Microsoft Defender for Endpoint tapahtumien hallinta

Koskee seuraavia:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Haluatko kokea Microsoft Defender for Endpointin? Rekisteröidy maksuttomaan kokeiluversioon.

Tapausten hallinta on tärkeä osa jokaista kyberturvallisuusoperaatiota. Voit hallita tapauksia valitsemalla tapahtuman Tapahtumat-jonosta tai Tapausten hallinta -ruudusta.

Vihje

Tammikuussa 2024, kun vierailet Tapahtumat-sivulla , Defender Boxed tulee näkyviin. Defender Boxed tuo esiin organisaatiosi tietoturvan onnistumisia, parannuksia ja reagointitoimia vuonna 2023. Jos haluat avata Defender Boxedin uudelleen, siirry Microsoft Defender portaalissa kohtaan Tapaukset ja valitse sitten Puolustaja Kehystetty.

Tapauksen valitseminen Tapaus-jonosta tuo esiin Tapausten hallinta -ruudun , jossa voit avata tapaussivun lisätietoja varten.

Voit määrittää tapahtumia itsellesi, muuttaa tilaa ja luokitusta, nimetä niitä uudelleen tai kommentoida niitä seurataksesi niiden edistymistä.

Vihje

Jos haluat lisänäkyvyyden yhdellä silmäyksellä, tapausten nimet luodaan automaattisesti hälytysmääritteiden, kuten niiden päätepisteiden määrän, joita ongelma koskee, tunnistuslähteiden tai luokkien perusteella. Näin voit nopeasti ymmärtää tapahtuman laajuuden.

Esimerkki: Monivaiheinen tapaus useille useiden lähteiden ilmoittamalle päätepisteelle.

Tapaukset, jotka olivat olemassa ennen automaattisen tapausten nimeämisen käyttöönottoa, säilyttävät nimensä.

Tapausten määrittäminen

Jos tapausta ei ole vielä määritetty, voit määrittää tapahtuman itsellesi valitsemalla Määritä minulle . Tämä edellyttää, että tapahtuman lisäksi myös kaikki siihen liittyvät hälytykset omistavat sen.

Määritä tila ja luokitus

Tapahtuman tila

Voit luokitella tapaukset ( aktiivisiksi tai ratkaistuiksi) muuttamalla niiden tilaa tutkimusten edetessä. Tämä auttaa organisoimaan ja hallitsemaan sitä, miten tiimisi voi reagoida tapauksiin.

Soc-analyytikkosi voi esimerkiksi tarkistaa päivän kiireelliset aktiiviset tapaukset ja päättää määrittää ne itselleen tutkimusta varten.

Vaihtoehtoisesti SOC-analyytikkosi voi määrittää tapahtuman ratkaistuksi , jos tapaus on korjattu.

Luokittelu

Voit päättää, ettei luokitusta määritetä, tai määrittää, onko tapaus tosi vai epätosi. Tämä auttaa tiimiä näkemään kuvioita ja oppimaan niistä.

Kommenttien lisääminen

Voit lisätä kommentteja ja tarkastella tapahtuman historiallisia tapahtumia nähdäksesi siihen tehdyt aiemmat muutokset.

Aina kun ilmoituksiin tehdään muutos tai kommentti, se tallennetaan Kommentit ja historia -osioon.

Lisätyt kommentit näkyvät heti ruudussa.

Aiheeseen liittyvät artikkelit

• Tapahtumajono
• Tapahtumajonon katselu ja järjestäminen
• Tapausten tutkiminen

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.