Tapausten priorisointi Microsoft Defender portaalissa
Microsoft Defender-portaalin yhdistetty suojaustoimintojen ympäristö käyttää korrelaatioanalytiikkaa ja kokoaa siihen liittyvät hälytykset ja automatisoidut tutkimukset eri tuotteista tapauksiin. Microsoft Sentinel ja Defender XDR myös käynnistävät yksilöllisiä hälytyksiä toiminnoista, jotka voidaan tunnistaa haitallisiksi vain, kun otetaan huomioon yhdistetyn ympäristön päästä päähän -näkyvyys koko tuoteohjelmistossa. Tämä näkymä antaa tietoturva-analyytikoillesi laajemman hyökkäystarinan, joka auttaa heitä ymmärtämään ja käsittelemään monimutkaisia uhkia organisaatiossasi.
Tärkeää
Microsoft Sentinel on saatavilla osana yhtenäistä suojaustoimintojen ympäristöä julkisessa esikatselussa Microsoft Defender-portaalissa. Lisätietoja on microsoft Sentinel -Microsoft Defender portaalissa.
Tapausjono
Tapausjono näyttää kokoelman tapauksia, jotka on luotu eri laitteissa, käyttäjissä, postilaatikoissa ja muissa resursseissa. Se auttaa tapausten lajittelussa priorisoimaan ja luomaan tietoon perustuvan kyberturvallisuusvastauspäätöksen, jota kutsutaan tapauskolmikoksi.
Vihje
Tammikuussa 2024, kun vierailet Tapahtumat-sivulla , Defender Boxed tulee näkyviin. Defender Boxed tuo esiin organisaatiosi tietoturvan onnistumisia, parannuksia ja reagointitoimia vuonna 2023. Jos haluat avata Defender Boxedin uudelleen, siirry Microsoft Defender portaalissa kohtaan Tapaukset ja valitse sitten Puolustaja Kehystetty.
Voit siirtyä tapausjonoon kohdasta Tapaukset & hälytykset > TapauksetMicrosoft Defender portaalin pikakäynnistyksessä. Tässä on esimerkki.
Valitse Uusimmat tapaukset ja hälytykset , jos haluat vaihtaa yläosan laajennuksen, joka näyttää aikajanakaavion vastaanotettujen ilmoitusten ja viimeisten 24 tunnin aikana luotujen tapausten määrästä.
Tämän alla Microsoft Defender-portaalin tapausjono näyttää viimeisten kuuden kuukauden aikana näytyneet tapaukset. Uusin tapaus on luettelon yläosassa, joten näet sen ensin. Voit valita eri aikavälin valitsemalla sen yläreunan avattavasta valikosta.
Tapausjonossa on mukautettavia sarakkeita (valitse Mukauta sarakkeita), jotka antavat sinulle näkyvyyden tapahtuman eri ominaisuuksiin tai niihin entiteetteihin, joihin ongelma vaikuttaa. Tämän suodattimen avulla voit tehdä tietoon perustuvan päätöksen tapausten priorisoinnista analyysia varten.
Tapausten nimet
Jos haluat nähdä enemmän yhdellä silmäyksellä, Microsoft Defender XDR luo tapausten nimet automaattisesti hälytysmääritteiden, kuten niiden päätepisteiden määrän, joita asia koskee, tunnistuslähteiden tai luokkien perusteella. Tämän tietyn nimeämisen avulla voit nopeasti ymmärtää tapahtuman laajuuden.
Esimerkki: Monivaiheinen tapaus useille useiden lähteiden ilmoittamalle päätepisteelle.
Jos olet lisännyt Microsoft Sentinelin yhtenäiseen suojaustoimintojen ympäristöön, Microsoft Sentinelistä tulevien ilmoitusten ja tapausten nimet todennäköisesti muutetaan (riippumatta siitä, luotiinko ne ennen perehdytystä vai sen jälkeen).
Suosittelemme välttämään tapauksen nimen käyttämistä automaatiosääntöjen käynnistämisen ehtona. Jos tapauksen nimi on ehto ja tapahtuman nimi muuttuu, sääntöä ei käynnistetä.
