קביעת סדרי עדיפויות של אירועים Microsoft Defender הפורטל
פלטפורמת פעולות האבטחה המאוחדת בפורטל Microsoft Defender מחילה ניתוח מתאם וצוברת התראות קשורות וחקירות אוטומטיות ממוצרים שונים במקרה. Microsoft Sentinel ו- Defender XDR גם מפעילים התראות ייחודיות על פעילויות שניתן לזהות תוכנות זדוניות רק לאור הניראות מקצה לקצה בפלטפורמה המאוחדת בכל חבילת המוצרים. תצוגה זו מספקת לאנליסטים שלך את סיפור ההתקפה הרחב יותר, מה שמסייע להם להבין טוב יותר ולה להתמודד עם איומים מורכבים ברחבי הארגון שלך.
חשוב
Microsoft Sentinel זמינה בדרך כלל בתוך פלטפורמת פעולות האבטחה המאוחדות של Microsoft בפורטל Microsoft Defender של Microsoft. לתצוגה מקדימה, Microsoft Sentinel זמין בפורטל Defender ללא Microsoft Defender XDR או רשיון E5. לקבלת מידע נוסף, Microsoft Sentinel ראה Microsoft Defender הפורטל.
תור האירועים מציג אוסף של אירועים שנוצרו בין מכשירים, משתמשים, תיבות דואר ומשאבים אחרים. היא עוזרת לך למיין אירועים כדי לקבוע סדרי עדיפויות וליצור החלטה מושכלת של תגובה לאבטחת סייבר, תהליך שנקרא קביעת סדר עדיפויות של מקרים.
באפשרותך להגיע לתור האירועים מתוך אירועים & אירועים > בהפעלה המהירה של Microsoft Defender הפורטל. הנה דוגמה.
בחר האירועים וההתראות האחרונים כדי להחליף את מצב ההרחבה של המקטע העליון, המציג גרף ציר זמן של מספר ההתראות שהתקבלו ותקריות שנוצרו ב- 24 השעות האחרונות.
מתחתיו, תור האירועים Microsoft Defender מציג אירועים שנצגו במהלך ששת החודשים האחרונים. באפשרותך לבחור מסגרת זמן אחרת על-ידי בחירתה מהרשימה הנפתחת בחלק העליון. האירועים מסודרים בהתאם לעדכונים האוטומטיים או הידניים האחרונים שבוצעו באירוע. באפשרותך לסדר את האירועים לפי עמודת זמן העדכון האחרון כדי להציג אירועים בהתאם לעדכונים האוטומטיים או הידניים האחרונים שבוצעו.
תור האירועים כולל עמודות הניתנות להתאמה אישית המעניקות לך ניראות למאפיינים שונים של האירוע או של הישויות המושפעות. סינון זה עוזר לך לקבל החלטה מושכלת בנוגע לתעדיפות של אירועים לצורך ניתוח. בחר התאם אישית עמודות כדי לבצע את ההתאמות האישיות הבאות בהתבסס על התצוגה המועדפת עליך:
- סמן/בטל את הסימון של העמודות שברצונך לראות בתור האירועים.
- סדר את סדר העמודות על-ידי גרירתן.
לקבלת ניראות נוספת במבט מהיר, Microsoft Defender XDR יוצר שמות אירועים באופן אוטומטי, בהתבסס על תכונות התראה כגון מספר נקודות הקצה המושפעות, המשתמשים המושפעים, מקורות זיהוי או קטגוריות. מתן שם ספציפי זה מאפשר לך להבין במהירות את היקף האירוע.
לדוגמה: אירוע מרובה שלבים ב נקודות קצה מרובות שדווחו על-ידי מקורות מרובים.
אם צירוף Microsoft Sentinel לפלטפורמות פעולות האבטחה המאוחדות, ייתכן שהשמות של כל ההתראות ותקריות שמגיעים מ- Microsoft Sentinel ישתנו את שמותיהם (בין אם הם נוצרו לפני או מאז הצירוף).
מומלץ להימנע משימוש בשם האירוע כתנה להפעלת כללי אוטומציה. אם שם האירוע הוא תנאי, שם האירוע משתנה, הכלל לא יופעל.
