הערה
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות להיכנס או לשנות מדריכי כתובות.
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות לשנות מדריכי כתובות.
הפורטל Microsoft Defender מחיל ניתוח מתאם וצובר התראות קשורות וחקירות אוטומטיות ממוצרים שונים במקרה. Microsoft Sentinel ו- Defender XDR גם מפעילים התראות ייחודיות על פעילויות שניתן לזהות תוכנות זדוניות רק לאור הניראות מקצה לקצה בפלטפורמה המאוחדת בכל חבילת המוצרים. תצוגה זו מספקת לאנליסטים שלך את סיפור ההתקפה הרחב יותר, מה שמסייע להם להבין טוב יותר ולה להתמודד עם איומים מורכבים ברחבי הארגון שלך.
חשוב
Microsoft Sentinel זמין בדרך כלל בפורטל Microsoft Defender, עם או בלי רשיון Microsoft Defender XDR או E5. לקבלת מידע נוסף, Microsoft Sentinel ראה Microsoft Defender הפורטל.
תור אירועים
תור האירועים מציג אוסף של אירועים שנוצרו בין מכשירים, משתמשים, תיבות דואר ומשאבים אחרים. היא עוזרת לך למיין אירועים כדי לקבוע סדרי עדיפויות וליצור החלטה מושכלת של תגובה לאבטחת סייבר, תהליך שנקרא קביעת סדר עדיפויות של מקרים.
באפשרותך להגיע לתור האירועים מתוך אירועים & אירועים > בהפעלה המהירה של Microsoft Defender הפורטל. הנה דוגמה.
בחר האירועים וההתראות האחרונים כדי להחליף את מצב ההרחבה של המקטע העליון, המציג גרף ציר זמן של מספר ההתראות שהתקבלו ותקריות שנוצרו ב- 24 השעות האחרונות.
מתחתיו, תור האירועים Microsoft Defender מציג אירועים שנצגו במהלך ששת החודשים האחרונים. באפשרותך לבחור מסגרת זמן אחרת על-ידי בחירתה מהרשימה הנפתחת בחלק העליון. האירועים מסודרים בהתאם לעדכונים האוטומטיים או הידניים האחרונים שבוצעו באירוע. באפשרותך לסדר את האירועים לפי עמודת זמן העדכון האחרון כדי להציג אירועים בהתאם לעדכונים האוטומטיים או הידניים האחרונים שבוצעו. באפשרותך גם למצוא את המספר הכולל של אירועים בתור המצוינים לצד סרגל החיפוש. המספר הכולל של האירועים משתנה בהתאם המסננים שבהם נעשה שימוש בתור.
תור האירועים כולל עמודות הניתנות להתאמה אישית המעניקות לך ניראות למאפיינים שונים של האירוע או של הישויות המושפעות. סינון זה עוזר לך לקבל החלטה מושכלת בנוגע לתעדיפות של אירועים לצורך ניתוח. בחר התאם אישית עמודות כדי לבצע את ההתאמות האישיות הבאות בהתבסס על התצוגה המועדפת עליך:
- סמן/בטל את הסימון של העמודות שברצונך לראות בתור האירועים.
- סדר את סדר העמודות על-ידי גרירתן.
התכונה ייצוא מאפשרת לך לייצא את הנתונים בתור האירועים המוצגים בהתאם לסינון ולטווחי הזמן שהוחלו. היא זמינה בתבנית של לחצן בשם Export, כפי שמוצג בצילום המסך הבא:
בעת לחיצה על לחצן ייצוא, הנתונים מיוצאים לקובץ CSV. באפשרותך להחיל מסננים וטווחי זמן שונים על תור האירועים (לא רק בהקשר של ייצוא הנתונים, אלא בהקשר כללי). בעת בחירת ייצוא, המסננים ו/או טווחי הזמן המוחלים על תור האירועים, נתונים אלה מיוצאים לקובץ ה- CSV.
