שתף באמצעות

ניהול אירועים Microsoft Defender

  • מאמר
  • חל על:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

ניהול מקרים הוא קריטי כדי להבטיח שניתן שם, הקצאת אירועים ותויגות כדי למטב את הזמן בזרימת העבודה של האירוע ולהכיל ול לטפל באיומים במהירות רבה יותר.

באפשרותך לנהל אירועים מתוך אירועים & אירועים > בהפעלה המהירה של פורטל Microsoft Defender (security.microsoft.com). הנה דוגמה.

צילום מסך המדגיש את אפשרות ניהול האירועים בתוך תור האירועים וחלונית ההפעלה המהירה Microsoft Defender הפורטל.

להלן הדרכים שבהן תוכל לנהל את האירועים שלך:

באפשרותך לנהל אירועים מתוך החלונית 'ניהול אירוע ' עבור מקרה. הנה דוגמה.

צילום מסך המציג את חלונית 'נהל אירוע' Microsoft Defender הפורטל.

באפשרותך להציג חלונית זו מתוך הקישור נהל מקרה ב:

  • דף הכתבה של ההתראה.
  • החלונית מאפיינים של מקרה בתור האירועים.
  • דף סיכום של מקרה.
  • האפשרות 'נהל מקרה' הממוקמת בפינה השמאלית העליונה של דף האירוע.

במקרים שבהם ברצונך להעביר התראות מתקרית אחת לאחרת, באפשרותך גם לעשות זאת מהכרטיסיה התראות, ובכך ליצור מקרה גדול או קטן יותר הכולל את כל ההתראות הרלוונטיות.

ערוך את שם האירוע

Microsoft Defender מקצה באופן אוטומטי שם בהתבסס על תכונות התראה כגון מספר נקודות הקצה המושפעות, המשתמשים המושפעים, מקורות זיהוי או קטגוריות. שם האירוע מאפשר לך להבין במהירות את היקף האירוע. לדוגמה: אירוע מרובה שלבים ב נקודות קצה מרובות שדווחו על-ידי מקורות מרובים.

באפשרותך לערוך את שם האירוע מהשדות שם אירוע בחלונית ניהול אירוע.

הערה

מקרים קיימים לפני הפריסה של תכונת מתן השמות האוטומטית לתקריות יישמרו את שמם.

הקצאה או שינוי של חומרת אירוע

באפשרותך להקצות או לשנות את חומרת האירוע מהשדות חומרה בחלוניתניהול אירוע. החומרה של אירוע נקבעת לפי החומרה הגבוהה ביותר של ההתראות המשויכות אליה. ניתן להגדיר את חומרת האירוע כ'גבוהה ', 'בינונית', 'נמוכה' או 'מידע'.

הוספת תגיות אירוע

באפשרותך להוסיף תגיות מותאמות אישית למקריות, לדוגמה כדי לסמן קבוצת אירועים כמאפיין נפוץ. מאוחר יותר תוכל לסנן את תור האירועים עבור כל האירועים המכילים תגית ספציפית.

האפשרות לבחור מתוך רשימה של תגיות שהיו בשימוש בעבר ותגיות שנבחרו מופיעה לאחר תחילת ההקלדה.

אירוע יכול לכלול תגיות מערכת ו/או תגיות מותאמות אישית עם רקעי צבע מסוימים. תגיות מותאמות אישית משתמשות ברקע הלבן בזמן שתגיות מערכת משתמשות בדרך כלל בצבעי רקע אדומים או שחורים. תגיות מערכת מזהות את הפריטים הבאים במקרה:

  • סוג של תקיפה, כגון דיוג אישורים או הונאות BEC
  • פעולות אוטומטיות, כגון חקירה ותגובה אוטומטיות והפרעה אוטומטית בתקיפה
  • מומחים של Defender מטפלים באירוע
  • נכסים קריטיים המעורבים באירוע

עצה

רשימת ניהול חשיפה לפגיעויות אבטחה של Microsoft, בהתבסס על סיווגים מוגדרים מראש, תגיות אוטומטיות של מכשירים, זהויות ומשאבי ענן כסכס קריטי. יכולת מוכללת זו מבטיחה את ההגנה על הנכסים החשובים והחשובים ביותר של הארגון. הוא גם עוזר לצוותי תפעול אבטחה לקבוע סדרי עדיפויות לחקירה ולתיקון. קבל מידע נוסף על ניהול נכסים קריטיים.

