Jaa

Suojausilmoitusten tarkasteleminen ja hallinta

Ilmoitusjono näyttää luettelon ilmoituksista, jotka on merkitty verkon käyttäjätiedoista. Jono näyttää oletusarvoisesti viimeisten seitsemän päivän aikana näkyneet ilmoitukset ryhmitetyssä näkymässä. Uusimmat ilmoitukset näytetään luettelon yläosassa, jolloin näet uusimmat ilmoitukset ensin.

Näytä ilmoitusjono

Siirry Microsoft Defender portaalissakohtaan Tapaukset & hälytykset ja valitse sitten Ilmoitukset.

Viimeisten seitsemän päivän ilmoitukset näytetään seuraavilla tiedoilla:

  • Ilmoituksen nimi
  • Tunnisteet
  • Vakavuus
  • Tutkinnan tila
  • Tila
  • Luokka
  • Tunnistamislähde
  • Kohderesurssit, joihin vaikutus vaikuttaa
  • Ensimmäinen aktiviteetti
  • Viimeisin aktiviteetti

Näyttökuva, jossa näkyy Defender-portaalin Ilmoitukset-sivu. Kaksi hälytystä nimeltä Epäillyt raakalaismaiset voimat on lueteltu täydelle hälytysyksikölle.

Ilmoitusjonon näkymän mukauttaminen

Voit mukauttaa ilmoitusjonon näkymää muutamalla tavalla. Sivun yläreunassa olevien työkalujen avulla voit:

  • Mukauta näkymää sarakkeiden lisäämiseksi tai poistamiseksi.
  • Käytä suodattimia.
  • Mukauta kestoa. Näytä tietyn keston ilmoitukset, kuten 1 päivä, 3 päivää, 1 viikko, 30 päivää ja 6 kuukautta.
  • Vie yksityiskohtainen Excel-raportti analyysia varten.

Ilmoitusnäkymän suodattaminen

Voit käyttää seuraavia suodattimia, jotta saat tarkemman näkymän ilmoituksista.

Ilmoitus Kuvaus
Vakavuus Hälytyksen vakavuus perustuu useisiin tekijöihin, kuten hyökkääjän käyttöoikeuksien todennäköisyyttä, hyökkäyksen onnistumisen mahdolliseen vaikutukseen ja todennäköisyyteen, että hälytys on tosi positiivinen. Täydellinen luettelo ilmoitustyypeistä ja niiden määritetyistä vakavuustasoista on kohdassa Suojausilmoituksen nimen yhdistäminen ja yksilölliset ulkoiset tunnukset
Tila Voit suodattaa ilmoitusten luettelon niiden tilan perusteella. Voit esimerkiksi suodattaa näyttämään vain ilmoitukset, jotka ovat Uusi, Käynnissä tai Ratkaistu.
Tunnistuslähteet Voit suodattaa hälytyksiä seuraavien tunnistuslähteiden perusteella: Microsoft Defender for Identity tai Microsoft Defender XDR
Tunnisteet Voit suodattaa ilmoitukset hälytyksille määritettyjen tunnisteiden perusteella.

Näytä ilmoitus

Voit käyttää yksittäisiä ilmoituksia useista sijainneista valitsemalla ilmoituksen nimen mistä tahansa seuraavista:

  • Ilmoitukset-sivu
  • Tapaukset-sivu
  • Käyttäjätiedot-sivu
  • Yksittäisten laitteiden sivut
  • Lisämetsästyssivu

Ilmoitukset-sivu

Hälytykset-sivulla on konteksti ilmoitukseen yhdistämällä hyökkäyssignaaleja ja hälytyksiä, jotka liittyvät valittuun ilmoitukseen yksityiskohtaisen ilmoitustarinan muodostamiseksi. Ilmoitukset-sivun avulla voit nopeasti määrittää, tutkia ja ryhtyä tehokkaisiin toimiin hälytyksissä.

Huomautus

Microsoft Defender for Identity ilmoitukset näkyvät tällä hetkellä kahdessa eri asettelussa Microsoft Defender portaalissa. Vaikka ilmoitusnäkymissä näytetään eri tietoja, kaikki hälytykset perustuvat Defenderin keräämien käyttäjätietojen tietoihin. Erot asettelussa ja näytetyissä tiedoissa ovat osa jatkuvaa siirtymistä yhtenäiseen ilmoituskokemukseen eri Microsoft Defender tuotteissa.

