Jaa


Tapausten priorisointi Microsoft Defender -portaalissa

Microsoft Defender -portaalin yhdistetty suojaustoimintojen ympäristö käyttää korrelaatioanalytiikkaa ja kokoaa siihen liittyvät hälytykset ja automatisoidut tutkimukset eri tuotteista tapauksiin. Microsoft Sentinel ja Defender XDR käynnistävät myös ainutlaatuisia hälytyksiä toiminnoista, jotka voidaan tunnistaa haitallisiksi vain, kun otetaan huomioon yhdistetyn ympäristön päästä päähän -näkyvyys koko tuoteohjelmistossa. Tämä näkymä antaa tietoturva-analyytikoillesi laajemman hyökkäystarinan, joka auttaa heitä ymmärtämään ja käsittelemään monimutkaisia uhkia organisaatiossasi.

Tärkeää

Microsoft Sentinel on nyt yleisesti saatavilla Microsoft unified security operations -ympäristössä Microsoft Defender -portaalissa. Lisätietoja on Microsoft Sentinel -artikkelissa Microsoft Defender -portaalissa.

Tapausjono

Tapausjono näyttää kokoelman tapauksia, jotka on luotu eri laitteissa, käyttäjissä, postilaatikoissa ja muissa resursseissa. Se auttaa tapausten lajittelussa priorisoimaan ja luomaan tietoon perustuvan kyberturvallisuusvastauspäätöksen, jota kutsutaan tapauskolmikoksi.

Voit siirtyä tapausjonoon kohdasta Tapaukset & hälytyksiä > TapauksetMicrosoft Defender -portaalin pikakäynnistyksessä. Tässä on esimerkki.

Näyttökuva Tapahtumat-jonosta Microsoft Defender -portaalissa.

Valitse Uusimmat tapaukset ja hälytykset , jos haluat vaihtaa yläosan laajennuksen, joka näyttää aikajanakaavion vastaanotettujen ilmoitusten ja viimeisten 24 tunnin aikana luotujen tapausten määrästä.

Näyttökuva 24 tunnin tapauskaaviosta.

Tämän alla Microsoft Defender -portaalin tapausjono näyttää tapahtumat, jotka on nähty viimeisen puolen vuoden aikana. Voit valita eri aikavälin valitsemalla sen yläreunan avattavasta valikosta. Tapaukset järjestetään viimeisimpien automaattisten tai manuaalisten tapahtumien mukaan. Voit järjestää tapaukset viimeisimmän päivityksen aikasarakkeen mukaan, jotta voit tarkastella tapauksia uusimpien automaattisten tai manuaalisten päivitysten mukaan.

Tapausjonossa on mukautettavia sarakkeita, jotka antavat sinulle näkyvyyden tapahtuman eri ominaisuuksiin tai niihin entiteetteihin, joihin ongelma vaikuttaa. Tämän suodattimen avulla voit tehdä tietoon perustuvan päätöksen tapausten priorisoinnista analyysia varten. Valitse Mukauta sarakkeita , jos haluat suorittaa seuraavat mukautukset haluamasi näkymän perusteella:

  • Valitse sarake, jonka haluat nähdä tapausjonossa, tai poista valinta.
  • Järjestä sarakkeiden järjestys vetämällä niitä.

Näyttökuva Tapaus-sivun suodattimesta ja sarakeohjausobjekteista.

Tapausten nimet

Jos haluat nähdä enemmän yhdellä silmäyksellä, Microsoft Defender XDR luo tapausten nimet automaattisesti hälytysmääritteiden, kuten niiden päätepisteiden määrän, joita asia koskee, tunnistuslähteiden tai luokkien perusteella. Tämän tietyn nimeämisen avulla voit nopeasti ymmärtää tapahtuman laajuuden.

Esimerkki: Monivaiheinen tapaus useille useiden lähteiden ilmoittamalle päätepisteelle.

Jos olet lisännyt Microsoft Sentinelin yhtenäiseen suojaustoimintojen ympäristöön, Microsoft Sentinelistä tulevien ilmoitusten ja tapausten nimet todennäköisesti muutetaan (riippumatta siitä, luotiinko ne ennen perehdytystä vai sen jälkeen).

Suosittelemme välttämään tapauksen nimen käyttämistä automaatiosääntöjen käynnistämisen ehtona. Jos tapauksen nimi on ehto ja tapahtuman nimi muuttuu, sääntöä ei käynnistetä.

