
En statusmeddelelse, der angiver den aktuelle tilstand for downloaden, vises under hændelsestitel. Eksportprocessen kan tage et par minutter afhængigt af hændelsens kompleksitet og mængden af data, der skal eksporteres.
Der vises en anden dialogboks, der angiver, at PDF-filen er klar. Vælg Download i dialogboksen for at gemme PDF-filen på din enhed. Statusmeddelelsen under hændelsestitel opdateres også for at angive, at downloaden er tilgængelig.
Rapporten cachelagres i et par minutter. Systemet leverer den tidligere genererede PDF-fil, hvis du forsøger at eksportere den samme hændelse igen inden for en kort tidsramme. Hvis du vil generere en nyere version af PDF-filen, skal du vente et par minutter, indtil cachen udløber.
Næste trin
I forbindelse med nye hændelser skal du begynde din undersøgelse.
I forbindelse med igangværende hændelser skal du fortsætte din undersøgelse.
Udfør en gennemgang efter hændelsen for løste hændelser.
Se også
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.