Incidensek megtekintése és kezelése a Microsoft Defender Vállalati verzió

A fenyegetések észlelésekor és a riasztások aktiválásakor incidensek jönnek létre. A vállalat biztonsági csapata megtekintheti és kezelheti az incidenseket a Microsoft Defender portálon. A cikkben szereplő feladatok végrehajtásához megfelelő engedélyekkel kell rendelkeznie. Lásd: Biztonsági szerepkörök és engedélyek Microsoft Defender Vállalati verzió.

Ez a cikk a következőket tartalmazza:

• Incidensek és riasztások monitorozása
• Riasztás súlyossága
• Következő lépések

Incidensek & riasztások monitorozása

1. A Microsoft Defender portálon (https://security.microsoft.com) a navigációs panelen lépjen az Incidensek & riasztások elemre, majd válassza az Incidensek lehetőséget. A létrehozott incidensek az oldalon jelennek meg.

   Fontos

   Ha a címkével Attack disruptionellátott incidenst lát, az azt jelenti, hogy a rendszer speciális támadást észlelt. Lásd: Automatikus támadáskimaradás.

2. Válasszon ki egy riasztást az úszó panel megnyitásához, ahol többet is megtudhat a riasztásról.

   

3. Az úszó panelen megtekintheti a riasztás címét, megtekintheti az érintett eszközök (például eszközök vagy felhasználói fiókok) listáját, végrehajthatja az elérhető műveleteket, és hivatkozásokkal további információkat tekinthet meg, és akár a kiválasztott riasztás részletek lapját is megnyithatja.

Tipp

A Defender vállalati verzió úgy lett kialakítva, hogy segítsen az észlelt fenyegetések elhárításában az ön által elvégezhető műveletek ajánlásával. Ha megtekint egy riasztást, keresse meg ezeket a javaslatokat. Figyelje meg a riasztás súlyosságát is, amely nem csak az észlelt fenyegetés súlyossága, hanem a vállalatot fenyegető kockázat szintje alapján is meghatározva.

Riasztás súlyossága

Fenyegetés észlelésekor a rendszer minden létrehozott riasztáshoz súlyossági szintet rendel.

• Microsoft Defender víruskereső riasztási súlyosságot rendel hozzá az észlelt fenyegetés (például kártevők) abszolút súlyossága és az egyes eszközökre (ha fertőzöttek) potenciális kockázatán alapul.
• A Defender vállalati verzió riasztási súlyosságot rendel az észlelt viselkedés súlyosságától, az eszközre jelentett tényleges kockázattól, és ami még fontosabb, a vállalatra vonatkozó lehetséges kockázattól.

Az alábbi táblázat néhány példát sorol fel a riasztásokra és azok súlyossági szintjeire:

Forgatókönyv	Riasztás súlyossága és oka
Az automatikus támadáskimaradás speciális támadást észlel, és eszközöket vagy felhasználói fiókokat tartalmaz, amelyek segítenek megakadályozni a támadás folytatását.	Magas. A támadáskimaradási képességek segítenek a támadások elhárításában, hogy az informatikai/biztonsági csapat kezelni tudja azt.
Microsoft Defender víruskereső észleli és leállítja a fenyegetést, mielőtt bármilyen kárt okoz.	Tájékoztató jellegű. A fenyegetést leállították, mielőtt bármilyen kárt okoztak volna.
Microsoft Defender Víruskereső észleli a vállalaton belül végrehajtott kártevőket. A kártevőt leállították és kijavították.	Alacsony. Bár előfordulhatott, hogy valamilyen kár történt egy adott eszközön, a kártevő már nem jelent veszélyt a vállalatra.
A Defender vállalati verzió észleli a futtatott kártevőket. A kártevő szinte azonnal le van tiltva.	Közepes vagy Magas. A kártevő fenyegetést jelent az egyes eszközökre és a vállalatra nézve.
A rendszer gyanús viselkedést észlel, de még nem végez javítási műveleteket.	Alacsony, Közepes vagy Magas. A súlyosság attól függ, hogy a viselkedés milyen mértékben jelent fenyegetést a vállalat számára.

Következő lépések

• Tudnivalók az automatikus támadás megszakításáról
• Reagálás és a fenyegetések enyhítése a Defender vállalati verziójában
• Szervizelési műveletek áttekintése a Műveletközpontban
• Eszközszabályzatok megtekintése vagy szerkesztése a Defender Vállalati verzióban