Suodattimet
Tapahtumajono tarjoaa myös useita suodatusvaihtoehtoja, joiden avulla voit käyttöön otettaessa kerätä laajat tiedot kaikista ympäristössäsi olevista tapauksista tai päättää keskittyä tiettyyn skenaarioon tai uhkaan. Suodattimien käyttäminen tapausjonossa voi auttaa selvittämään, mikä tapaus edellyttää välitöntä huomiota.
Suodatinluettelon yläpuolella olevassa Suodattimet-luettelossa näkyvät käytössä olevat suodattimet.
Voit valita oletustapausjonosta Lisää suodatin , jolloin näkyviin tulee avattava Lisää suodatin -valikko, josta voit määrittää tapahtumajonoon sovellettavat suodattimet, jotka rajoittavat näytettävien tapausten joukkoa. Tässä on esimerkki.
Valitse käytettävät suodattimet ja valitse sitten luettelon alareunasta Lisää , jotta ne ovat käytettävissä.
Nyt valitsemasi suodattimet näkyvät yhdessä aiemmin käytettyjen suodattimien kanssa. Valitse uusi suodatin ja määritä sen ehdot. Jos valitset esimerkiksi Palvelu/tunnistamislähteet -suodattimen, valitse se ja valitse lähteet, joiden mukaan luettelo suodatetaan.
Näet myös Suodatin-ruudun valitsemalla minkä tahansa suodattimet Suodattimet-luettelosta , joka on tapahtumien luettelon yläpuolella.
Tässä taulukossa on luettelo käytettävissä olevista suodattimien nimistä.
Suodattimen nimi | Kuvaus/ehdot |
---|---|
Tila | Valitse Uusi, Käynnissä tai Ratkaistu. |
Ilmoituksen vakavuus Tapauksen vakavuus |
Hälytyksen tai tapauksen vakavuus on osoitus sen vaikutuksesta varoihisi. Mitä suurempi vakavuus, sitä suurempi vaikutus ja yleensä se vaatii välittömintä huomiota. Valitse Suuri, Normaali, Pieni tai Tiedot. |
Tapausmääritys | Valitse määritetty käyttäjä tai käyttäjät. |
Useita palvelulähteitä | Määritä, onko suodatin useammalle kuin yhdelle palvelulähteelle. |
Palvelun/tunnistuksen lähteet | Määritä tapaukset, jotka sisältävät ilmoituksia vähintään yhdestä seuraavista: Monet näistä palveluista voidaan laajentaa valikossa paljastamaan lisää tunnistuslähteiden valintoja tietyssä palvelussa. |
Tunnisteet | Valitse luettelosta yksi tai useita tunnisteen nimiä. |
Useita luokkiin | Määritä, onko suodatin useammalle kuin yhdelle luokalle. |
Luokat | Valitse luokat, jotka keskittyvät tiettyihin taktiikoihin, tekniikoihin tai hyökkäyskomponentteihin. |
Yhteisöt | Määritä resurssin nimi, kuten käyttäjä, laite, postilaatikko tai sovelluksen nimi. |
Tietojen luottamuksellisuus | Joissakin hyökkäyksissä keskitytään arkaluonteisten tai arvokkaiden tietojen suodattamiseen. Käyttämällä suodatinta tietyille luottamuksellisuustunnisteille voit nopeasti selvittää, onko arkaluontoisia tietoja mahdollisesti vaarantunut, ja priorisoida näiden tapausten käsittelemisen. Tämä suodatin näyttää tiedot vain, kun olet käyttänyt luottamuksellisuustunnisteita Microsoft Purview Information Protection. |
Laiteryhmät | Määritä laiteryhmän nimi. |
Käyttöjärjestelmän ympäristö | Määritä laitteen käyttöjärjestelmät. |
Luokittelu | Määritä liittyvien ilmoitusten luokitusjoukko. |
Automaattisen tutkinnan tila | Määritä automatisoidun tutkimuksen tila. |
Liittyvä uhka | Määritä nimetty uhka. |
Ilmoituskäytännöt | Määritä ilmoituskäytännön otsikko. |
Oletussuodattimena on näyttää kaikki ilmoitukset ja tapaukset, joiden tila on Uusi ja Käynnissä ja joiden vakavuus on Suuri, Normaali tai Pieni.
