Tapahtumien tarkasteleminen ja hallinta Microsoft Defender for Business
Kun uhkia havaitaan ja hälytyksiä käynnistetään, luodaan tapauksia. Yrityksesi tietoturvatiimi voi tarkastella ja hallita tapauksia Microsoft Defender portaalissa. Sinulla on oltava tämän artikkelin tehtävien suorittamiseen tarvittavat käyttöoikeudet. Katso Microsoft Defender for Business käyttöoikeusroolit ja käyttöoikeudet.
Tässä artikkelissa on:
Tapahtumien & hälytysten valvonta
Siirry Microsoft Defender portaalissa (https://security.microsoft.com) siirtymisruudussa kohtaan Tapaukset & hälytykset ja valitse sitten Tapaukset. Luodut tapaukset luetellaan sivulla.
Tärkeää
Jos näet tapahtuman tunnisteella
Attack disruption
, se tarkoittaa, että on havaittu kehittynyt hyökkäys. Katso Automaattisen hyökkäyksen häiriö.Valitse ilmoitus avataksesi sen pikaikkunaruudun, josta saat lisätietoja ilmoituksesta.
Pikaikkunaruudussa näet ilmoituksen otsikon, voit tarkastella luetteloa resursseista (kuten laitteista tai käyttäjätileistä), joihin tämä vaikutti, suorittaa käytettävissä olevia toimintoja ja käyttää linkkejä lisätietojen tarkastelemiseen ja jopa valitun ilmoituksen tietosivun avaamiseen.
Vihje
Defender for Business on suunniteltu auttamaan havaittujen uhkien käsittelemisessä suosittelemalla toimintoja, joita voit suorittaa. Kun tarkastelet ilmoitusta, etsi nämä ehdotukset. Huomaa myös hälytyksen vakavuus, joka ei määritetä vain havaitun uhan vakavuuden perusteella, vaan myös yrityksellesi aiheutuvan riskin tason perusteella.
Ilmoituksen vakavuus
Kun uhka havaitaan, kullekin luotavalle ilmoitulle määritetään vakavuustaso.
- Microsoft Defender virustentorjuntaohjelma määrittää hälytyksen vakavuuden havaitun uhan (kuten haittaohjelman) absoluuttisen vakavuuden ja yksittäiselle laitteelle (jos se on infektoitunut) mahdollisen riskin perusteella.
- Defender for Business määrittää hälytyksen vakavuuden havaitun toiminnan vakavuuden, laitteen todellisen riskin ja ennen kaikkea yrityksellesi mahdollisesti aiheutuvan riskin perusteella.
Seuraavassa taulukossa on lueteltu muutamia esimerkkejä ilmoituksista ja niiden vakavuustasoista:
Skenaario | Ilmoituksen vakavuus ja syy |
---|---|
Automatisoitu hyökkäyshäiriö havaitsee kehittyneen hyökkäyksen ja sisältää laitteita tai käyttäjätilejä, jotka auttavat estämään hyökkäyksen etenemisen. | Korkealle, hyvä. Hyökkäyshäiriöiden ominaisuudet auttavat hillitsemään hyökkäystä, jotta IT-/tietoturvatiimisi voi puuttua siihen. |
Microsoft Defender virustentorjunta havaitsee ja lopettaa uhan ennen kuin se tekee mitään vahinkoa. | Tiedottaa. Uhka pysäytettiin ennen vahinkojen aiheuttamista. |
Microsoft Defender virustentorjunta havaitsee haittaohjelmia, jotka suoritetaan yrityksessäsi. Haittaohjelma pysäytetään ja korjataan. | Alas. Vaikka yksittäiselle laitteelle on ehkä aiheutunut joitakin vaurioita, haittaohjelma ei nyt ole uhka yrityksellesi. |
Defender for Business havaitsee suoritettavan haittaohjelman. Haittaohjelma estetään lähes välittömästi. | Keskikokoinen tai suuri. Haittaohjelma muodostaa uhan yksittäisille laitteille ja yrityksellesi. |
Epäilyttävää toimintaa havaitaan, mutta korjaustoimia ei ole vielä tehty. | Low, Medium tai High. Vakavuus riippuu siitä, missä määrin käyttäytyminen muodostaa uhan yrityksellesi. |