Tapausten priorisointi Microsoft Defender portaalissa

  • Artikkeli
  • Koskee seuraavia::
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Defender-portaalin yhdistetty suojaustoimintojen ympäristö käyttää korrelaatioanalytiikkaa ja kokoaa siihen liittyvät hälytykset ja automatisoidut tutkimukset eri tuotteista tapauksiin. Microsoft Sentinel ja Defender XDR myös käynnistävät yksilöllisiä hälytyksiä toiminnoista, jotka voidaan tunnistaa haitallisiksi vain, kun otetaan huomioon yhdistetyn ympäristön päästä päähän -näkyvyys koko tuoteohjelmistossa. Tämä näkymä antaa tietoturva-analyytikoillesi laajemman hyökkäystarinan, joka auttaa heitä ymmärtämään ja käsittelemään monimutkaisia uhkia organisaatiossasi.

Tärkeää

Microsoft Sentinel on saatavilla osana yhtenäistä suojaustoimintojen ympäristöä julkisessa esikatselussa Microsoft Defender-portaalissa. Lisätietoja on microsoft Sentinel -Microsoft Defender portaalissa.

Tapausjono

Tapausjono näyttää kokoelman tapauksia, jotka on luotu eri laitteissa, käyttäjissä, postilaatikoissa ja muissa resursseissa. Se auttaa tapausten lajittelussa priorisoimaan ja luomaan tietoon perustuvan kyberturvallisuusvastauspäätöksen, jota kutsutaan tapauskolmikoksi.

Vihje

Tammikuussa 2024, kun vierailet Tapahtumat-sivulla , Defender Boxed tulee näkyviin. Defender Boxed tuo esiin organisaatiosi tietoturvan onnistumisia, parannuksia ja reagointitoimia vuonna 2023. Jos haluat avata Defender Boxedin uudelleen, siirry Microsoft Defender portaalissa kohtaan Tapaukset ja valitse sitten Puolustaja Kehystetty.

Voit siirtyä tapausjonoon kohdasta Tapaukset & hälytykset > TapauksetMicrosoft Defender portaalin pikakäynnistyksessä. Tässä on esimerkki.

Näyttökuva tapahtumat-jonosta Microsoft Defender portaalissa.

Valitse Uusimmat tapaukset ja hälytykset , jos haluat vaihtaa yläosan laajennuksen, joka näyttää aikajanakaavion vastaanotettujen ilmoitusten ja viimeisten 24 tunnin aikana luotujen tapausten määrästä.

Näyttökuva 24 tunnin tapauskaaviosta.

Tämän alla Microsoft Defender-portaalin tapausjono näyttää viimeisten kuuden kuukauden aikana näytyneet tapaukset. Uusin tapaus on luettelon yläosassa, joten näet sen ensin. Voit valita eri aikavälin valitsemalla sen yläreunan avattavasta valikosta.

Tapausjonossa on mukautettavia sarakkeita (valitse Mukauta sarakkeita), jotka antavat sinulle näkyvyyden tapahtuman eri ominaisuuksiin tai niihin entiteetteihin, joihin ongelma vaikuttaa. Tämän suodattimen avulla voit tehdä tietoon perustuvan päätöksen tapausten priorisoinnista analyysia varten.

Näyttökuva Tapaus-sivun suodattimesta ja sarakeohjausobjekteista.

Tapausten nimet

Jos haluat nähdä enemmän yhdellä silmäyksellä, Microsoft Defender XDR luo tapausten nimet automaattisesti hälytysmääritteiden, kuten niiden päätepisteiden määrän, joita asia koskee, tunnistuslähteiden tai luokkien perusteella. Tämän tietyn nimeämisen avulla voit nopeasti ymmärtää tapahtuman laajuuden.

Esimerkki: Monivaiheinen tapaus useille useiden lähteiden ilmoittamalle päätepisteelle.

Jos olet lisännyt Microsoft Sentinelin yhtenäiseen suojaustoimintojen ympäristöön, Microsoft Sentinelistä tulevien ilmoitusten ja tapausten nimet todennäköisesti muutetaan (riippumatta siitä, luotiinko ne ennen perehdytystä vai sen jälkeen).