Jos haluat tarkastella sekä Defender for Identityn että Defender XDR ilmoituksia, valitse Suodatin ja valitse sitten Palvelulähteet-kohdastaMicrosoft Defender for Identity ja Defender XDR ja valitse Käytä:

Näyttökuva, jossa näkyy ilmoitusten suodatinvalikko per palvelu.

Microsoft Defender for Identity ilmoituksia

Sivun yläreunassa on ilmoituksen Tilit-, Kohdeisännät- ja Lähdeisännät-osiot. Ilmoituksen mukaan saatat nähdä lisätietoja muista isännistä, tileistä, IP-osoitteista, toimialueista ja käyttöoikeusryhmistä. Valitse mikä tahansa näistä, jos haluat lisätietoja kyseessä olevista entiteeteistä.

  • Ilmoitustarina-osiossa on tietoja, joiden avulla voit kertoa koko ilmoituksen tiedot. Ilmoitusjuttu on jaettu kahteen osaan:
    • Se, mitä tapahtui , sisältää hälytyksen aikajanan ja hälytykseen liittyvät entiteetit.
    • Ilmoituskaavio tarjoaa visuaalisen esityksen ilmoituksesta, mukaan lukien hälytykseen osallistuneet entiteetit ja niiden suhteet. Kaavion avulla voit ymmärtää, miten entiteetit on yhdistetty ja miten ne liittyvät hälytykseen.
  • Tärkeät tiedot tarjoavat teknisen kontekstin, joka tukee hälytysten tutkintaa. Näiden tietojen avulla voit vahvistaa, oliko toiminto odotettua vai epäilyttävää, ja päättää, mitä toimia tapahtuman hillitsemiseksi tai kärjistämiseksi suoritetaan.
  • Toimintotiedot sisältävät yksityiskohtaisia tietoja, kuten aikaleiman, perusobjektin, haun laajuuden ja muita ilmoituksen tietoja.
  • Sivun oikealla puolella oleva tietoruutu sisältää lisätietoja ilmoituksesta, kuten ilmoituksen tiedot, kommentit & historiatiedot. Tietoruudussa on myös lisäasetuksia, kuten:
    • Ilmoitusten hallinta
    • Vie ilmoitus
    • Siirrä ilmoitus toiseen tapahtumaan
    • Hälytyksen luokitteleminen

Näyttökuva, jossa näkyy Defender for Identity -ilmoitusrakenne.

Microsoft Defender XDR ilmoituksia

Sivun yläreunassa on ilmoituksen Tilit-, Kohdeisännät- ja Lähdeisännät-osiot. Ilmoituksesta riippuen saatat nähdä painikkeita, joiden avulla saat lisätietoja muista isännistä, tileistä, IP-osoitteista, toimialueista ja käyttöoikeusryhmistä. Valitse mikä tahansa näistä, jos haluat lisätietoja kyseessä olevista entiteeteistä.

  • Ilmoitustarina-osiossa on tietoja, joiden avulla voit kertoa koko ilmoituksen tiedot. Ilmoitusjuttu on jaettu kahteen osaan:
    • Se, mitä tapahtui , sisältää hälytyksen aikajanan ja hälytykseen liittyvät entiteetit.
  • Sivun oikealla puolella oleva tietoruutu sisältää lisätietoja ilmoituksesta, kuten ilmoituksen tiedot, kommentit & historiatiedot. Tietoruudussa on myös lisäasetuksia, kuten:
    • Ilmoitusten hallinta
    • Siirrä ilmoitus toiseen tapahtumaan
    • Hälytyksen luokitteleminen

Näyttökuva, jossa näkyy Defender for XDR -ilmoitusrakenne

Suojausilmoitusten hallinta

Ilmoituksen valitseminen avaa Ilmoitusten hallinta -ruudun, jossa voit suorittaa seuraavat toiminnot:

Ilmoituksen tilan muuttaminen

Voit luokitella hälytykset uusiksi, keskeneräisiksi tai ratkaistuiksi muuttamalla niiden tilaa tutkimusten edetessä. Näin voit järjestellä ja hallita sitä, miten tiimisi voi vastata hälytyksiin. Ryhmänjohtaja voi esimerkiksi tarkistaa kaikki uudet hälytykset ja päättää määrittää ne Keskeneräiset-jonoon lisäanalyyseja varten. Ryhmänjohtaja voi määrittää hälytyksen Ratkaistu-jonoon, jos hän tietää hälytyksen olevan hyvänlaatuinen tai tulevan laitteesta, jolla ei ole merkitystä (esimerkiksi suojausjärjestelmänvalvojalle kuuluvasta) tai jota käsitellään aiemman ilmoituksen kautta.