הקצאת מקרה

באפשרותך לבחור את התיבה הקצה ל ולציין את חשבון המשתמש להקצאת מקרה. כדי להקצות מחדש מקרה, הסר את חשבון המטלה הנוכחי על-ידי בחירה ב- "x" לצד שם החשבון ולאחר מכן בחר את התיבה הקצה ל. הקצאת בעלות על מקרה מקצה את אותה בעלות לכל ההתראות המשויכות אליה.

באפשרותך לקבל רשימה של אירועים שהוקצו לך על-ידי סינון תור האירועים.

  1. מתור האירועים, בחר מסננים.
  2. במקטע הקצאת אירוע, נקה את בחר הכל. בחר מוקצה לי, מוקצה למשתמש אחר או מוקצה לקבוצת משתמשים.
  3. בחר החל ולאחר מכן סגור את החלונית מסננים .

לאחר מכן תוכל לשמור את כתובת ה- URL המתווצאת בדפדפן כסימניה כדי לראות במהירות את רשימת האירועים שהוקצו לך.

פתרון מקרה

כאשר אירוע מתעדכן ומיפתר, בחר נפתרמהרשימה הנפתחת מצב. פתרון מקרה פותר גם את כל ההתראות המקושרות והפעילות הקשורות לתקרית.

בעת שינוי מצב אירוע ל'נפתר ', מוצג שדה חדש מיד לאחר השדה מצב . הזן הערה בשדה זה שמסבירה מדוע אתה מחשיב את המקרה לפתרון. הערה זו גלויה ביומן הפעילות של האירוע, ליד הערך המקליט את פתרון המקרה.

צילום מסך של לוח ניהול אירועים עם הערת פתרון אירוע.

בדף תור האירועים ובדף האירוע של מקרה שנפתר, באפשרותך לראות את הערת פתרון המקרה בלוח הצידי, במקטע פרטי אירוע.

צילום מסך של מראה הערת פתרון בלוח פרטי האירוע.

פתרון מקרה פותר גם את כל ההתראות המקושרות והפעילות הקשורות לתקרית. מקרה שאינו נפתר מוצג כפעיל.

ציין את הסיווג

בשדה סיווג, עליך לציין אם המקרה הוא:

  • לא הוגדר (ברירת המחדל).
  • חיובי אמיתי עם סוג של איום. השתמש סיווג זה עבור מקרים המציינים באופן מדויק איום אמיתי. ציון סוג האיום עוזר לצוות האבטחה שלך לראות דפוסי איומים וכיצד להגן על הארגון שלך מפניהם.
  • מידע, פעילות צפויה עם סוג של פעילות. השתמש באפשרויות בקטגוריה זו כדי לסווג אירועים עבור בדיקות אבטחה, פעילות צוות אדומה ופעולות פעולה חריגות צפויות מאפליקציות ומשתמשים מהימנים.
  • תוצאה חיובית מוטעית עבור סוגי מקרים שאתה קובע שניתן להתעלם מהם מאחר שהם מבחינה טכנית אינם מדויקים או מונות.

סיווג אירועים וציון המצב וההקלדה שלהם עוזרים לכוונן את Microsoft Defender XDR כדי לספק זיהוי טוב יותר לאורך זמן.

הוספת הערות

באפשרותך להוסיף הערות מרובות לתקריות באמצעות השדה הערה . שדה ההערה תומך בטקסט ובעיצוב, בקישורים ובתמונות. כל הערה מוגבלת ל- 30,000 תווים.

כל ההערות מתווספות לאירועים ההיסטוריים של האירוע. באפשרותך לראות את ההערות וההיסטוריה של מקרה מהקישור הערות והיסטוריהבדף סיכום.

יומן פעילות

יומן הפעילות מציג רשימה של כל ההערות והפעולות שבוצעו באירוע, הידוע כביקורות והערות. כל השינויים שבוצעו באירוע, בין אם על-ידי משתמש או על-ידי המערכת, נרשמים ביומן הפעילות. יומן הפעילות זמין מהאפשרות יומן פעילות בדף האירוע או בחלונית הצדדית של האירוע.

צילום מסך המדגיש את אפשרות יומן הפעילות מתוך דף האירוע Microsoft Defender הפורטל.

