Jaa


Tapausten hallinta Microsoft Defenderissä

Koskee seuraavia:

  • Microsoft Defender XDR
  • Microsoft Defender unified Security Operations Center (SOC) -ympäristö

Tapausten hallinta on tärkeää, jotta voidaan varmistaa, että tapaukset nimetään, määritetään ja merkitään, jotta tapausten työnkulun aika voidaan optimoida ja uhat voidaan hillitä ja käsitellä nopeasti.

Voit hallita tapauksia tapauksista & hälytyksistä > Tapaukset Microsoft Defender -portaalin pikakäynnistyksessä (security.microsoft.com). Tässä on esimerkki.

Näyttökuva, jossa korostetaan tapausjonon tapausten hallintavaihtoehtoa ja Microsoft Defender -portaalin pikakäynnistysruutua.

Voit hallita tapauksia seuraavilla tavoilla:

Voit hallita tapauksia Tapahtuman hallinta -ruudussa. Tässä on esimerkki.

Näyttökuva, jossa näkyy Tapahtuman hallinta -ruutu Microsoft Defender -portaalissa.

Voit näyttää tämän ruudun Tapahtuman hallinta -linkistä:

  • Ilmoitusten juttusivu .
  • Tapausjonossa olevan tapauksen Ominaisuus-ruutu.
  • Tapauksen yhteenvetosivu.
  • Tapaus-sivun oikeassa yläkulmassa sijaitsevan tapausvaihtoehdon hallinta.

Jos haluat siirtää hälytyksiä tapahtumasta toiseen, voit tehdä sen myös Ilmoitukset-välilehdestä, jolloin luodaan suurempi tai pienempi tapaus, joka sisältää kaikki asianmukaiset hälytykset.

Tapauksen nimen muokkaaminen

Microsoft Defender määrittää automaattisesti nimen hälytysmääritteiden perusteella, kuten niiden päätepisteiden määrän, joita asia koskee, käyttäjien, joita asia koskee, tunnistuslähteiden tai luokkien perusteella. Tapahtuman nimen avulla voit nopeasti ymmärtää tapahtuman laajuuden. Esimerkki: Monivaiheinen tapaus useille useiden lähteiden ilmoittamalle päätepisteelle.

Voit muokata tapahtuman nimeä Tapauksen nimi -kentässä Tapahtuman hallinta -ruudussa.

Huomautus

Tapaukset, jotka olivat olemassa ennen automaattisen tapausten nimeämisominaisuuden käyttöönottoa, säilyttävät nimensä.

Tapauksen vakavuuden määrittäminen tai muuttaminen

Voit määrittää tai muuttaa tapahtuman vakavuutta Tapahtuman hallinta -ruudun Vakavuus-kentästä. Tapahtuman vakavuus määräytyy siihen liittyvien hälytysten suurimman vakavuuden mukaan. Tapahtuman vakavuus voidaan määrittää korkeaksi, keskitasoksi, alhaiseksi tai tietoisaksi.

Tapahtumatunnisteiden lisääminen

Voit lisätä mukautettuja tunnisteita tapahtumaan, esimerkiksi merkitäksesi ryhmän välikohtauksia, joilla on yhteinen ominaisuus. Voit myöhemmin suodattaa tapahtumajonon kaikille tapauksille, jotka sisältävät tietyn tunnisteen.

Aiemmin käytettyjen ja valittujen tunnisteiden luettelosta valitsemisen vaihtoehto tulee näkyviin, kun alat kirjoittaa.

Tapahtuma voi sisältää järjestelmätunnisteita ja/tai mukautettuja tunnisteita, joilla on tietyt väritaustat. Mukautetuissa tunnisteissa käytetään valkoista taustaa, kun taas järjestelmätunnisteissa käytetään yleensä punaisia tai mustia taustavärejä. Järjestelmätunnisteet tunnistavat tapahtuman seuraavat:

  • Hyökkäystyyppi, kuten tunnistetietojen tietojenkalastelu tai BEC-petos
  • Automaattiset toiminnot, kuten automaattinen tutkinta ja reagointi sekä automaattisen hyökkäyksen häiriöt
  • Defender-asiantuntijat käsittelevät tapausta
  • Tapahtumaan osallistuneet kriittiset resurssit

Vihje

Microsoftin suojauksen altistumisen hallinta, joka perustuu ennalta määritettyihin luokitteluihin, merkitsee laitteet, käyttäjätiedot ja pilviresurssit automaattisesti kriittiseksi resurssiksi. Tämä valmiilla toiminnolla varmistetaan organisaation arvokkaimpien ja tärkeimpien resurssien suojaus. Se auttaa myös suojaustiimiä priorisoimaan tutkimuksia ja korjauksia. Lisätietoja kriittisestä resurssienhallinnasta.

