קביעת סדרי עדיפויות של אירועים בפורטל Microsoft Defender
פלטפורמת פעולות האבטחה המאוחדת בפורטל Microsoft Defender מחילה ניתוח מתאם וצוברת התראות קשורות וחקירות אוטומטיות ממוצרים שונים במקרה. Microsoft Sentinel ו- Defender XDR מפעילים גם התראות ייחודיות על פעילויות שניתן לזהות תוכנות זדוניות רק לאור הניראות מקצה לקצה בפלטפורמה המאוחדת בכל חבילת המוצרים. תצוגה זו מספקת לאנליסטים שלך את סיפור ההתקפה הרחב יותר, מה שמסייע להם להבין טוב יותר ולה להתמודד עם איומים מורכבים ברחבי הארגון שלך.
חשוב
Microsoft Sentinel זמין כעת באופן כללי בתוך פלטפורמת פעולות האבטחה המאוחדות של Microsoft בפורטל Microsoft Defender. לקבלת מידע נוסף, ראה Microsoft Sentinel בפורטל Microsoft Defender.
תור אירועים
תור האירועים מציג אוסף של אירועים שנוצרו בין מכשירים, משתמשים, תיבות דואר ומשאבים אחרים. היא עוזרת לך למיין אירועים כדי לקבוע סדרי עדיפויות וליצור החלטה מושכלת של תגובה לאבטחת סייבר, תהליך שנקרא קביעת סדר עדיפויות של מקרים.
באפשרותך להגיע לתור האירועים מתוך אירועים & > התראות בהפעלה המהירה של פורטל Microsoft Defender. הנה דוגמה.
בחר האירועים וההתראות האחרונים כדי להחליף את מצב ההרחבה של המקטע העליון, המציג גרף ציר זמן של מספר ההתראות שהתקבלו ותקריות שנוצרו ב- 24 השעות האחרונות.
מתחתיו, תור האירועים בפורטל Microsoft Defender מציג אירועים שנצגו במהלך ששת החודשים האחרונים. באפשרותך לבחור מסגרת זמן אחרת על-ידי בחירתה מהרשימה הנפתחת בחלק העליון. האירועים מסודרים בהתאם לעדכונים האוטומטיים או הידניים האחרונים שבוצעו באירוע. באפשרותך לסדר את האירועים לפי עמודת זמן העדכון האחרון כדי להציג אירועים בהתאם לעדכונים האוטומטיים או הידניים האחרונים שבוצעו.
תור האירועים כולל עמודות הניתנות להתאמה אישית המעניקות לך ניראות למאפיינים שונים של האירוע או של הישויות המושפעות. סינון זה עוזר לך לקבל החלטה מושכלת בנוגע לתעדיפות של אירועים לצורך ניתוח. בחר התאם אישית עמודות כדי לבצע את ההתאמות האישיות הבאות בהתבסס על התצוגה המועדפת עליך:
- סמן/בטל את הסימון של העמודות שברצונך לראות בתור האירועים.
- סדר את סדר העמודות על-ידי גרירתן.
שמות אירועים
לקבלת ניראות נוספת במבט מהיר, Microsoft Defender XDR יוצר שמות אירועים באופן אוטומטי, בהתבסס על תכונות התראה כגון מספר נקודות הקצה המושפעות, המשתמשים המושפעים, מקורות זיהוי או קטגוריות. מתן שם ספציפי זה מאפשר לך להבין במהירות את היקף האירוע.
לדוגמה: אירוע מרובה שלבים ב נקודות קצה מרובות שדווחו על-ידי מקורות מרובים.
אם קלוט את Microsoft Sentinel לפלטפורמת פעולות האבטחה המאוחדת, ייתכן שהשמות של Microsoft Sentinel יבוצעו בהתראות ובתקריות שמגיעות מ- Microsoft Sentinel (בין אם הם נוצרו לפני או מאז הצירוף).
מומלץ להימנע משימוש בשם האירוע כתנה להפעלת כללי אוטומציה. אם שם האירוע הוא תנאי, שם האירוע משתנה, הכלל לא יופעל.