Voit poistaa suodattimen nopeasti valitsemalla X suodattimen nimestä Suodattimet-luettelosta .
Voit myös luoda suodatinjoukkoja tapahtumat-sivulla valitsemalla Tallennetut suodatinkyselyt > Create suodatinjoukon. Jos suodatinjoukkoja ei ole luotu, luo sellainen valitsemalla Tallenna .
Mukautettujen suodattimien tallentaminen URL-osoitteina
Kun olet määrittänyt hyödyllisen suodattimen tapahtumat-jonossa, voit lisätä selaimen välilehden URL-osoitteen kirjanmerkkeihin tai muuten tallentaa sen linkkinä verkkosivulle, Word asiakirjaan tai haluamaasi paikkaan. Kirjanmerkkien avulla voit käyttää tapahtumajonon avainnäkymiä yhdellä napsautuksella, kuten:
- Uudet tapaukset
- Suuren vakavuusasteen tapaukset
- Määrittämättömät tapaukset
- Suuren vakavuusasteen, määrittämättömät tapaukset
- Minulle osoitetut tapaukset
- Minulle ja Microsoft Defender for Endpoint osoitetut tapaukset
- Tapaukset, joilla on tietty tunniste tai tunniste
- Tapaukset, joilla on tietty uhkaluokka
- Tapaukset, joihin liittyy erityinen uhka
- Tapaukset, joissa on tietty toimija
Kun olet kääntänyt ja tallentanut hyödyllisten suodatinnäkymien luettelon URL-osoitteina, voit sen avulla käsitellä ja priorisoida jonon tapahtumat nopeasti ja hallita niitä myöhempää määritystä ja analyysia varten.
Haku
Tapausten luettelon yläpuolella olevasta Haku nimen tai tunnuksen ruudusta voit etsiä tapauksia useilla tavoilla, jotta löydät nopeasti etsimäsi.
Haku tapauksen nimen tai tunnuksen mukaan
Haku suoraan tapahtumasta kirjoittamalla tapahtuman tunnuksen tai tapauksen nimen. Kun valitset tapahtuman hakutulosluettelosta, Microsoft Defender-portaali avaa tapahtuman ominaisuudet sisältävän uuden välilehden, josta voit aloittaa tutkimuksesi.
kohderesurssien Haku
Voit nimetä resurssin, kuten käyttäjän, laitteen, postilaatikon, sovelluksen nimen tai pilviresurssin, ja etsiä kaikki kyseiseen resurssiin liittyvät tapaukset.
Määritä aika-alue
Oletusarvoinen luettelo tapauksista on viimeisen puolen vuoden aikana tapahtuneet tapaukset. Voit määrittää uuden aika-alueen kalenterikuvakkeen vieressä olevasta avattavasta ruudusta valitsemalla:
- Yksi päivä
- Kolme päivää
- Yksi viikko
- 30 päivää
- 30 päivää
- Kuusi kuukautta
- Mukautettu alue, jossa voit määrittää sekä päivämäärät että kellonajat
Seuraavat vaiheet
Kun olet määrittänyt, mikä tapaus vaatii korkeimman prioriteetin, valitse se ja:
- Hallitse tapahtuman ominaisuuksia tunnisteille, tehtävämääritykselle, positiivisten tapausten välittömälle ratkaisulle ja kommenteille.
- Aloita tutkimukset.
Tutustu myös seuraaviin ohjeartikkeleihin:
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.
Palaute
https://aka.ms/ContentUserFeedback.
Tulossa pian: Vuoden 2024 aikana poistamme asteittain GitHub Issuesin käytöstä sisällön palautemekanismina ja korvaamme sen uudella palautejärjestelmällä. Lisätietoja on täällä:Lähetä ja näytä palaute kohteelle