שתף באמצעות

ניהול אירועים ב- Microsoft Defender

  • מאמר

חל על:

  • Microsoft Defender XDR
  • פלטפורמה מאוחדת של מרכז פעולות האבטחה (SOC) של Microsoft Defender

ניהול מקרים הוא קריטי כדי להבטיח שניתן שם, הקצאת אירועים ותויגות כדי למטב את הזמן בזרימת העבודה של האירוע ולהכיל ול לטפל באיומים במהירות רבה יותר.

באפשרותך לנהל אירועים מתוך אירועים & התראות > על הפעלה מהירה של פורטל Microsoft Defender (security.microsoft.com). הנה דוגמה.

צילום מסך המדגיש את אפשרות ניהול האירועים בתוך תור האירועים וחלונית ההפעלה המהירה בפורטל Microsoft Defender.

להלן הדרכים שבהן תוכל לנהל את האירועים שלך:

באפשרותך לנהל אירועים מתוך החלונית 'ניהול אירוע ' עבור מקרה. הנה דוגמה.

צילום מסך המציג את חלונית 'נהל אירוע' בפורטל Microsoft Defender.

באפשרותך להציג חלונית זו מתוך הקישור נהל מקרה ב:

  • דף הכתבה של ההתראה.
  • החלונית מאפיינים של מקרה בתור האירועים.
  • דף סיכום של מקרה.
  • האפשרות 'נהל מקרה' הממוקמת בפינה השמאלית העליונה של דף האירוע.

במקרים שבהם ברצונך להעביר התראות מתקרית אחת לאחרת, באפשרותך גם לעשות זאת מהכרטיסיה התראות, ובכך ליצור מקרה גדול או קטן יותר הכולל את כל ההתראות הרלוונטיות.

ערוך את שם האירוע

Microsoft Defender מקצה באופן אוטומטי שם בהתבסס על תכונות התראה כגון מספר נקודות הקצה המושפעות, המשתמשים המושפעים, מקורות זיהוי או קטגוריות. שם האירוע מאפשר לך להבין במהירות את היקף האירוע. לדוגמה: אירוע מרובה שלבים ב נקודות קצה מרובות שדווחו על-ידי מקורות מרובים.

באפשרותך לערוך את שם האירוע מהשדות שם אירוע בחלונית ניהול אירוע.

הערה

מקרים קיימים לפני הפריסה של תכונת מתן השמות האוטומטית לתקריות יישמרו את שמם.

הקצאה או שינוי של חומרת אירוע

באפשרותך להקצות או לשנות את חומרת האירוע מהשדות חומרה בחלוניתניהול אירוע. החומרה של אירוע נקבעת לפי החומרה הגבוהה ביותר של ההתראות המשויכות אליה. ניתן להגדיר את חומרת האירוע כ'גבוהה ', 'בינונית', 'נמוכה' או 'מידע'.

הוספת תגיות אירוע

באפשרותך להוסיף תגיות מותאמות אישית למקריות, לדוגמה כדי לסמן קבוצת אירועים כמאפיין נפוץ. מאוחר יותר תוכל לסנן את תור האירועים עבור כל האירועים המכילים תגית ספציפית.

האפשרות לבחור מתוך רשימה של תגיות שהיו בשימוש בעבר ותגיות שנבחרו מופיעה לאחר תחילת ההקלדה.

אירוע יכול לכלול תגיות מערכת ו/או תגיות מותאמות אישית עם רקעי צבע מסוימים. תגיות מותאמות אישית משתמשות ברקע הלבן בזמן שתגיות מערכת משתמשות בדרך כלל בצבעי רקע אדומים או שחורים. תגיות מערכת מזהות את הפריטים הבאים במקרה:

  • סוג של תקיפה, כגון דיוג אישורים או הונאות BEC
  • פעולות אוטומטיות, כגון חקירה ותגובה אוטומטיות והפרעה אוטומטית בתקיפה
  • מומחים של Defender מטפלים באירוע
  • נכסים קריטיים המעורבים באירוע

עצה

ניהול חשיפת האבטחה של Microsoft, בהתבסס על סיווגים מוגדרים מראש, תגיות אוטומטיות של מכשירים, זהויות ומשאבי ענן כסכס קריטי. יכולת מוכללת זו מבטיחה את ההגנה על הנכסים החשובים והחשובים ביותר של הארגון. הוא גם עוזר לצוותי תפעול אבטחה לקבוע סדרי עדיפויות לחקירה ולתיקון. קבל מידע נוסף על ניהול נכסים קריטיים.