Tapauksen määrittäminen

Voit valita Määritä käyttäjälle - ruudun ja määrittää käyttäjätilin tapahtuman määrittämiseksi. Voit määrittää tapahtuman uudelleen poistamalla nykyisen varaustilin valitsemalla tilin nimen vieressä olevan x-merkin ja valitsemalla sitten Määritä käyttäjälle -ruudun. Tapauksen omistajuuden määrittäminen määrittää saman omistajuuden kaikille siihen liittyville hälytyksille.

Saat luettelon sinulle määritetyistä tapauksista suodattamalla tapausjonon.

  1. Valitse tapausjonosta Suodattimet.
  2. Tyhjennä Tapausmääritys-osiossaValitse kaikki. Valitse Määritetty minulle, Määritetty toiselle käyttäjälle tai Määritetty käyttäjäryhmälle.
  3. Valitse Käytä ja sulje sitten Suodattimet-ruutu .

Voit sitten tallentaa tuloksena saatavan URL-osoitteen selaimeen kirjanmerkiksi, jotta näet nopeasti luettelon sinulle määritetyistä tapauksista.

Tapauksen ratkaiseminen

Valitse Ratkaise tapaus , jos haluat siirtää vaihtopainikkeen oikealle, kun tapaus korjataan. Tapauksen ratkaiseminen ratkaisee myös kaikki tapahtumaan liittyvät linkitetyt ja aktiiviset hälytykset.

Tapaus, jota ei ole ratkaistu, näkyy aktiivisena.

Luokituksen määrittäminen

Luokitus-kentässä voit määrittää, onko tapahtuma seuraava:

  • Ei määritetty (oletus).
  • Tosi positiivinen ja uhkatyyppi. Käytä tätä luokitusta tapauksiin, jotka ilmaisevat tarkasti todellisen uhan. Uhkatyypin määrittäminen auttaa suojaustiimiäsi näkemään uhkamalleja ja toimimaan organisaatiosi puolustamiseksi heiltä.
  • Tietoinen, odotettu toiminto , jolla on aktiviteettityyppi. Tämän luokan vaihtoehtojen avulla voit luokitella tietoturvatestejä, punaisen tiimin toimintaa ja luotettavien sovellusten ja käyttäjien odotettua epätavallista toimintaa.
  • Epätosi-positiivinen tapauksille, jotka olet määrittänyt, voidaan jättää huomiotta, koska ne ovat teknisesti virheellisiä tai harhaanjohtavia.

Tapausten luokittelu ja niiden tilan ja tyypin määrittäminen auttaa virittämään Microsoft Defender XDR:ää, jotta tunnistus voidaan määrittää paremmin ajan kuluessa.

Kommenttien lisääminen

Voit lisätä useita kommentteja tapahtumaan Kommentti-kentässä . Kommenttikenttä tukee tekstiä ja muotoilua, linkkejä ja kuvia. Jokainen kommentti on rajoitettu 30 000 merkkiin.

Kaikki kommentit lisätään tapahtuman historiallisiin tapahtumiin. Näet tapahtuman kommentit ja historian Yhteenveto-sivunKommentit ja historia -linkistä.

Toimintoloki

Toimintalokissa näkyy luettelo kaikista tapahtumassa suoritetuista kommenteista ja toiminnoista, joita kutsutaan valvonniksi ja kommenteiksi. Kaikki tapahtumaan tehdyt muutokset, olivatpa ne käyttäjän tai järjestelmän tekemiä, kirjataan toimintolokiin. Toimintaloki on käytettävissä tapahtumasivun toimintalokivaihtoehdosta tai tapahtumapuolen ruudusta.