מסננים
תור האירועים מספק גם אפשרויות סינון מרובות, אשר בעת ההחלה מאפשר לך לבצע ניקוי רחב של כל האירועים הקיימים בסביבה שלך, או להחליט להתמקד בתרחיש או באיומים ספציפיים. החלת מסננים בתור האירועים יכולה לעזור לקבוע איזה מקרה דורש תשומת לב מיידית.
הרשימה מסננים מעל רשימת האירועים מציגה את המסננים המוחלים כעת.
מתור האירועים המהווה ברירת מחדל, באפשרותך לבחור הוסף מסנן כדי לראות את הרשימה הנפתחת הוסף מסנן, שממנה תציין מסננים להחלה על תור האירועים כדי להגביל את קבוצת האירועים המוצגים. הנה דוגמה.
בחר את המסננים שבהם ברצונך להשתמש ולאחר מכן בחר הוסף בחלק התחתון של הרשימה כדי להפוך אותם לזמינים.
כעת המסננים שבחרת מוצגים יחד עם המסננים המוחלים הקיימים. בחר את המסנן החדש כדי לציין את התנאים שלו. לדוגמה, אם בחרת במסנן "מקורות שירות/זיהוי", בחר אותו כדי לבחור את המקורות שלעיל יש לסנן את הרשימה.
באפשרותך גם לראות את החלונית סינון על-ידי בחירת אחד מהמסנןים ברשימה מסננים מעל רשימת האירועים.
טבלה זו מפרטת את שמות המסננים הזמינים.
שם מסנן | תיאור/תנאים |
---|---|
מצב | בחר חדש, מתבצע או נפתר. |
חומרת התראה חומרת אירוע |
החומרה של התראה או אירוע מציינת את ההשפעה שהיא יכולה להשפיע על הנכסים שלך. ככל שהחומרה גבוהה יותר, כך ההשפעה גדולה יותר ובדרך כלל מחייבת את תשומת הלב המיידית ביותר. בחר גבוהה, בינונית, נמוכה או מידע. |
הקצאת אירוע | בחר את המשתמש או המשתמשים שהוקצו. |
מקורות שירות מרובים | ציין אם המסנן מיועד ליותר ממקור שירות אחד. |
מקורות שירות/זיהוי | ציין מקרים המכילים התראות מתוך אחת או יותר מהפעולות הבאות: רבים מהשירותים הללו עשויים להיות מורחבים בתפריט כדי לחשוף אפשרויות נוספות של מקורות זיהוי בתוך שירות נתון. |
תגיות | בחר שם תג אחד או יותר מהרשימה. |
קטגוריה מרובה | ציין אם המסנן מיועד ליותר מקטגוריה אחת. |
קטגוריות | בחר קטגוריות כדי להתמקד בטקטיקות, בטכניקות או ברכיבי התקפה ספציפיים שיוצגו. |
ישויות | ציין שם של נכס כגון משתמש, מכשיר, תיבת דואר או שם יישום. |
רגישות נתונים | התקפות מסוימות מתמקדות במיקוד כדי לחדור לנתונים רגישים או בעלי ערך. על-ידי החלת מסנן עבור תוויות רגישות ספציפיות, באפשרותך לקבוע במהירות אם מידע רגיש נחשף לסכנה ולקבוע סדר עדיפויות לטפל באירועים אלה. מסנן זה מציג מידע רק לאחר החלת תוויות רגישות מתוך Microsoft Purview Information Protection. |
קבוצות מכשירים | ציין שם קבוצת מכשירים . |
פלטפורמת מערכת ההפעלה | ציין מערכות הפעלה של מכשירים. |
מיון | ציין את קבוצת הסיווגים של ההתראות הקשורות. |
מצב חקירה אוטומטית | ציין את מצב החקירה האוטומטית. |
איום משויך | ציין איום בעל שם. |
פריטי מדיניות התראה | ציין כותרת של מדיניות התראה. |
הצג התראה על זהות מנוי | ציין התראה בהתבסס על מזהה מנוי. |
מסנן ברירת המחדל הוא להציג את כל ההתראות והתקריות במצב 'חדש' ו'מתבצע' ובחומרת חומרה של 'גבוה', 'בינוני' או 'נמוך'.
באפשרותך להסיר מסנן במהירות על-ידי בחירת ה- X בשם של מסנן ברשימה מסננים .