לאחר ייצוא הנתונים הקשורים לתור של האירועים לקובץ ה- CSV, תוכל לנתח את הנתונים ולסנן אותם עוד יותר, בהתאם לדרישותיך.
הערה
מספר הרשומות המרבי שניתן לייצא לקובץ CSV הוא 10,000.
שמות אירועים
לקבלת ניראות נוספת במבט מהיר, Microsoft Defender XDR יוצר שמות אירועים באופן אוטומטי, בהתבסס על תכונות התראה כגון מספר נקודות הקצה המושפעות, המשתמשים המושפעים, מקורות זיהוי או קטגוריות. מתן שם ספציפי זה מאפשר לך להבין במהירות את היקף האירוע.
לדוגמה: אירוע מרובה שלבים ב נקודות קצה מרובות שדווחו על-ידי מקורות מרובים.
אם צירוף Microsoft Sentinel לפורטל Defender, התראות ותקריות שמגיעות מ- Microsoft Sentinel ישתנו (בין אם הם נוצרו לפני או מאז הצירוף).
מומלץ להימנע משימוש בשם האירוע כתנה להפעלת כללי אוטומציה. אם שם האירוע הוא תנאי, שם האירוע משתנה, הכלל לא יופעל.
Defender Boxed
למשך זמן מוגבל במהלך ינואר ויולי של כל שנה, Defender Boxed מופיע באופן אוטומטי כאשר אתה פותח לראשונה את תור האירועים. Defender Boxed מדגיש את הצלחת האבטחה, השיפורים ופעולות התגובה של הארגון במהלך ששת החודשים או השנה קלנדרית הקודמים.
הערה
Defender Boxed זמין רק למשתמשים שביצעו פעילויות ישימות בפורטל Microsoft Defender הרלוונטי.
באפשרותך לבצע את הפעולות הבאות בסדרת הכרטיסים המופיעים ב- Defender Boxed:
הורד סיכום מפורט של ההישגים שלך שניתן לשתף עם אנשים אחרים בארגון שלך.
שנה את התדירות של תדירות המראה של Defender Boxed. באפשרותך לבחור בין פעם אחת (בכל חודש ינואר) או פעמיים (מדי ינואר ויולי) בשנה.
שתף את ההישג שלך ברשתות מדיה חברתית, בדואר אלקטרוני ובפורומים אחרים על-ידי שמירת השקופית כתמונה.
כדי לפתוח מחדש את Defender Boxed, עבור אל תור האירועים ולאחר מכן בחר ה- Defender Boxed בצד השמאלי של החלונית.
מסננים
תור האירועים מספק גם אפשרויות סינון מרובות, אשר בעת ההחלה מאפשר לך לבצע ניקוי רחב של כל האירועים הקיימים בסביבה שלך, או להחליט להתמקד בתרחיש או באיומים ספציפיים. החלת מסננים בתור האירועים יכולה לעזור לקבוע איזה מקרה דורש תשומת לב מיידית.
הרשימה מסננים מעל רשימת האירועים מציגה את המסננים המוחלים כעת.
מתור האירועים המהווה ברירת מחדל, באפשרותך לבחור הוסף מסנן כדי לראות את הרשימה הנפתחת הוסף מסנן, שממנה תציין מסננים להחלה על תור האירועים כדי להגביל את קבוצת האירועים המוצגים. הנה דוגמה.
בחר את המסננים שבהם ברצונך להשתמש ולאחר מכן בחר הוסף בחלק התחתון של הרשימה כדי להפוך אותם לזמינים.
כעת המסננים שבחרת מוצגים יחד עם המסננים המוחלים הקיימים. בחר את המסנן החדש כדי לציין את התנאים שלו. לדוגמה, אם בחרת במסנן "מקורות שירות/זיהוי", בחר אותו כדי לבחור את המקורות שלעיל יש לסנן את הרשימה.
