Administrer hændelser i Microsoft Defender

  • Artikel

Gælder for:

  • Microsoft Defender XDR
  • Microsoft Defender SOC-platform (Unified Security Operations Center)

Administration af hændelser er afgørende for at sikre, at hændelser navngives, tildeles og mærkes for at optimere tiden i din hændelsesarbejdsproces og hurtigere indeholde og håndtere trusler.

Tip

I en begrænset periode i løbet af januar 2024, når du besøger siden Hændelser , vises Defender Boxed. Defender Boxed fremhæver din organisations sikkerhedsmæssige succeser, forbedringer og svarhandlinger i løbet af 2023. Hvis du vil genåbne Defender Boxed, skal du gå til Hændelser på Microsoft Defender-portalen og derefter vælge Din Defender Boxed.

Du kan administrere hændelser fra hændelser & beskeder > Hændelser på hurtig start af Microsoft Defender-portalen (security.microsoft.com). Her er et eksempel.

Fremhævning af indstillingen Administrer hændelse i hændelseskøen og ruden Hurtig start på Microsoft Defender-portalen

Her er de måder, du kan administrere dine hændelser på:

Du kan administrere hændelser fra ruden Administrer hændelse for en hændelse. Her er et eksempel.

Ruden Administrer hændelse på Microsoft Defender-portalen

Du kan få vist denne rude via linket Administrer hændelse på:

  • Siden Beskedhistorie .
  • Ruden Egenskaber for en hændelse i hændelseskøen.
  • Oversigtsside for en hændelse.
  • Administrer hændelsesindstilling, der er placeret øverst til højre på siden Hændelse.

I de tilfælde, hvor du vil flytte beskeder fra én hændelse til en anden, kan du også gøre det fra fanen Beskeder og dermed oprette en større eller mindre hændelse, der indeholder alle relevante beskeder.

Rediger hændelsesnavnet

Microsoft Defender tildeler automatisk et navn baseret på beskedattributter, f.eks. antallet af berørte slutpunkter, berørte brugere, registreringskilder eller kategorier. Hændelsesnavnet giver dig mulighed for hurtigt at forstå omfanget af hændelsen. Eksempel: Hændelse med flere faser på flere slutpunkter rapporteret af flere kilder.

Du kan redigere navnet på hændelsen fra feltet Hændelsesnavn i ruden Administrer hændelse .

Bemærk!

Hændelser, der fandtes før udrulningen af funktionen til automatisk navngivning af hændelser, bevarer deres navn.

Tildel eller skift hændelses alvorsgrad

Du kan tildele eller ændre alvorsgraden af en hændelse fra feltet Alvorsgrad i ruden Administrer hændelse . Alvorsgraden af en hændelse bestemmes af den højeste alvorsgrad af de beskeder, der er knyttet til den. Alvorsgraden af en hændelse kan angives til høj, mellem, lav eller oplysende.

Tilføj hændelseskoder

Du kan føje brugerdefinerede mærker til en hændelse, f.eks. for at markere en gruppe af hændelser med en fælles egenskab. Du kan senere filtrere hændelseskøen for alle hændelser, der indeholder et bestemt mærke.

Muligheden for at vælge på en liste over tidligere anvendte og valgte mærker vises, når du begynder at skrive.

Tildel en hændelse

Du kan markere afkrydsningsfeltet Tildel til og angive den brugerkonto, der skal tildeles en hændelse. Hvis du vil omfordele en hændelse, skal du fjerne den aktuelle tildelingskonto ved at vælge "x" ud for kontonavnet og derefter vælge feltet Tildel til . Tildeling af ejerskab for en hændelse tildeler det samme ejerskab til alle de beskeder, der er knyttet til den.

Du kan få en liste over hændelser, der er tildelt dig, ved at filtrere hændelseskøen.

  1. Vælg Filtre i hændelseskøen.
  2. I afsnittet Hændelsestildeling skal du fjerne markeringen i Vælg alle. Vælg Tildelt til mig, Tildelt til en anden bruger eller Tildelt til en brugergruppe.
  3. Vælg Anvend, og luk derefter ruden Filtre .

Du kan derefter gemme den resulterende URL-adresse i din browser som et bogmærke for hurtigt at se listen over hændelser, der er tildelt dig.

Løs en hændelse

Vælg Løs hændelse for at flytte til/fra-knappen til højre, når en hændelse afhjælpes. Løsning af en hændelse løser også alle de linkede og aktive beskeder, der er relateret til hændelsen.

En hændelse, der ikke er løst, vises som Aktiv.

Angiv klassificeringen

I feltet Klassificering skal du angive, om hændelsen er:

  • Ikke angivet (standard).
  • Sand positiv med en form for trussel. Brug denne klassificering til hændelser, der nøjagtigt angiver en reel trussel. Angivelse af trusselstypen hjælper dit sikkerhedsteam med at se trusselsmønstre og reagere for at forsvare din organisation mod dem.
  • Oplysende, forventet aktivitet med en aktivitetstype. Brug indstillingerne i denne kategori til at klassificere hændelser for sikkerhedstests, rød teamaktivitet og forventet usædvanlig funktionsmåde fra apps og brugere, der er tillid til.
  • Falsk positiv for typer af hændelser, som du finder, kan ignoreres, fordi de teknisk set er unøjagtige eller vildledende.