תור האירועים מספק גם אפשרויות סינון מרובות, אשר בעת ההחלה מאפשר לך לבצע ניקוי רחב של כל האירועים הקיימים בסביבה שלך, או להחליט להתמקד בתרחיש או באיומים ספציפיים. החלת מסננים בתור האירועים יכולה לעזור לקבוע איזה מקרה דורש תשומת לב מיידית.
הרשימה מסננים מעל רשימת האירועים מציגה את המסננים המוחלים כעת.
מתור האירועים המהווה ברירת מחדל, באפשרותך לבחור הוסף מסנן כדי לראות את הרשימה הנפתחת הוסף מסנן, שממנה תציין מסננים להחלה על תור האירועים כדי להגביל את קבוצת האירועים המוצגים. הנה דוגמה.
בחר את המסננים שבהם ברצונך להשתמש ולאחר מכן בחר הוסף בחלק התחתון של הרשימה כדי להפוך אותם לזמינים.
כעת המסננים שבחרת מוצגים יחד עם המסננים המוחלים הקיימים. בחר את המסנן החדש כדי לציין את התנאים שלו. לדוגמה, אם בחרת במסנן "מקורות שירות/זיהוי", בחר אותו כדי לבחור את המקורות שלעיל יש לסנן את הרשימה.
באפשרותך גם לראות את החלונית סינון על-ידי בחירת אחד מהמסנןים ברשימה מסננים מעל רשימת האירועים.
טבלה זו מפרטת את שמות המסננים הזמינים.
שם מסנן | תיאור/תנאים |
---|---|
מצב | בחר חדש, מתבצע או נפתר. |
חומרת התראה חומרת אירוע |
החומרה של התראה או אירוע מציינת את ההשפעה שהיא יכולה להשפיע על הנכסים שלך. ככל שהחומרה גבוהה יותר, כך ההשפעה גדולה יותר ובדרך כלל מחייבת את תשומת הלב המיידית ביותר. בחר גבוהה, בינונית, נמוכה או מידע. |
הקצאת אירוע | בחר את המשתמש או המשתמשים שהוקצו. |
מקורות שירות מרובים | ציין אם המסנן מיועד ליותר ממקור שירות אחד. |
מקורות שירות/זיהוי | ציין מקרים המכילים התראות מתוך אחת או יותר מהפעולות הבאות: רבים מהשירותים הללו עשויים להיות מורחבים בתפריט כדי לחשוף אפשרויות נוספות של מקורות זיהוי בתוך שירות נתון. |
תגיות | בחר שם תג אחד או יותר מהרשימה. |
קטגוריה מרובה | ציין אם המסנן מיועד ליותר מקטגוריה אחת. |
קטגוריות | בחר קטגוריות כדי להתמקד בטקטיקות, בטכניקות או ברכיבי התקפה ספציפיים שיוצגו. |
ישויות | ציין שם של נכס כגון משתמש, מכשיר, תיבת דואר או שם יישום. |
רגישות נתונים | התקפות מסוימות מתמקדות במיקוד כדי לחדור לנתונים רגישים או בעלי ערך. על-ידי החלת מסנן עבור תוויות רגישות ספציפיות, באפשרותך לקבוע במהירות אם מידע רגיש נחשף לסכנה ולקבוע סדר עדיפויות לטפל באירועים אלה. מסנן זה מציג מידע רק לאחר שהחלת תוויות רגישות הגנה על מידע ב- Microsoft Purview. |
קבוצות מכשירים | ציין שם קבוצת מכשירים . |
פלטפורמת מערכת ההפעלה | ציין מערכות הפעלה של מכשירים. |
מיון | ציין את קבוצת הסיווגים של ההתראות הקשורות. |
מצב חקירה אוטומטית | ציין את מצב החקירה האוטומטית. |
איום משויך | ציין איום בעל שם. |
פריטי מדיניות התראה | ציין כותרת של מדיניות התראה. |
הצג התראה על זהות מנוי | ציין התראה בהתבסס על מזהה מנוי. |
מסנן ברירת המחדל הוא להציג את כל ההתראות והתקריות במצב 'חדש' ו'מתבצע' ובחומרת חומרה של 'גבוה', 'בינוני' או 'נמוך'.