הקצאת מקרה

באפשרותך לבחור את התיבה הקצה ל ולציין את חשבון המשתמש להקצאת מקרה. כדי להקצות מחדש מקרה, הסר את חשבון המטלה הנוכחי על-ידי בחירה ב- "x" לצד שם החשבון ולאחר מכן בחר את התיבה הקצה ל. הקצאת בעלות על מקרה מקצה את אותה בעלות לכל ההתראות המשויכות אליה.

באפשרותך לקבל רשימה של אירועים שהוקצו לך על-ידי סינון תור האירועים.

  1. מתור האירועים, בחר מסננים.
  2. במקטע הקצאת אירוע, נקה את בחר הכל. בחר מוקצה לי, מוקצה למשתמש אחר או מוקצה לקבוצת משתמשים.
  3. בחר החל ולאחר מכן סגור את החלונית מסננים .

לאחר מכן תוכל לשמור את כתובת ה- URL המתווצאת בדפדפן כסימניה כדי לראות במהירות את רשימת האירועים שהוקצו לך.

פתרון מקרה

בחר פתור מקרה כדי להעביר את הלחצן הדו-מצבי שמאלה בעת פתרון אירוע. פתרון מקרה פותר גם את כל ההתראות המקושרות והפעילות הקשורות לתקרית.

מקרה שאינו נפתר מוצג כפעיל.

ציין את הסיווג

בשדה סיווג, עליך לציין אם המקרה הוא:

  • לא הוגדר (ברירת המחדל).
  • חיובי אמיתי עם סוג של איום. השתמש סיווג זה עבור מקרים המציינים באופן מדויק איום אמיתי. ציון סוג האיום עוזר לצוות האבטחה שלך לראות דפוסי איומים וכיצד להגן על הארגון שלך מפניהם.
  • מידע, פעילות צפויה עם סוג של פעילות. השתמש באפשרויות בקטגוריה זו כדי לסווג אירועים עבור בדיקות אבטחה, פעילות צוות אדומה ופעולות פעולה חריגות צפויות מאפליקציות ומשתמשים מהימנים.
  • תוצאה חיובית מוטעית עבור סוגי מקרים שאתה קובע שניתן להתעלם מהם מאחר שהם מבחינה טכנית אינם מדויקים או מונות.

סיווג אירועים וציון המצב וההקלדה שלהם עוזרים לכוונן את ה- XDR של Microsoft Defender כדי לספק זיהוי טוב יותר לאורך זמן.

הוספת הערות

באפשרותך להוסיף הערות מרובות לתקריות באמצעות השדה הערה . שדה ההערה תומך בטקסט ובעיצוב, בקישורים ובתמונות. כל הערה מוגבלת ל- 30,000 תווים.

כל ההערות מתווספות לאירועים ההיסטוריים של האירוע. באפשרותך לראות את ההערות וההיסטוריה של מקרה מהקישור הערות והיסטוריהבדף סיכום.

יומן פעילות

יומן הפעילות מציג רשימה של כל ההערות והפעולות שבוצעו באירוע, הידוע כביקורות והערות. כל השינויים שבוצעו באירוע, בין אם על-ידי משתמש או על-ידי המערכת, נרשמים ביומן הפעילות. יומן הפעילות זמין מהאפשרות יומן פעילות בדף האירוע או בחלונית הצדדית של האירוע.

צילום מסך המדגיש את אפשרות יומן הפעילות מתוך דף האירוע בפורטל Microsoft Defender.