באפשרותך גם ליצור ערכות מסנן בתוך דף האירועים על-ידי בחירת שאילתות מסנן שנשמרו צור > ערכת מסננים. אם לא נוצרו ערכות מסננים, בחר שמור כדי ליצור ערכות סינון.
הערה
לקוחות XDR של Microsoft Defender יכולים כעת לסנן אירועים עם התראות שבהן מכשיר שנחשף לסכנה מתקשר עם מכשירי טכנולוגיה תפעולית (OT) המחוברים לרשת הארגונית באמצעות שילוב גילוי המכשירים של Microsoft Defender עבור IoT ו- Microsoft Defender for Endpoint. כדי לסנן אירועים אלה, בחר באפשרות כלשהו במקורות השירות/הזיהוי ולאחר מכן בחר Microsoft Defender for IoT בשם המוצר או ראה חקירת אירועים והתראות ב- Microsoft Defender for IoT בפורטל Defender. באפשרותך גם להשתמש בקבוצות מכשירים כדי לסנן התראות ספציפיות לאתר. לקבלת מידע נוסף על הדרישות המוקדמות של Defender עבור IoT, ראה תחילת העבודה עם ניטור IoT ארגוני ב- Microsoft Defender XDR.
שמירת מסננים מותאמים אישית ככתובות URL
לאחר קביעת התצורה של מסנן שימושי בתור האירועים, באפשרותך לסמן את כתובת ה- URL של כרטיסיית הדפדפן בסימניה או לשמור אותה באופן אחר כקישור בדף אינטרנט, במסמך Word או כמקום שתבחר. יצירת סימניות מעניקה לך גישה בלחיצה אחת לתצוגות עיקריות של תור האירועים, כגון:
- אירועים חדשים
- תקריות ברמת חומרה גבוהה
- אירועים שלא הוקנו
- אירועים ברמת חומרה גבוהה, ללא הקצאה
- אירועים שהוקצו לי
- אירועים שהוקצו לי ול- Microsoft Defender עבור נקודת קצה
- מקרים עם תגית או תגית ספציפית
- מקרים עם קטגוריית איום ספציפית
- מקרים עם איום משויך ספציפי
- אירועים עם שחקן ספציפי
לאחר שתבצע הידור ואחסון של רשימת תצוגות מסנן שימושיות ככתובות URL, השתמש בה כדי לעבד ולתעדף במהירות את האירועים בתור שלך ולנהל אותם עבור ההקצאה והניתוח הבאים.
חיפוש
מהתיבה חפש שם או מזהה מעל רשימת האירועים, באפשרותך לחפש אירועים במספר דרכים, כדי למצוא במהירות את מה שאתה מחפש.
חפש לפי שם מקרה או מזהה
חפש אירוע ישירות על-ידי הקלדת מזהה האירוע או שם האירוע. בעת בחירת מקרה מתוך רשימת תוצאות החיפוש, פורטל Microsoft Defender פותח כרטיסיה חדשה עם מאפייני האירוע, שממנה תוכל להתחיל בחקירה.
חיפוש לפי נכסים מושפעים
באפשרותך לבחור נכס - כגון משתמש, מכשיר, תיבת דואר, שם יישום או משאב בענן – ולחפש את כל האירועים הקשורים הנכס.
ציון טווח זמן
רשימת האירועים המהווה ברירת מחדל מיועדת לאלה שהתרחשו במהלך ששת החודשים האחרונים. באפשרותך לציין טווח זמן חדש מהתיבה הנפתחת לצד סמל לוח השנה על-ידי בחירת:
- יום אחד
- שלושה ימים
- שבוע אחד
- 30 יום
- 30 יום
- שישה חודשים
- טווח מותאם אישית שבו באפשרותך לציין הן תאריכים והן שעות
השלבים הבאים
לאחר שתקבע איזה מקרה דורש את העדיפות הגבוהה ביותר, בחר אותו ולאחר מכן:
- נהל את מאפייני האירוע עבור תגיות, הקצאה, פתרון מיידי עבור אירועים חיוביים מוטעים והערות.
- התחל בחקירות שלך.
למידע נוסף
עצה
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.