באפשרותך להסיר מסנן במהירות על-ידי בחירת ה- X בשם של מסנן ברשימה מסננים .
באפשרותך גם ליצור ערכות מסנן בתוך דף האירועים על-ידי בחירת שאילתות מסנן שנשמרו צור > ערכת מסננים. אם לא נוצרו ערכות מסננים, בחר שמור כדי ליצור ערכות סינון.
הערה
Microsoft Defender XDR יכולים כעת לסנן אירועים עם התראות שבהן מכשיר שנחשף לסכנה מתקשר עם מכשירי טכנולוגיה תפעולית (OT) המחוברים לרשת הארגונית באמצעות שילוב גילוי המכשירים של Microsoft Defender עבור IoT ו- Microsoft Defender עבור נקודת קצה. כדי לסנן אירועים אלה, בחר באפשרות כלשהו במקורות השירות/זיהוי ולאחר מכן בחר Microsoft Defender עבור IoT בשם המוצר או ראה חקירת אירועים והתראות ב- Microsoft Defender עבור IoT בפורטל Defender. באפשרותך גם להשתמש בקבוצות מכשירים כדי לסנן התראות ספציפיות לאתר. לקבלת מידע נוסף אודות הדרישות המוקדמות של Defender for IoT, ראה תחילת העבודה עם ניטור IoT ארגוני ב- Microsoft Defender XDR.
לאחר קביעת התצורה של מסנן שימושי בתור תקריות, באפשרותך לסמן את כתובת ה- URL של כרטיסיית הדפדפן בסימניה או לשמור אותה כקישור בדף אינטרנט, במסמך Word או כמקום שתבחר. יצירת סימניות מעניקה לך גישה בלחיצה אחת לתצוגות עיקריות של תור האירועים, כגון:
- אירועים חדשים
- תקריות ברמת חומרה גבוהה
- אירועים שלא הוקנו
- אירועים ברמת חומרה גבוהה, ללא הקצאה
- אירועים שהוקצו לי
- אירועים שהוקצו לי ול- Microsoft Defender עבור נקודת קצה
- מקרים עם תגית או תגית ספציפית
- מקרים עם קטגוריית איום ספציפית
- מקרים עם איום משויך ספציפי
- אירועים עם שחקן ספציפי
לאחר שתבצע הידור ואחסון של רשימת תצוגות מסנן שימושיות ככתובות URL, השתמש בה כדי לעבד ולתעדף במהירות את האירועים בתור שלך ולנהל אותם עבור ההקצאה והניתוח הבאים.
מהתיבה חפש שם או מזהה מעל רשימת האירועים, באפשרותך לחפש אירועים במספר דרכים, כדי למצוא במהירות את מה שאתה מחפש.
חפש אירוע ישירות על-ידי הקלדת מזהה האירוע או שם האירוע. בעת בחירת מקרה מתוך רשימת תוצאות החיפוש, פורטל Microsoft Defender פותח כרטיסיה חדשה עם מאפייני האירוע, שממנה תוכל להתחיל בחקירה.
באפשרותך לבחור נכס - כגון משתמש, מכשיר, תיבת דואר, שם יישום או משאב בענן – ולחפש את כל האירועים הקשורים הנכס.
רשימת האירועים המהווה ברירת מחדל מיועדת לאלה שהתרחשו במהלך ששת החודשים האחרונים. באפשרותך לציין טווח זמן חדש מהתיבה הנפתחת לצד סמל לוח השנה על-ידי בחירת:
- יום אחד
- שלושה ימים
- שבוע אחד
- 30 יום
- 30 יום
- שישה חודשים
- טווח מותאם אישית שבו באפשרותך לציין הן תאריכים והן שעות
לאחר שתקבע איזה מקרה דורש את העדיפות הגבוהה ביותר, בחר אותו ולאחר מכן:
- נהל את מאפייני האירוע עבור תגיות, הקצאה, פתרון מיידי עבור אירועים חיוביים מוטעים והערות.
- התחל בחקירות שלך.
טיפ
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.