באפשרותך גם לראות את החלונית סינון על-ידי בחירת אחד מהמסנןים ברשימה מסננים מעל רשימת האירועים.
טבלה זו מפרטת את שמות המסננים הזמינים.
| שם מסנן | תיאור/תנאים |
|---|---|
| מצב | בחר חדש, מתבצע או נפתר. |
|
חומרת התראה חומרת אירוע |
החומרה של התראה או אירוע מציינת את ההשפעה שהיא יכולה להשפיע על הנכסים שלך. ככל שהחומרה גבוהה יותר, כך ההשפעה גדולה יותר ובדרך כלל מחייבת את תשומת הלב המיידית ביותר. בחר גבוהה, בינונית, נמוכה או מידע. |
| הקצאת אירוע | בחר את המשתמש או המשתמשים שהוקצו. |
| מקורות שירות מרובים | ציין אם המסנן מיועד ליותר ממקור שירות אחד. |
| מקורות שירות/זיהוי | ציין מקרים המכילים התראות מתוך אחת או יותר מהפעולות הבאות: רבים מהשירותים הללו עשויים להיות מורחבים בתפריט כדי לחשוף אפשרויות נוספות של מקורות זיהוי בתוך שירות נתון. |
| תגיות | בחר שם תג אחד או יותר מהרשימה. |
| קטגוריה מרובה | ציין אם המסנן מיועד ליותר מקטגוריה אחת. |
| קטגוריות | בחר קטגוריות כדי להתמקד בטקטיקות, בטכניקות או ברכיבי התקפה ספציפיים שיוצגו. |
| ישויות | ציין שם של נכס כגון משתמש, מכשיר, תיבת דואר או שם יישום. |
| רגישות נתונים | התקפות מסוימות מתמקדות במיקוד כדי לחדור לנתונים רגישים או בעלי ערך. על-ידי החלת מסנן עבור תוויות רגישות ספציפיות, באפשרותך לקבוע במהירות אם מידע רגיש נחשף לסכנה ולקבוע סדר עדיפויות לטפל באירועים אלה. מסנן זה מציג מידע רק לאחר שהחלת תוויות רגישות הגנה על מידע ב- Microsoft Purview. |
| קבוצות מכשירים | ציין שם קבוצת מכשירים . |
| פלטפורמת מערכת ההפעלה | ציין מערכות הפעלה של מכשירים. |
| מיון | ציין את קבוצת הסיווגים של ההתראות הקשורות. |
| מצב חקירה אוטומטית | ציין את מצב החקירה האוטומטית. |
| איום משויך | ציין איום בעל שם. |
| כלל מדיניות/מדיניות | סנן אירועים בהתבסס על מדיניות או כלל מדיניות. |
| שמות מוצרים | סנן אירועים בהתבסס על שם המוצר. |
| זרם נתונים | סנן אירועים בהתבסס על המיקום או עומס העבודה. |
הערה
אם הקצאת גישה ל- ניהול סיכונים פנימיים ב- Microsoft Purview, באפשרותך להציג ולנהל התראות של ניהול סיכונים פנימיים ולצוד אירועים של ניהול סיכונים פנימיים בפורטל Microsoft Defender. לקבלת מידע נוסף, ראה חקירת איומי סיכון פנימיים בפורטל Microsoft Defender שלך.
מסנן ברירת המחדל הוא להציג את כל ההתראות והתקריות במצב 'חדש' ו'מתבצע' ובחומרת חומרה של 'גבוה', 'בינוני' או 'נמוך'.
באפשרותך להסיר מסנן במהירות על-ידי בחירת ה- X בשם של מסנן ברשימה מסננים .
באפשרותך גם ליצור ערכות מסנן בתוך דף האירועים על-ידי בחירת שאילתות מסנן שנשמרו צור > ערכת מסננים. אם לא נוצרו ערכות מסננים, בחר שמור כדי ליצור ערכות סינון.
