Jaa

Tapausten hallinta Microsoft Defender

  • Artikkeli
  • Koskee seuraavia::
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Tapausten hallinta on tärkeää, jotta voidaan varmistaa, että tapaukset nimetään, määritetään ja merkitään, jotta tapausten työnkulun aika voidaan optimoida ja uhat voidaan hillitä ja käsitellä nopeasti.

Voit hallita tapauksia tapahtumat-kohdasta & hälytyksiä > Tapaukset Microsoft Defender portaalin (security.microsoft.com) pikakäynnistyksessä. Tässä on esimerkki.

Näyttökuva, jossa korostetaan tapausjonon Tapausten hallinta -vaihtoehtoa ja Microsoft Defender portaalin pikakäynnistysruutua.

Voit hallita tapauksia seuraavilla tavoilla:

Voit hallita tapauksia Tapahtuman hallinta -ruudussa. Tässä on esimerkki.

Näyttökuva, jossa näkyy Tapahtuman hallinta -ruutu Microsoft Defender portaalissa.

Voit näyttää tämän ruudun Tapahtuman hallinta -linkistä:

  • Ilmoitusten juttusivu .
  • Tapausjonossa olevan tapauksen Ominaisuus-ruutu.
  • Tapauksen yhteenvetosivu.
  • Tapaus-sivun oikeassa yläkulmassa sijaitsevan tapausvaihtoehdon hallinta.

Jos haluat siirtää hälytyksiä tapahtumasta toiseen, voit tehdä sen myös Ilmoitukset-välilehdestä, jolloin luodaan suurempi tai pienempi tapaus, joka sisältää kaikki asianmukaiset hälytykset.

Tapauksen nimen muokkaaminen

Microsoft Defender määrittää automaattisesti nimen, joka perustuu hälytysmääritteisiin, kuten niiden päätepisteiden määrään, joita ongelma koskee, käyttäjiin, tunnistuslähteisiin tai luokkiin. Tapahtuman nimen avulla voit nopeasti ymmärtää tapahtuman laajuuden. Esimerkki: Monivaiheinen tapaus useille useiden lähteiden ilmoittamalle päätepisteelle.

Voit muokata tapahtuman nimeä Tapauksen nimi -kentässä Tapahtuman hallinta -ruudussa.

Huomautus

Tapaukset, jotka olivat olemassa ennen automaattisen tapausten nimeämisominaisuuden käyttöönottoa, säilyttävät nimensä.

Tapauksen vakavuuden määrittäminen tai muuttaminen

Voit määrittää tai muuttaa tapahtuman vakavuutta Tapahtuman hallinta -ruudun Vakavuus-kentästä. Tapahtuman vakavuus määräytyy siihen liittyvien hälytysten suurimman vakavuuden mukaan. Tapahtuman vakavuus voidaan määrittää korkeaksi, keskitasoksi, alhaiseksi tai tietoisaksi.

Tapahtumatunnisteiden lisääminen

Voit lisätä mukautettuja tunnisteita tapahtumaan, esimerkiksi merkitäksesi ryhmän välikohtauksia, joilla on yhteinen ominaisuus. Voit myöhemmin suodattaa tapahtumajonon kaikille tapauksille, jotka sisältävät tietyn tunnisteen.

Aiemmin käytettyjen ja valittujen tunnisteiden luettelosta valitsemisen vaihtoehto tulee näkyviin, kun alat kirjoittaa.

Tapahtuma voi sisältää järjestelmätunnisteita ja/tai mukautettuja tunnisteita, joilla on tietyt väritaustat. Mukautetuissa tunnisteissa käytetään valkoista taustaa, kun taas järjestelmätunnisteissa käytetään yleensä punaisia tai mustia taustavärejä. Järjestelmätunnisteet tunnistavat tapahtuman seuraavat:

  • Hyökkäystyyppi, kuten tunnistetietojen tietojenkalastelu tai BEC-petos
  • Automaattiset toiminnot, kuten automaattinen tutkinta ja reagointi sekä automaattisen hyökkäyksen häiriöt
  • Defender-asiantuntijat käsittelevät tapausta
  • Tapahtumaan osallistuneet kriittiset resurssit

Vihje

Microsoftin Suojauksen altistumishallinta, joka perustuu ennalta määritettyihin luokituksiin, merkitsee laitteet, käyttäjätiedot ja pilviresurssit automaattisesti kriittiseksi resurssiksi. Tämä valmiilla toiminnolla varmistetaan organisaation arvokkaimpien ja tärkeimpien resurssien suojaus. Se auttaa myös suojaustiimiä priorisoimaan tutkimuksia ja korjauksia. Lisätietoja kriittisestä resurssienhallinnasta.