Suodattimet

Tapahtumajono tarjoaa myös useita suodatusvaihtoehtoja, joiden avulla voit käyttöön otettaessa kerätä laajat tiedot kaikista ympäristössäsi olevista tapauksista tai päättää keskittyä tiettyyn skenaarioon tai uhkaan. Suodattimien käyttäminen tapausjonossa voi auttaa selvittämään, mikä tapaus edellyttää välitöntä huomiota.

Suodatinluettelon yläpuolella olevassa Suodattimet-luettelossa näkyvät käytössä olevat suodattimet.

Voit valita oletustapausjonosta Lisää suodatin , jolloin näkyviin tulee avattava Lisää suodatin -valikko, josta voit määrittää tapahtumajonoon sovellettavat suodattimet, jotka rajoittavat näytettävien tapausten joukkoa. Tässä on esimerkki.

Microsoft Defender -portaalin tapausjonon Suodattimet-ruutu.

Valitse käytettävät suodattimet ja valitse sitten luettelon alareunasta Lisää , jotta ne ovat käytettävissä.

Nyt valitsemasi suodattimet näkyvät yhdessä aiemmin käytettyjen suodattimien kanssa. Valitse uusi suodatin ja määritä sen ehdot. Jos valitset esimerkiksi Palvelu/tunnistamislähteet -suodattimen, valitse se ja valitse lähteet, joiden mukaan luettelo suodatetaan.

Näet myös Suodatin-ruudun valitsemalla minkä tahansa suodattimet Suodattimet-luettelosta , joka on tapahtumien luettelon yläpuolella.

Tässä taulukossa on luettelo käytettävissä olevista suodattimien nimistä.

Suodattimen nimi Kuvaus/ehdot
Tila Valitse Uusi, Käynnissä tai Ratkaistu.
Ilmoituksen vakavuus
Tapauksen vakavuus
Hälytyksen tai tapauksen vakavuus on osoitus sen vaikutuksesta varoihisi. Mitä suurempi vakavuus, sitä suurempi vaikutus ja yleensä se vaatii välittömintä huomiota. Valitse Suuri, Normaali, Pieni tai Tiedot.
Tapausmääritys Valitse määritetty käyttäjä tai käyttäjät.
Useita palvelulähteitä Määritä, onko suodatin useammalle kuin yhdelle palvelulähteelle.
Palvelun/tunnistuksen lähteet Määritä tapaukset, jotka sisältävät ilmoituksia vähintään yhdestä seuraavista:
  • Microsoft Defender for Identity
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Endpoint
  • Microsoft Defender XDR
  • Microsoft Defender for Office 365
  • Sovellusten hallinta
  • Microsoft Entra ID Protection
  • Microsoftin tietojen menetyksen estäminen
  • Microsoft Defender for Cloud
  • Microsoft Sentinel

    Monet näistä palveluista voidaan laajentaa valikossa paljastamaan lisää tunnistuslähteiden valintoja tietyssä palvelussa.
  • Tunnisteet Valitse luettelosta yksi tai useita tunnisteen nimiä.
    Useita luokkiin Määritä, onko suodatin useammalle kuin yhdelle luokalle.
    Luokat Valitse luokat, jotka keskittyvät tiettyihin taktiikoihin, tekniikoihin tai hyökkäyskomponentteihin.
    Yhteisöt Määritä resurssin nimi, kuten käyttäjä, laite, postilaatikko tai sovelluksen nimi.
    Tietojen luottamuksellisuus Joissakin hyökkäyksissä keskitytään arkaluonteisten tai arvokkaiden tietojen suodattamiseen. Käyttämällä suodatinta tietyille luottamuksellisuustunnisteille voit nopeasti selvittää, onko arkaluontoisia tietoja mahdollisesti vaarantunut, ja priorisoida näiden tapausten käsittelemisen.

    Tämä suodatin näyttää tiedot vain, kun olet käyttänyt Microsoft Purview Information Protectionin luottamuksellisuustunnisteita.
    Laiteryhmät Määritä laiteryhmän nimi.
    Käyttöjärjestelmän ympäristö Määritä laitteen käyttöjärjestelmät.
    Luokitus Määritä liittyvien ilmoitusten luokitusjoukko.
    Automaattisen tutkinnan tila Määritä automatisoidun tutkimuksen tila.
    Liittyvä uhka Määritä nimetty uhka.
    Ilmoituskäytännöt Määritä ilmoituskäytännön otsikko.
    Ilmoitusten tilaustunnukset Määritä tilaustunnukseen perustuva ilmoitus.

    Oletussuodattimena on näyttää kaikki ilmoitukset ja tapaukset, joiden tila on Uusi ja Käynnissä ja joiden vakavuus on Suuri, Normaali tai Pieni.

