Verwalten von Microsoft Defender for Endpoint Incidents
Gilt für:
- Microsoft Defender für Endpunkt Plan 1
- Microsoft Defender für Endpunkt Plan 2
- Microsoft Defender XDR
Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.
Die Verwaltung von Incidents ist ein wichtiger Bestandteil jedes Cybersicherheitsvorgangs. Sie können Incidents verwalten, indem Sie einen Incident in der Incidentwarteschlange oder im Bereich Incidentverwaltung auswählen.
Tipp
Für einen begrenzten Zeitraum im Januar 2024 wird Defender Boxed angezeigt, wenn Sie die Seite Incidents besuchen. Defender Boxed hebt die Sicherheitserfolge, Verbesserungen und Reaktionsaktionen Ihres organization im Jahr 2023 hervor. Um Defender Boxed erneut zu öffnen, wechseln Sie im Microsoft Defender-Portal zu Incidents, und wählen Sie dann Ihr Defender Boxed aus.
Wenn Sie einen Incident aus der Incidentwarteschlange auswählen, wird der Bereich "Incidentverwaltung" angezeigt, in dem Sie die Seite "Incident" für Details öffnen können.
Sie können Incidents sich selbst zuweisen, die status und klassifizierung ändern, umbenennen oder kommentieren, um deren Fortschritt nachzuverfolgen.
Tipp
Für zusätzliche Sichtbarkeit auf einen Blick werden Incidentnamen automatisch basierend auf Warnungsattributen wie der Anzahl der betroffenen Endpunkte, betroffenen Benutzer, Erkennungsquellen oder Kategorien generiert. Auf diese Weise können Sie sich schnell ein Bild vom Umfang des Vorfalls machen.
Beispiel: Mehrstufiger Incident auf mehreren Endpunkten, die von mehreren Quellen gemeldet werden.
Incidents, die vor dem Rollout der automatischen Incidentbenennung vorhanden waren, behalten ihre Namen bei.
Zuweisen von Vorfällen
Wenn ein Incident noch nicht zugewiesen wurde, können Sie mir zuweisen auswählen, um den Incident sich selbst zuzuweisen. Dies setzt voraus, dass nicht nur der Vorfall, sondern auch alle ihm zugeordneten Alerts in Ihrem Besitz sind.
Festlegen des Status und der Klassifizierung
Status des Vorfalls
Sie können Ereignisse kategorisieren (z.B. als aktiveoder aufgelöste), indem Sie deren Status ändern, während ihre Untersuchung voranschreitet. Auf diese Weise können Sie organisieren und verwalten, wie Ihr Team auf Vorfälle reagiert.
Ihr SOC-Analyst kann beispielsweise die dringenden aktiven Vorfälle für den Tag überprüfen und sich entscheiden, sie sich selbst zur Untersuchung zuzuweisen.
Alternativ kann Ihr SOC-Analyst den Vorfall als aufgelöst einstufen, wenn der Vorfall behoben wurde.
Klassifizierung
Sie können festlegen, dass keine Klassifizierung festgelegt wird, oder Sie können angeben, ob ein Vorfall wahr oder falsch ist. Auf diese Weise kann das Team Muster erkennen und von ihnen lernen.
Kommentare hinzufügen
Sie können Kommentare hinzufügen und Historien-Ereignisse zu einem Vorfall anzeigen, um die vorherigen vorgenommenen Änderungen anzuzeigen.
Immer wenn eine Änderung an einem Alert vorgenommen oder ein Kommentar zu einem Alert hinterlassen wird, wird dies im Abschnitt Kommentare und Verlauf aufgezeichnet.
Hinzugefügte Kommentare werden sofort in diesem Bereich angezeigt.
Verwandte Themen
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für