Siirrä ilmoitus toiseen tapahtumaan

Voit luoda uuden tapauksen ilmoituksesta tai linkittää olemassa olevaan tapaukseen.

Näyttökuva, jossa näkyy ilmoitusten siirtäminen toiseen tapaukseen.

Määritä hälytykset

Jos ilmoitusta ei ole vielä määritetty, voit määrittää ilmoituksen itsellesi valitsemalla Määritä minulle.

Näyttökuva, jossa näytetään, miten voit määrittää ilmoituksen itsellesi.

Kommenttien lisääminen ilmoituksiin

Voit lisätä kommentteja ilmoituksiin, jos haluat lisätietoja. Tästä on hyötyä merkityksellisten tietojen jakamisessa tiimisi kanssa tai tutkimusprosessin dokumentoimisessa. Aina kun ilmoituksiin tehdään muutos tai kommentti, se tallennetaan Kommentit ja historia -osioon.

Näyttökuva, joka näyttää kommentit & historiaosion Microsoft Defender portaalissa. Kommenttien kirjoittamista varten on tekstiruutu.

Luokittele suojaushälytykset

Kysy jokaiselle ilmoitulle seuraavat kysymykset hälytyksen luokituksen määrittämiseksi ja auta päättämään, mitä seuraavaksi tehdään:

  1. Onko suojaushälytys TP, B-TP vai FP?
  2. Miten yleinen tämä tietty suojaushälytys on ympäristössäsi?
  3. Käynnistivätkö hälytykset samantyyppiset tietokoneet vai käyttäjät? Esimerkiksi palvelimet, joilla on sama rooli, tai saman ryhmän tai osaston käyttäjät? Jos tietokoneet tai käyttäjät olivat samankaltaisia, saatat sulkea sen pois tulevien FP-ilmoitusten välttämiseksi.

Asianmukaisen tutkinnan jälkeen kaikki Defender for Identityn suojaushälytykset voidaan luokitella yhdeksi seuraavista toimintatyypeistä:

  • True positive (TP): Defender for Identityn havaitsema haitallinen toiminto.

  • Benign true positive (B-TP): Defenderin tunnistama todellinen mutta ei haitallinen toiminto, kuten penetraatiotesti tai hyväksytyn sovelluksen luoma tunnettu toiminta.

  • Väärä positiivinen (FP): Väärä hälytys, joka tarkoittaa, että toimintaa ei tapahtunut.

Näyttökuva, jossa näytetään, miten voit luokitella ilmoituksen tosi- tai epätosi-ilmoitukseksi.

Huomautus

Täsmälleen samaa tyyppiä olevien hälytysten lisääntyminen pienentää yleensä hälytyksen epäilyttävää/tärkeyttä. Tarkista toistuvia ilmoituksia varten määritykset ja käytä suojausilmoitusten tietoja ja määritelmiä, jotta ymmärrät tarkalleen, mitä tapahtuu, jotka käynnistävät toistot.

Säätöilmoitukset

Säädä ja optimoi hälytyksiä säätämällä niitä, mikä vähentää false-positiivisia arvoja. Hälytysten virityksen avulla SOC-tiimisi voivat keskittyä korkean prioriteetin hälytyksiin ja parantaa uhkien tunnistamisen kattavuutta koko järjestelmässäsi. Luo Microsoft Defender XDR sääntöehdot näyttötyyppien perusteella ja sovella sitten sääntöäsi mihin tahansa ehtoasi vastaavaan sääntötyyppiin.

Lisätietoja on kohdassa Ilmoituksen hienosäätäminen.

Aiheeseen liittyvä sisältö

  • Last updated on