Jaa

Tapausten ja hälytysten tarkasteleminen ja hallinta Microsoft Defender monitoimihallinnassa

  • Koskee seuraavia:: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Usean vuokraajan hallinta Microsoft Defender XDR ja Microsoft Sentinel Defender-portaalissa mahdollistaa sen, että suojaustoimintokeskuksen (SOC) analyytikot voivat käyttää ja analysoida tietoja useista vuokraajista ja työtiloista yhdessä paikassa, jolloin he voivat nopeasti tunnistaa uhat ja vastata niihin. Suojaustietojen ja tapahtumien hallinnan (SIEM) sekä vuokralaisten laajennetun tunnistuksen ja vastauksen (XDR) tiedot, jotka toivat Microsoft Sentinel työtilan Defender-ympäristöön.

Hallitse tapauksia, & hälytyksiä, jotka ovat peräisin useista vuokraajista ja työtiloista kohdassa Tapaukset & hälytykset.

Tapahtumien tarkasteleminen ja tutkiminen

Tapahtuman tarkasteleminen tai tutkiminen:

  1. Siirry Microsoft Defender usean kohteen hallinnan Tapaukset-sivulle. Vuokraajan nimi ja Työtilat-sarakkeet näyttävät, mistä vuokraajasta tapaus on peräisin:

    Näyttökuva usean tapauksen Microsoft Defender sivusta.

  2. Valitse tapaus, jota haluat tarkastella. Näyttöön avautuu pikaikkuna, jossa on tapahtuman tietoruutu, jossa voit:

    • Valitse Avaa tapaus -sivu, jos haluat tarkastella tätä tapausta tietyn vuokraajan uudessa välilehdessä Microsoft Defender portaalissa.
    • Määritä tapahtuma valitsemalla Hallitse tapausta , määritä tapahtumatunnisteet, määritä tapahtuman tila ja luokittele tapaus.

Lisätietoja on artikkelissa Tapausten tutkiminen.

Useiden tapausten hallinta

Tapausten hallinta useissa vuokraajissa ja työtiloissa:

  1. Siirry Microsoft Defender usean kohteen hallinnan Tapaukset-sivulle.

  2. Valitse tapahtumat, joita haluat hallita, tapahtumat-luettelosta ja valitse Tapausten hallinta.

    Näyttökuva, joka korostaa tapausten hallintavaihtoehdon tapahtumat-sivulla Microsoft Defender monitahtihallinnassa.

Tapausten pikaikkunaruudussa voit määrittää tapauksia, määrittää tapahtumatunnisteita, määrittää tapahtuman tilan ja luokitella useita tapauksia useille vuokraajille samanaikaisesti.

Huomautus

Tällä hetkellä voit määrittää vain useita tapauksia samasta vuokraajasta.

Lisätietoja tapauksista Microsoft Defender portaalissa on artikkelissa Tapausten hallinta.

Ilmoitusten tarkasteleminen ja tutkiminen

Ilmoituksen tarkasteleminen tai tutkiminen:

  1. Siirry useiden mittarien hallinnan Ilmoitukset-sivulle ja valitse näytettävä ilmoitus. Näyttöön avautuu pikaikkuna, jossa on ilmoituksen tietosivu:

    Näyttökuva ilmoituksen tietosivusta Microsoft Defender usean kohteen hallinnassa.

  2. Voit tehdä seuraavat toiminnot ilmoitusten tietoruudussa:

    • Valitse toimintoja, kuten Avaa ilmoitukset -sivu, Siirrä ilmoitus toiseen tapahtumaan ja Hienosäädä ilmoitusta, jos haluat tarkastella tätä ilmoitusta tietyn vuokraajan uudessa välilehdessä Microsoft Defender portaalissa.
    • Määritä ilmoitus valitsemalla Hallitse ilmoitusta , määritä hälytyksen tila ja luokittele ilmoitus.

Lisätietoja on artikkelissa Ilmoitusten tutkiminen.

Useiden ilmoitusten hallinta

Ilmoitusten hallinta useissa vuokraajissa ja työtiloissa:

  1. Siirry Microsoft Defender usean kohteen hallinnan Ilmoitukset-sivulle.

  2. Valitse ilmoitusluettelosta hälytykset, joita haluat hallita, ja valitse Ilmoitusten hallinta.

    Näyttökuva, joka korostaa valittujen ilmoitusten Hallinta-vaihtoehdon Microsoft Defender usean kohteen hallinnassa.

Ilmoitusten hallinta -ruudun avulla voit määrittää ilmoituksen tilan, määrittää ilmoituksia, määrittää luokituksia ja lisätä kommentteja useille ilmoituksille samanaikaisesti. Vaikka ilmoitusten tila, luokitukset ja kommentit voidaan lisätä vuokraajien kesken, ilmoitusten määrittäminen voidaan tehdä vain saman vuokraajan hälytyksille.

Lisätietoja on kohdassa Ilmoitusten hallinta.

Ilmoitusten siirtäminen

Siirrä ilmoitus toiseen tapahtumaan, jotta voit paremmin järjestää ja korreloida liittyviä suojaustapahtumia. Saatat esimerkiksi huomata, että useat hälytykset ovat osa samaa suojausrikkomusta, ja haluat sisällyttää ne kaikki samaan tapahtumaan. Näin varmistetaan, että kaikki olennaiset tiedot on ryhmitelty yhteen, mikä mahdollistaa tehokkaamman tutkimuksen ja reagoinnin.

Yhden tai useamman ilmoituksen siirtäminen:

  • Valitse Ilmoitukset-sivulla vähintään yksi ilmoitus ja valitse sitten Siirrä ilmoitukset
  • Valitse ilmoituksen tietoruudussa tai ilmoituksen tietosivulla Siirrä ilmoitus toiseen tapahtumaan

Määritä Siirrä ilmoitus toiseen tapaus -ruudussa, haluatko luoda uuden tapahtuman vai käyttää olemassa olevaa tapausta. Jos päätät käyttää olemassa olevaa tapausta, etsi tapaus nimen tai tunnuksen mukaan ja lisää muutoksen syy. Lisää kaikissa tapauksissa muutosta kuvaava kommentti, ennen kuin valitset Tallenna.

Aiheeseen liittyvä sisältö

  • Last updated on