Suosittelemme välttämään tapauksen nimen käyttämistä automaatiosääntöjen käynnistämisen ehtona. Jos tapauksen nimi on ehto ja tapahtuman nimi muuttuu, sääntöä ei käynnistetä.

Suodattimet

Tapahtumajono tarjoaa myös useita suodatusvaihtoehtoja, joiden avulla voit käyttöön otettaessa kerätä laajat tiedot kaikista ympäristössäsi olevista tapauksista tai päättää keskittyä tiettyyn skenaarioon tai uhkaan. Suodattimien käyttäminen tapausjonossa voi auttaa selvittämään, mikä tapaus edellyttää välitöntä huomiota.

Suodatinluettelon yläpuolella olevassa Suodattimet-luettelossa näkyvät käytössä olevat suodattimet.

Voit valita oletustapausjonosta Lisää suodatin , jolloin näkyviin tulee avattava Lisää suodatin -valikko, josta voit määrittää tapahtumajonoon sovellettavat suodattimet, jotka rajoittavat näytettävien tapausten joukkoa. Tässä on esimerkki.

tapahtumajonon Suodattimet-ruutu Microsoft Defender portaalissa.

Valitse käytettävät suodattimet ja valitse sitten luettelon alareunasta Lisää , jotta ne ovat käytettävissä.

Nyt valitsemasi suodattimet näkyvät yhdessä aiemmin käytettyjen suodattimien kanssa. Valitse uusi suodatin ja määritä sen ehdot. Jos valitset esimerkiksi Palvelu/tunnistamislähteet -suodattimen, valitse se ja valitse lähteet, joiden mukaan luettelo suodatetaan.

Näet myös Suodatin-ruudun valitsemalla minkä tahansa suodattimet Suodattimet-luettelosta , joka on tapahtumien luettelon yläpuolella.

Tässä taulukossa on luettelo käytettävissä olevista suodattimien nimistä.

Suodattimen nimi Kuvaus/ehdot
Tila Valitse Uusi, Käynnissä tai Ratkaistu.
Ilmoituksen vakavuus
Tapauksen vakavuus		 Hälytyksen tai tapauksen vakavuus on osoitus sen vaikutuksesta varoihisi. Mitä suurempi vakavuus, sitä suurempi vaikutus ja yleensä se vaatii välittömintä huomiota. Valitse Suuri, Normaali, Pieni tai Tiedot.
Tapausmääritys Valitse määritetty käyttäjä tai käyttäjät.
Useita palvelulähteitä Määritä, onko suodatin useammalle kuin yhdelle palvelulähteelle.
Palvelun/tunnistuksen lähteet Määritä tapaukset, jotka sisältävät ilmoituksia vähintään yhdestä seuraavista:
  • Microsoft Defender for Identity
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Endpoint
  • Microsoft Defender XDR
  • Microsoft Defender for Office 365
  • Sovellusten hallinta
  • Microsoft Entra ID -tunnuksien suojaus
  • Microsoftin tietojen menetyksen estäminen
  • Microsoft Defender for Cloud
  • Microsoft Sentinel

    Monet näistä palveluista voidaan laajentaa valikossa paljastamaan lisää tunnistuslähteiden valintoja tietyssä palvelussa.
    		•
    Tunnisteet Valitse luettelosta yksi tai useita tunnisteen nimiä.
    Useita luokkiin Määritä, onko suodatin useammalle kuin yhdelle luokalle.
    Luokat Valitse luokat, jotka keskittyvät tiettyihin taktiikoihin, tekniikoihin tai hyökkäyskomponentteihin.
    Yhteisöt Määritä resurssin nimi, kuten käyttäjä, laite, postilaatikko tai sovelluksen nimi.
    Tietojen luottamuksellisuus Joissakin hyökkäyksissä keskitytään arkaluonteisten tai arvokkaiden tietojen suodattamiseen. Käyttämällä suodatinta tietyille luottamuksellisuustunnisteille voit nopeasti selvittää, onko arkaluontoisia tietoja mahdollisesti vaarantunut, ja priorisoida näiden tapausten käsittelemisen.