הערה
Microsoft Defender XDR יכולים כעת לסנן אירועים עם התראות שבהן מכשיר שנחשף לסכנה מתקשר עם מכשירי טכנולוגיה תפעולית (OT) המחוברים לרשת הארגונית באמצעות שילוב גילוי המכשירים של Microsoft Defender עבור IoT ו- Microsoft Defender עבור נקודת קצה. כדי לסנן אירועים אלה, בחר באפשרות כלשהו במקורות השירות/זיהוי ולאחר מכן בחר Microsoft Defender עבור IoT בשם המוצר או ראה חקירת אירועים והתראות ב- Microsoft Defender עבור IoT בפורטל Defender. באפשרותך גם להשתמש בקבוצות מכשירים כדי לסנן התראות ספציפיות לאתר. לקבלת מידע נוסף אודות הדרישות המוקדמות של Defender for IoT, ראה תחילת העבודה עם ניטור IoT ארגוני ב- Microsoft Defender XDR.
שמירת מסננים מותאמים אישית ככתובות URL
לאחר קביעת התצורה של מסנן שימושי בתור תקריות, באפשרותך לסמן את כתובת ה- URL של כרטיסיית הדפדפן בסימניה או לשמור אותה כקישור בדף אינטרנט, במסמך Word או כמקום שתבחר. יצירת סימניות מעניקה לך גישה בלחיצה אחת לתצוגות עיקריות של תור האירועים, כגון:
- אירועים חדשים
- תקריות ברמת חומרה גבוהה
- אירועים שלא הוקנו
- אירועים ברמת חומרה גבוהה, ללא הקצאה
- אירועים שהוקצו לי
- אירועים שהוקצו לי ול- Microsoft Defender עבור נקודת קצה
- מקרים עם תגית או תגית ספציפית
- מקרים עם קטגוריית איום ספציפית
- מקרים עם איום משויך ספציפי
- אירועים עם שחקן ספציפי
לאחר שתבצע הידור ואחסון של רשימת תצוגות מסנן שימושיות ככתובות URL, השתמש בה כדי לעבד ולתעדף במהירות את האירועים בתור שלך ולנהל אותם עבור ההקצאה והניתוח הבאים.
חיפוש
מהתיבה חפש שם או מזהה מעל רשימת האירועים, באפשרותך לחפש אירועים במספר דרכים, כדי למצוא במהירות את מה שאתה מחפש.
חפש לפי שם מקרה או מזהה
חפש אירוע ישירות על-ידי הקלדת מזהה האירוע או שם האירוע. בעת בחירת מקרה מתוך רשימת תוצאות החיפוש, פורטל Microsoft Defender פותח כרטיסיה חדשה עם מאפייני האירוע, שממנה תוכל להתחיל בחקירה.
חיפוש לפי נכסים מושפעים
באפשרותך לבחור נכס - כגון משתמש, מכשיר, תיבת דואר, שם יישום או משאב בענן – ולחפש את כל האירועים הקשורים הנכס.
ציון טווח זמן
רשימת האירועים המהווה ברירת מחדל מיועדת לאלה שהתרחשו במהלך ששת החודשים האחרונים. באפשרותך לציין טווח זמן חדש מהתיבה הנפתחת לצד סמל לוח השנה על-ידי בחירת:
- יום אחד
- שלושה ימים
- שבוע אחד
- 30 יום
- 30 יום
- שישה חודשים
- טווח מותאם אישית שבו באפשרותך לציין הן תאריכים והן שעות
השלבים הבאים
לאחר שתקבע איזה מקרה דורש את העדיפות הגבוהה ביותר, בחר אותו ולאחר מכן:
- נהל את מאפייני האירוע עבור תגיות, הקצאה, פתרון מיידי עבור אירועים חיוביים מוטעים והערות.
- התחל בחקירות שלך.
למידע נוסף
עצה
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.