Klassificering af hændelser og angivelse af deres status og type hjælper med at justere Microsoft Defender XDR for at give bedre registreringsbestemmelse over tid.

Tilføj kommentarer

Du kan føje flere kommentarer til en hændelse med feltet Kommentar . Kommentarfeltet understøtter tekst og formatering, links og billeder. Hver kommentar er begrænset til 30.000 tegn.

Alle kommentarer føjes til de historiske hændelser i hændelsen. Du kan se kommentarerne og historikken for en hændelse fra linket Kommentarer og historik på siden Oversigt .

Aktivitetslog

Aktivitetsloggen viser en liste over alle de kommentarer og handlinger, der er udført på hændelsen, kaldet Overvågninger og kommentarer. Alle ændringer, der foretages af hændelsen, uanset om det er af en bruger eller af systemet, registreres i aktivitetsloggen. Aktivitetsloggen er tilgængelig fra indstillingen Aktivitetslog på hændelsessiden eller i ruden hændelsesside.

Fremhævning af indstillingen aktivitetslog fra hændelsessiden på portalen Microsoft Defender

Du kan filtrere aktiviteterne i logfilen efter kommentarer og handlinger. Klik på Indhold: Overvågninger, Kommentarer, og vælg derefter indholdstypen for at filtrere aktiviteter. Her er et eksempel.

Fremhævning af filterindstillingerne i ruden aktivitetslog fra hændelsessiden på Microsoft Defender portalen

Du kan også tilføje dine egne kommentarer ved hjælp af kommentarfeltet, der er tilgængeligt i aktivitetsloggen. Kommentarfeltet accepterer tekst og formatering, links og billeder.

Fremhævning af kommentarfeltet fra hændelsessiden på Microsoft Defender-portalen

Eksportér hændelsesdata til PDF

Vigtigt!

Nogle oplysninger i denne artikel er relateret til et produkt, der er ikke er udgivet endnu, og som kan blive ændret væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier, hverken udtrykkelige eller underforståede, med hensyn til de oplysninger, der gives her.

Funktionen til eksport af hændelsesdata er i øjeblikket tilgængelig for Microsoft Defender XDR og Microsoft Defender SOC-platformkunder (Unified Security Operations Center) med Microsoft Copilot til sikkerhedslicens.

Du kan eksportere data fra en hændelse til PDF via funktionen Eksportér som PDF og gemme dem i PDF-format. Denne funktion gør det muligt for sikkerhedsteams at gennemse oplysninger om en hændelse offline når som helst.

De eksporterede hændelsesdata indeholder følgende oplysninger:

Her er et eksempel på den eksporterede PDF-fil:

Skærmbillede af den første side i den eksporterede PDF-fil.

Hvis du har den Copilot til Security licens, indeholder den eksporterede PDF-fil følgende yderligere hændelsesdata:

Funktionen eksport til PDF er også tilgængelig i Copilot-sidepanelet i en genereret hændelsesrapport.

Skærmbillede af yderligere handlinger på hændelsesrapportens resultatkort.

Hvis du vil generere PDF-filen, skal du udføre følgende trin:

  1. Åbn en hændelsesside. Vælg ellipsen Flere handlinger (...) i øverste højre hjørne, og vælg Eksportér hændelse som PDF. Funktionen bliver nedtonet, mens PDF-filen genereres.

    Skærmbillede, der fremhæver indstillingen eksporthændelse til PDF.

  2. Der vises en dialogboks, der angiver, at PDF-filen genereres. Vælg Forstået for at lukke dialogboksen. Derudover vises en statusmeddelelse, der angiver den aktuelle tilstand for downloaden, under hændelsestitel. Eksportprocessen kan tage et par minutter afhængigt af hændelsens kompleksitet og mængden af data, der skal eksporteres.

    Skærmbillede, der fremhæver eksportmeddelelse og status før download.

  3. Når PDF-filen er klar, angiver statusmeddelelsen, at PDF-filen er klar, og at der vises en anden dialogboks. Vælg Download i dialogboksen for at gemme PDF-filen på din enhed.

    Skærmbillede, der fremhæver eksportmeddelelse og status, når download er tilgængelig.

Rapporten cachelagres i et par minutter. Systemet leverer den tidligere genererede PDF-fil, hvis du forsøger at eksportere den samme hændelse igen inden for en kort tidsramme. Hvis du vil generere en nyere version af PDF-filen, skal du vente et par minutter, indtil cachen udløber.

Næste trin

I forbindelse med nye hændelser skal du begynde din undersøgelse.

I forbindelse med igangværende hændelser skal du fortsætte din undersøgelse.

Udfør en gennemgang efter hændelsen for løste hændelser.

Se også

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.