Näyttökuva, jossa korostetaan toimintolokivaihtoehtoa Microsoft Defender -portaalin tapaussivulta.

Voit suodattaa lokin toimintoja kommenttien ja toimintojen mukaan. Napsauta Sisältö: Valvonta, Kommentit ja valitse sitten sisältötyyppi toimintojen suodattamiseksi. Tässä on esimerkki.

Näyttökuva, jossa korostetaan toimintolokiruudun suodatusasetuksia Microsoft Defender -portaalin tapaussivulta.

Voit myös lisätä omia kommenttejasi toimintolokissa käytettävissä olevan kommenttiruudun avulla. Kommenttiruutu hyväksyy tekstin ja muotoilun, linkit ja kuvat.

Näyttökuva, jossa korostetaan Microsoft Defender -portaalin tapaussivun kommenttiruutua.

Tapahtumatietojen vieminen PDF-muotoon

Tärkeää

Jotkin tämän artikkelin tiedot liittyvät tuotteen ennakkoversioon, joka voi erota huomattavasti tuotteen kaupallisesta julkaisuversiosta. Microsoft ei anna nimenomaisia eikä oletettuja takuita tässä annetuista tiedoista.

Tapahtumatietojen vientiominaisuus on tällä hetkellä microsoft Defender XDR:n ja Microsoft Defender unified security operations center (SOC) -alustan asiakkaiden käytettävissä Microsoft Copilot for Security -käyttöoikeudella.

Voit viedä tapahtuman tiedot PDF-muotoon Vie tapaus PDF-tiedostona - toiminnon kautta ja tallentaa ne PDF-muotoon. Tämän toiminnon avulla suojaustiimit voivat tarkastella tapauksen tietoja offline-tilassa milloin tahansa.

Viedyt tapahtumatiedot sisältävät seuraavat tiedot:

Tässä on esimerkki viedystä PDF-tiedostosta:

Näyttökuva viedyn PDF-tiedoston ensimmäisestä sivusta.

Jos sinulla on Copilot for Security -käyttöoikeus, viety PDF sisältää seuraavat tapahtumatiedot:

Vienti PDF-muotoon -toiminto on käytettävissä myös luodun tapausraportin Copilot-sivupaneelissa.

Näyttökuva tapahtumaraportin tuloskortin lisätoiminnoista.

Voit luoda PDF-tiedoston seuraavasti:

  1. Avaa tapaussivu. Valitse Lisää toimintoja -ellipsi (...) oikeasta yläkulmasta ja valitse Vie tapaus PDF-tiedostona. Funktio näkyy harmaana PDF-tiedoston luonnin aikana.

    Näyttökuva, jossa näkyy korostettu vientitapaus PDF-muotoon -vaihtoehto.

  2. Näyttöön avautuu valintaikkuna, joka ilmaisee, että PDF-tiedostoa luodaan. Sulje valintaikkuna valitsemalla Selvä . Lisäksi tilasanoma, joka ilmaisee latauksen nykyisen tilan, näkyy tapahtuman otsikon alapuolella. Vientiprosessi voi kestää muutamia minuutteja tapahtuman monimutkaisuuden ja vietävien tietojen määrän mukaan.

    Näyttökuva, jossa näkyy korostettu vientiviesti ja tila ennen lataamista.

  3. Kun PDF on valmis, tilasanoma ilmaisee, että PDF on valmis ja näyttöön tulee toinen valintaikkuna. Tallenna PDF-tiedosto laitteeseesi valitsemalla valintaikkunasta Lataa .

    Näyttökuva, jossa näkyy korostettu vientiviesti ja tila, kun lataus on käytettävissä.

Raportti on tallennettu välimuistiin pariksi minuutiksi. Järjestelmä tarjoaa aiemmin luodun PDF-tiedoston, jos yrität viedä saman tapauksen uudelleen lyhyessä ajassa. Jos haluat luoda uudemman PDF-version, odota muutama minuutti, kunnes välimuisti vanhenee.

Seuraavat vaiheet

Aloita uusien tapausten tutkiminen.

Jos kyseessä on prosessitapaus, jatka tutkimuksiasi.

Suorita ratkaistujen tapausten osalta tapausten jälkeinen tarkastelu.

Tutustu myös seuraaviin ohjeartikkeleihin:

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.