באפשרותך לסנן את הפעילויות בתוך יומן הרישום לפי הערות ופעולות. לחץ על התוכן: ביקורות, הערות ולאחר מכן בחר את סוג התוכן לסינון פעילויות. הנה דוגמה.

צילום מסך המדגיש את אפשרויות הסינון בתוך חלונית יומן הפעילות מתוך דף Microsoft Defender האירועים.

באפשרותך גם להוסיף הערות משלך באמצעות תיבת ההערה הזמינה ביומן הפעילות. תיבת ההערה מקבלת טקסט ועיצוב, קישורים ותמונות.

צילום מסך המדגיש את תיבת ההערה מתוך דף האירוע Microsoft Defender הפורטל.

ייצוא נתוני אירוע ל- PDF

חשוב

חלק מהמידע במאמר זה מתייחס למוצר שהופץ מראש, וייתכן שישתנה באופן משמעותי לפני ההפצה המסחרית שלו. Microsoft אינה מבטיחה דבר, באופן מפורש או משתמע, באשר למידע המסופק כאן.

תכונת נתוני מקרי הייצוא זמינה כעת ללקוחות פלטפורמת Microsoft Defender XDR האבטחה המאוחדת (SOC) של Microsoft עם הפלטפורמה Microsoft Copilot עבור רשיון אבטחה.

באפשרותך לייצא נתוני אירוע ל- PDF באמצעות הפונקציה 'יצא מקרה כ- PDF ' ולשמור אותם בתבנית PDF. פונקציה זו מאפשרת לצוותי אבטחה לסקור פרטי אירוע במצב לא מקוון בכל זמן נתון.

נתוני האירוע שיוצאו כוללים את המידע הבא:

להלן דוגמה של ה- PDF המיוצא:

צילום מסך של העמוד הראשון של ה- PDF המיוצא.

אם יש לך רשיון Copilot עבור אבטחה , קובץ ה- PDF המיוצא מכיל את נתוני האירועים הנו נוספים הבאים:

פונקציית הייצוא ל- PDF זמינה גם בלוח הצידי של Copilot. בעת בחירת שלוש הנקודות פעולות נוספות (...) בפינה השמאלית העליונה של כרטיס תוצאות דוח האירוע, באפשרותך לבחור יצא מקרה כ- PDF.

צילום מסך של פעולות נוספות בכרטיס תוצאות דוח המקרה.

כדי ליצור את ה- PDF, בצע את השלבים הבאים:

  1. פתח דף אירוע. בחר בשלוש הנקודות פעולות נוספות (...) בפינה השמאלית העליונה ובחר יצא מקרה כ- PDF.

    צילום מסך המדגיש את שלוש הנקודות של פעולות נוספות בדף האירוע.

  2. בתיבת הדו-שיח שמופיעה לאחר מכן, אשר את פרטי האירוע שברצונך לכלול או לא לכלול ב- PDF. כל פרטי האירועים נבחרים כברירת מחדל. בחר יצא PDF כדי להמשיך.

    צילום מסך המדגיש את אפשרות הייצוא ל- PDF.

  3. הודעת מצב המציינת את המצב הנוכחי של ההורדה מופיעה מתחת לכותרת האירוע. תהליך הייצוא עשוי להימשך מספר דקות בהתאם המורכבות של האירוע ואת כמות הנתונים שיש לייצא.

    צילום מסך המדגיש הודעת ייצוא ומצב לפני ההורדה.

  4. מופיעה תיבת דו-שיח אחרת המציינת שקובץ ה- PDF מוכן. בחר הורד מתיבת הדו-שיח כדי לשמור את ה- PDF במכשיר שלך. הודעת המצב מתחת לכותרת האירוע גם מעדזמינה כדי לציין שההורדה זמינה.

    צילום מסך המדגיש הודעת ייצוא ומצב כאשר ההורדה זמינה.

הדוח מאוחסן במטמון למשך כמה דקות. המערכת מספקת את ה- PDF שנוצר בעבר אם אתה מנסה לייצא שוב את אותו מקרה במסגרת זמן קצרה. כדי ליצור גירסה חדשה יותר של ה- PDF, המתן מספר דקות עד שתוקף המטמון יפוג.

השלבים הבאים

עבור אירועים חדשים, התחל את החקירה.

עבור אירועים בתהליך, המשך בחקירה.

עבור אירועים שנפתרו, בצע סקירה לאחר מקרה.

למידע נוסף

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.