באפשרותך לסנן את הפעילויות בתוך יומן הרישום לפי הערות ופעולות. לחץ על התוכן: ביקורות, הערות ולאחר מכן בחר את סוג התוכן לסינון פעילויות. הנה דוגמה.

צילום מסך המדגיש את אפשרויות הסינון בתוך חלונית יומן הפעילות מתוך דף האירוע בפורטל Microsoft Defender.

באפשרותך גם להוסיף הערות משלך באמצעות תיבת ההערה הזמינה ביומן הפעילות. תיבת ההערה מקבלת טקסט ועיצוב, קישורים ותמונות.

צילום מסך המדגיש את תיבת ההערה מתוך דף האירוע בפורטל Microsoft Defender.

ייצוא נתוני אירוע ל- PDF

חשוב

חלק מהמידע במאמר זה מתייחס למוצר שהופץ מראש, וייתכן שישתנה באופן משמעותי לפני ההפצה המסחרית שלו. Microsoft אינה מבטיחה דבר, באופן מפורש או משתמע, באשר למידע המסופק כאן.

תכונת נתוני מקרי הייצוא זמינה כעת ללקוחות פלטפורמת Microsoft Defender XDR ו- Microsoft Defender Unified Security Operations Center (SOC) עם Microsoft Copilot לרשיון אבטחה.

באפשרותך לייצא נתוני אירוע ל- PDF באמצעות הפונקציה 'יצא מקרה כ- PDF ' ולשמור אותם בתבנית PDF. פונקציה זו מאפשרת לצוותי אבטחה לסקור פרטי אירוע במצב לא מקוון בכל זמן נתון.

נתוני האירוע שיוצאו כוללים את המידע הבא:

להלן דוגמה של ה- PDF המיוצא:

צילום מסך של העמוד הראשון של ה- PDF המיוצא.

אם יש לך רשיון Copilot עבור אבטחה , קובץ ה- PDF המיוצא מכיל את נתוני האירועים הנו נוספים הבאים:

פונקציית הייצוא ל- PDF זמינה גם בלוח הצדדי של Copilot של דוח מקרה שנוצר.

צילום מסך של פעולות נוספות בכרטיס תוצאות דוח המקרה.

כדי ליצור את ה- PDF, בצע את השלבים הבאים:

  1. פתח דף אירוע. בחר בשלוש הנקודות פעולות נוספות (...) בפינה השמאלית העליונה ובחר יצא מקרה כ- PDF. הפונקציה מופיעה באפור בעת יצירת ה- PDF.

    צילום מסך המדגיש את אפשרות הייצוא ל- PDF.

  2. מופיעה תיבת דו-שיח המציינת שה- PDF נוצר. בחר הבנתי כדי לסגור את תיבת הדו-שיח. בנוסף, הודעת מצב המציינת את המצב הנוכחי של ההורדה מופיעה מתחת לכותרת האירוע. תהליך הייצוא עשוי להימשך מספר דקות בהתאם המורכבות של האירוע ואת כמות הנתונים שיש לייצא.

    צילום מסך המדגיש הודעת ייצוא ומצב לפני ההורדה.

  3. לאחר שה- PDF מוכן, הודעת המצב מציינת שה- PDF מוכן ותיבת דו-שיח אחרת מופיעה. בחר הורד מתיבת הדו-שיח כדי לשמור את ה- PDF במכשיר שלך.

    צילום מסך המדגיש הודעת ייצוא ומצב כאשר ההורדה זמינה.

הדוח מאוחסן במטמון למשך כמה דקות. המערכת מספקת את ה- PDF שנוצר בעבר אם אתה מנסה לייצא שוב את אותו מקרה במסגרת זמן קצרה. כדי ליצור גירסה חדשה יותר של ה- PDF, המתן מספר דקות עד שתוקף המטמון יפוג.

השלבים הבאים

עבור אירועים חדשים, התחל את החקירה.

עבור אירועים בתהליך, המשך בחקירה.

עבור אירועים שנפתרו, בצע סקירה לאחר מקרה.

למידע נוסף

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.