Tapauksen määrittäminen

Voit valita Määritä käyttäjälle - ruudun ja määrittää käyttäjätilin tapahtuman määrittämiseksi. Voit määrittää tapahtuman uudelleen poistamalla nykyisen varaustilin valitsemalla tilin nimen vieressä olevan x-merkin ja valitsemalla sitten Määritä käyttäjälle -ruudun. Tapauksen omistajuuden määrittäminen määrittää saman omistajuuden kaikille siihen liittyville hälytyksille.

Saat luettelon sinulle määritetyistä tapauksista suodattamalla tapausjonon.

  1. Valitse tapausjonosta Suodattimet.
  2. Tyhjennä Tapausmääritys-osiossaValitse kaikki. Valitse Määritetty minulle, Määritetty toiselle käyttäjälle tai Määritetty käyttäjäryhmälle.
  3. Valitse Käytä ja sulje sitten Suodattimet-ruutu .

Voit sitten tallentaa tuloksena saatavan URL-osoitteen selaimeen kirjanmerkiksi, jotta näet nopeasti luettelon sinulle määritetyistä tapauksista.

Tapauksen ratkaiseminen

Kun tapaus korjataan ja ratkaistaan, valitse Ratkaistu avattavasta Tila-luettelosta . Tapauksen ratkaiseminen ratkaisee myös kaikki tapahtumaan liittyvät linkitetyt ja aktiiviset hälytykset.

Kun muutat tapahtuman tilaksi Ratkaistu, tilakentän jälkeen näytetään heti uusi kenttä Tila-kentän jälkeen. Kirjoita tähän kenttään huomautus, jossa kerrotaan, miksi tapaus on mielestäsi ratkaistu. Tämä muistiinpano näkyy tapahtuman toimintalokissa lähellä merkintää, joka tallentaa tapahtuman ratkaisun.

Näyttökuva tapausten hallintapaneelista, jossa on tapausten ratkaisuhuomautus.

Sekä tapausten jonosivulla että ratkaistun tapauksen tapaussivulla on tapauksen ratkaisuhuomautus sivupaneelissa Tapahtuman tiedot -osiossa.

Näyttökuva ratkaisuhuomautuksen ulkoasusta tapahtuman tietopaneelissa.

Tapauksen ratkaiseminen ratkaisee myös kaikki tapahtumaan liittyvät linkitetyt ja aktiiviset hälytykset. Tapaus, jota ei ole ratkaistu, näkyy aktiivisena.

Luokituksen määrittäminen

Luokitus-kentässä voit määrittää, onko tapahtuma seuraava:

  • Ei määritetty (oletus).
  • Tosi positiivinen ja uhkatyyppi. Käytä tätä luokitusta tapauksiin, jotka ilmaisevat tarkasti todellisen uhan. Uhkatyypin määrittäminen auttaa suojaustiimiäsi näkemään uhkamalleja ja toimimaan organisaatiosi puolustamiseksi heiltä.
  • Tietoinen, odotettu toiminto , jolla on aktiviteettityyppi. Tämän luokan vaihtoehtojen avulla voit luokitella tietoturvatestejä, punaisen tiimin toimintaa ja luotettavien sovellusten ja käyttäjien odotettua epätavallista toimintaa.
  • Epätosi-positiivinen tapauksille, jotka olet määrittänyt, voidaan jättää huomiotta, koska ne ovat teknisesti virheellisiä tai harhaanjohtavia.

Tapausten luokittelu ja niiden tilan ja tyypin määrittäminen auttavat hienosäätämään Microsoft Defender XDR, jotta tunnistaminen voidaan määrittää paremmin ajan kuluessa.

Kommenttien lisääminen

Voit lisätä useita kommentteja tapahtumaan Kommentti-kentässä . Kommenttikenttä tukee tekstiä ja muotoilua, linkkejä ja kuvia. Jokainen kommentti on rajoitettu 30 000 merkkiin.

Kaikki kommentit lisätään tapahtuman historiallisiin tapahtumiin. Näet tapahtuman kommentit ja historian Yhteenveto-sivunKommentit ja historia -linkistä.

Toimintoloki

Toimintalokissa näkyy luettelo kaikista tapahtumassa suoritetuista kommenteista ja toiminnoista, joita kutsutaan valvonniksi ja kommenteiksi. Kaikki tapahtumaan tehdyt muutokset, olivatpa ne käyttäjän tai järjestelmän tekemiä, kirjataan toimintolokiin. Toimintaloki on käytettävissä tapahtumasivun toimintalokivaihtoehdosta tai tapahtumapuolen ruudusta.