    Voit poistaa suodattimen nopeasti valitsemalla X suodattimen nimestä Suodattimet-luettelosta .

    Voit myös luoda suodatinjoukkoja tapahtumat-sivulla valitsemalla Tallennetut suodatinkyselyt > Luo suodatinjoukko. Jos suodatinjoukkoja ei ole luotu, luo sellainen valitsemalla Tallenna .

    Luo suodatinjoukot -vaihtoehto tapausjonolle Microsoft Defender -portaalissa.

    Huomautus

    Microsoft Defenderin XDR-asiakkaat voivat nyt suodattaa tapauksia hälytyksillä, joissa vaarantunut laite on yhteydessä käyttötekniikkalaitteisiin (OT), jotka on yhdistetty yritysverkkoon Microsoft Defender for IoT:n ja Microsoft Defender for Endpointin laiteetsintäintegroinnin kautta. Jos haluat suodattaa nämä tapaukset, valitse Mikä tahansa Palvelun/tunnistuksen lähteistä, valitse sitten Microsoft Defender IoT:lle Tuotteen nimestä tai katso Tapausten ja hälytysten tutkiminen Microsoft Defenderin IoT:ssä Defender-portaalissa. Laiteryhmien avulla voit myös suodattaa sivustokohtaisia ilmoituksia. Lisätietoja Defender for IoT-edellytyksistä on artikkelissa Yrityksen IoT-valvonnan aloittaminen Microsoft Defender XDR:ssä.

    Mukautettujen suodattimien tallentaminen URL-osoitteina

    Kun olet määrittänyt hyödyllisen suodattimen tapahtumat-jonossa, voit lisätä selaimen välilehden URL-osoitteen kirjanmerkkeihin tai muuten tallentaa sen linkkinä verkkosivulle, Word-asiakirjaan tai haluamaasi paikkaan. Kirjanmerkkien avulla voit käyttää tapahtumajonon avainnäkymiä yhdellä napsautuksella, kuten:

    • Uudet tapaukset
    • Suuren vakavuusasteen tapaukset
    • Määrittämättömät tapaukset
    • Suuren vakavuusasteen, määrittämättömät tapaukset
    • Minulle osoitetut tapaukset
    • Minulle ja Microsoft Defender for Endpointille määritetyt tapaukset
    • Tapaukset, joilla on tietty tunniste tai tunniste
    • Tapaukset, joilla on tietty uhkaluokka
    • Tapaukset, joihin liittyy erityinen uhka
    • Tapaukset, joissa on tietty toimija

    Kun olet kääntänyt ja tallentanut hyödyllisten suodatinnäkymien luettelon URL-osoitteina, voit sen avulla käsitellä ja priorisoida jonon tapahtumat nopeasti ja hallita niitä myöhempää määritystä ja analyysia varten.

    Etsi nimeä tai tunnusta -ruudusta, joka on tapahtumien luettelon yläpuolella, voit etsiä tapauksia useilla tavoilla, jotta löydät nopeasti etsimäsi.

    Hae tapauksen nimen tai tunnuksen mukaan

    Voit etsiä tapahtumaa suoraan kirjoittamalla tapahtuman tunnuksen tai tapauksen nimen. Kun valitset tapahtuman hakutulosluettelosta, Microsoft Defender -portaali avaa tapahtuman ominaisuudet sisältävän uuden välilehden, josta voit aloittaa tutkimuksesi.

    Hae vaikutusperusteena jätetyt resurssit

    Voit nimetä resurssin, kuten käyttäjän, laitteen, postilaatikon, sovelluksen nimen tai pilviresurssin, ja etsiä kaikki kyseiseen resurssiin liittyvät tapaukset.

    Määritä aika-alue

    Oletusarvoinen luettelo tapauksista on viimeisen puolen vuoden aikana tapahtuneet tapaukset. Voit määrittää uuden aika-alueen kalenterikuvakkeen vieressä olevasta avattavasta ruudusta valitsemalla:

    • Yksi päivä
    • Kolme päivää
    • Yksi viikko
    • 30 päivää
    • 30 päivää
    • Kuusi kuukautta
    • Mukautettu alue, jossa voit määrittää sekä päivämäärät että kellonajat

    Seuraavat vaiheet

    Kun olet määrittänyt, mikä tapaus vaatii korkeimman prioriteetin, valitse se ja:

    • Hallitse tapahtuman ominaisuuksia tunnisteille, tehtävämääritykselle, positiivisten tapausten välittömälle ratkaisulle ja kommenteille.
    • Aloita tutkimukset.

    Tutustu myös seuraaviin ohjeartikkeleihin:

    Vihje

    Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.