    Tämä suodatin näyttää tiedot vain, kun olet käyttänyt luottamuksellisuustunnisteita Microsoft Purview Information Protection.
    Laiteryhmät Määritä laiteryhmän nimi.
    Käyttöjärjestelmän ympäristö Määritä laitteen käyttöjärjestelmät.
    Luokittelu Määritä liittyvien ilmoitusten luokitusjoukko.
    Automaattisen tutkinnan tila Määritä automatisoidun tutkimuksen tila.
    Liittyvä uhka Määritä nimetty uhka.
    Ilmoituskäytännöt Määritä ilmoituskäytännön otsikko.

    Oletussuodattimena on näyttää kaikki ilmoitukset ja tapaukset, joiden tila on Uusi ja Käynnissä ja joiden vakavuus on Suuri, Normaali tai Pieni.

    Voit poistaa suodattimen nopeasti valitsemalla X suodattimen nimestä Suodattimet-luettelosta .

    Voit myös luoda suodatinjoukkoja tapahtumat-sivulla valitsemalla Tallennetut suodatinkyselyt > Create suodatinjoukon. Jos suodatinjoukkoja ei ole luotu, luo sellainen valitsemalla Tallenna .

    Tapahtumajonon Luo suodatinjoukot -asetus Microsoft Defender portaalissa.

    Mukautettujen suodattimien tallentaminen URL-osoitteina

    Kun olet määrittänyt hyödyllisen suodattimen tapahtumat-jonossa, voit lisätä selaimen välilehden URL-osoitteen kirjanmerkkeihin tai muuten tallentaa sen linkkinä verkkosivulle, Word asiakirjaan tai haluamaasi paikkaan. Kirjanmerkkien avulla voit käyttää tapahtumajonon avainnäkymiä yhdellä napsautuksella, kuten:

    • Uudet tapaukset
    • Suuren vakavuusasteen tapaukset
    • Määrittämättömät tapaukset
    • Suuren vakavuusasteen, määrittämättömät tapaukset
    • Minulle osoitetut tapaukset
    • Minulle ja Microsoft Defender for Endpoint osoitetut tapaukset
    • Tapaukset, joilla on tietty tunniste tai tunniste
    • Tapaukset, joilla on tietty uhkaluokka
    • Tapaukset, joihin liittyy erityinen uhka
    • Tapaukset, joissa on tietty toimija

    Kun olet kääntänyt ja tallentanut hyödyllisten suodatinnäkymien luettelon URL-osoitteina, voit sen avulla käsitellä ja priorisoida jonon tapahtumat nopeasti ja hallita niitä myöhempää määritystä ja analyysia varten.

    Tapausten luettelon yläpuolella olevasta Haku nimen tai tunnuksen ruudusta voit etsiä tapauksia useilla tavoilla, jotta löydät nopeasti etsimäsi.

    Haku tapauksen nimen tai tunnuksen mukaan

    Haku suoraan tapahtumasta kirjoittamalla tapahtuman tunnuksen tai tapauksen nimen. Kun valitset tapahtuman hakutulosluettelosta, Microsoft Defender-portaali avaa tapahtuman ominaisuudet sisältävän uuden välilehden, josta voit aloittaa tutkimuksesi.

    kohderesurssien Haku

    Voit nimetä resurssin, kuten käyttäjän, laitteen, postilaatikon, sovelluksen nimen tai pilviresurssin, ja etsiä kaikki kyseiseen resurssiin liittyvät tapaukset.

    Määritä aika-alue

    Oletusarvoinen luettelo tapauksista on viimeisen puolen vuoden aikana tapahtuneet tapaukset. Voit määrittää uuden aika-alueen kalenterikuvakkeen vieressä olevasta avattavasta ruudusta valitsemalla:

    • Yksi päivä
    • Kolme päivää
    • Yksi viikko
    • 30 päivää
    • 30 päivää
    • Kuusi kuukautta
    • Mukautettu alue, jossa voit määrittää sekä päivämäärät että kellonajat

    Seuraavat vaiheet

    Kun olet määrittänyt, mikä tapaus vaatii korkeimman prioriteetin, valitse se ja:

    • Hallitse tapahtuman ominaisuuksia tunnisteille, tehtävämääritykselle, positiivisten tapausten välittömälle ratkaisulle ja kommenteille.
    • Aloita tutkimukset.

    Tutustu myös seuraaviin ohjeartikkeleihin:

    Vihje

    Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.