Näyttökuva, jossa korostetaan toimintolokivaihtoehtoa tapahtumasivulta Microsoft Defender portaalissa.

Voit suodattaa lokin toimintoja kommenttien ja toimintojen mukaan. Napsauta Sisältö: Valvonta, Kommentit ja valitse sitten sisältötyyppi toimintojen suodattamiseksi. Tässä on esimerkki.

Näyttökuva, jossa korostetaan toimintolokiruudun suodatusasetuksia Microsoft Defender portaalin tapaussivulta.

Voit myös lisätä omia kommenttejasi toimintolokissa käytettävissä olevan kommenttiruudun avulla. Kommenttiruutu hyväksyy tekstin ja muotoilun, linkit ja kuvat.

Näyttökuva, jossa korostetaan kommenttiruutua tapaussivulta Microsoft Defender portaalissa.

Tapahtumatietojen vieminen PDF-muotoon

Tärkeää

Jotkin tämän artikkelin tiedot liittyvät tuotteen ennakkoversioon, joka voi erota huomattavasti tuotteen kaupallisesta julkaisuversiosta. Microsoft ei anna nimenomaisia eikä oletettuja takuita tässä annetuista tiedoista.

Tapahtumatietojen vientiominaisuus on tällä hetkellä Microsoft Defender XDR- ja Microsoft Unified Security Operations Center (SOC) -käyttöympäristöasiakkaiden käytettävissä, joilla on suojauskäyttöoikeuden Microsoft Copilot.

Voit viedä tapahtuman tiedot PDF-muotoon Vie tapaus PDF-tiedostona - toiminnon kautta ja tallentaa ne PDF-muotoon. Tämän toiminnon avulla suojaustiimit voivat tarkastella tapauksen tietoja offline-tilassa milloin tahansa.

Viedyt tapahtumatiedot sisältävät seuraavat tiedot:

Tässä on esimerkki viedystä PDF-tiedostosta:

Näyttökuva viedyn PDF-tiedoston ensimmäisestä sivusta.

Jos sinulla on Copilot for Security -käyttöoikeus, viety PDF sisältää seuraavat tapahtumatiedot:

Vienti PDF-muotoon -funktio on käytettävissä myös Copilot-sivupaneelissa. Kun valitset Lisää toimintoja -ellipsikuvakkeen (...) tapausraportin tuloskortin oikeasta yläkulmasta, voit valita Vie tapaus PDF-tiedostona.

Näyttökuva tapahtumaraportin tuloskortin lisätoiminnoista.

Voit luoda PDF-tiedoston seuraavasti:

  1. Avaa tapaussivu. Valitse Lisää toimintoja -ellipsi (...) oikeasta yläkulmasta ja valitse Vie tapaus PDF-tiedostona.

    Näyttökuva, jossa korostetaan Tapaus-sivun Lisää toimintoja -kolmea pistettä.

  2. Vahvista seuraavaksi avautuvassa valintaikkunassa tapaustiedot, jotka haluat sisällyttää PDF-tiedostoon tai jättää pois. Kaikki tapaustiedot valitaan oletusarvoisesti. Jatka valitsemalla Vie PDF .

    Näyttökuva, jossa näkyy korostettu vientitapaus PDF-muotoon -vaihtoehto.

  3. Tilasanoma, joka ilmaisee latauksen nykyisen tilan, näkyy tapahtuman otsikon alla. Vientiprosessi voi kestää muutamia minuutteja tapahtuman monimutkaisuuden ja vietävien tietojen määrän mukaan.

    Näyttökuva, jossa näkyy korostettu vientiviesti ja tila ennen lataamista.

  4. Näyttöön avautuu toinen valintaikkuna, joka ilmaisee, että PDF on valmis. Tallenna PDF-tiedosto laitteeseesi valitsemalla valintaikkunasta Lataa . Tapahtuman otsikon alla oleva tilasanoma päivittyy myös sen ilmaisemiseksi, että lataus on saatavilla.

    Näyttökuva, jossa näkyy korostettu vientiviesti ja tila, kun lataus on käytettävissä.

Raportti on tallennettu välimuistiin pariksi minuutiksi. Järjestelmä tarjoaa aiemmin luodun PDF-tiedoston, jos yrität viedä saman tapauksen uudelleen lyhyessä ajassa. Jos haluat luoda uudemman PDF-version, odota muutama minuutti, kunnes välimuisti vanhenee.

Seuraavat vaiheet

Aloita uusien tapausten tutkiminen.

Jos kyseessä on prosessitapaus, jatka tutkimuksiasi.

Suorita ratkaistujen tapausten osalta tapausten jälkeinen tarkastelu.

Tutustu myös seuraaviin ohjeartikkeleihin:

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.