Incidensek rangsorolása a Microsoft Defender portálon
A Microsoft Defender portál egyesített biztonsági üzemeltetési platformja korrelációs elemzéseket alkalmaz, és összesíti a különböző termékek kapcsolódó riasztásait és automatizált vizsgálatát egy incidensbe. A Microsoft Sentinel és a Defender XDR egyedi riasztásokat is aktiválnak olyan tevékenységekről, amelyek csak a teljes termékcsomag egységes platformjának teljes körű láthatósága miatt azonosíthatók rosszindulatúként. Ez a nézet szélesebb körű támadási történetet biztosít a biztonsági elemzőknek, ami segít nekik jobban megérteni és kezelni a szervezet összetett fenyegetéseit.
Fontos
A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform nyilvános előzetes verziójának részeként érhető el a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.
Incidenssor
Az Incidensek üzenetsor az eszközök, felhasználók, postaládák és egyéb erőforrások között létrehozott incidensek gyűjteményét jeleníti meg. Segít az incidensek rendezésében egy tájékozott kiberbiztonsági reagálási döntés, az incidensek osztályozása néven ismert folyamat rangsorolása és létrehozása érdekében.
Tipp
2024 januárjában korlátozott ideig, amikor felkeresi az Incidensek oldalt, megjelenik a Defender Boxed. A Defender Boxed kiemeli a szervezet 2023-ban elért biztonsági sikereit, fejlesztéseit és válaszműveleteit. A Defender Boxed újbóli megnyitásához az Microsoft Defender portálon lépjen az Incidensek elemre, majd válassza a Saját Defender Dobozos lehetőséget.
Az incidenssort az Incidensek & riasztásokból > érheti el Az incidensek a Microsoft Defender portál gyors elindításával. Íme egy példa.
Válassza a Legutóbbi incidensek és riasztások lehetőséget a felső szakasz bővítésének váltásához, amely az elmúlt 24 órában fogadott és létrehozott riasztások számának idővonal-diagramját jeleníti meg.
Ez alatt a Microsoft Defender portál incidenssora az elmúlt hat hónapban látott incidenseket jeleníti meg. A legutóbbi incidens a lista tetején található, így ön láthatja először. Másik időkeretet is választhat, ha kiválasztja azt a felső legördülő menüből.
Az incidenssor testreszabható oszlopokkal rendelkezik (válassza az Oszlopok testreszabása lehetőséget), amelyek betekintést nyújtanak az incidens vagy az érintett entitások különböző jellemzőibe. Ez a szűrés segít megalapozott döntést hozni az incidensek rangsorolásáról elemzés céljából.
Incidensnevek
A Microsoft Defender XDR automatikusan generál incidensneveket az olyan riasztási attribútumok alapján, mint az érintett végpontok száma, az érintett felhasználók, az észlelési források vagy a kategóriák. Ezzel az elnevezéssel gyorsan megértheti az incidens hatókörét.
Például: Többfázisú incidens több, több forrás által jelentett végponton.
Ha előkészítette a Microsoft Sentinelt az egyesített biztonsági műveleti platformra, akkor a Microsoft Sentineltől érkező riasztások és incidensek neve valószínűleg megváltozik (függetlenül attól, hogy az előkészítés előtt vagy óta lettek létrehozva).
Javasoljuk, hogy ne használja az incidens nevét az automatizálási szabályok aktiválásának feltételeként. Ha az incidens neve feltétel, és az incidens neve megváltozik, a szabály nem aktiválódik.
Szűrők
Az incidenssor emellett több szűrési lehetőséget is biztosít, amelyek alkalmazásakor lehetővé teszi a környezetében meglévő incidensek széles körű áttekintését, vagy egy adott forgatókönyvre vagy fenyegetésre való összpontosítást. Ha szűrőket alkalmaz az incidenssorra, az segíthet meghatározni, hogy melyik incidens igényel azonnali figyelmet.
Az incidensek listája feletti Szűrők lista az aktuálisan alkalmazott szűrőket jeleníti meg.
Az alapértelmezett incidenssorban válassza a Szűrő hozzáadása lehetőséget a Szűrő hozzáadása legördülő menü megjelenítéséhez, amelyből az incidenssorra alkalmazandó szűrőket adhatja meg a megjelenített incidensek halmazának korlátozásához. Íme egy példa.
Válassza ki a használni kívánt szűrőket, majd a lista alján válassza a Hozzáadás lehetőséget, hogy elérhetővé tegye őket.
Ekkor megjelennek a kiválasztott szűrők a meglévő alkalmazott szűrőkkel együtt. A feltételek megadásához válassza ki az új szűrőt. Ha például a "Szolgáltatás/észlelési források" szűrőt választotta, válassza ki azt, és válassza ki azokat a forrásokat, amelyek alapján szűrni szeretné a listát.
A Szűrő panelt úgy is megtekintheti, hogy kiválasztja bármelyik szűrőt az incidensek listája fölötti Szűrők listában.
Ez a táblázat felsorolja az elérhető szűrőneveket.
| Szűrő neve | Leírás/feltételek |
|---|---|
| Állapot | Válassza az Új, Folyamatban vagy Megoldott lehetőséget. |
| Riasztás súlyossága Incidens súlyossága |
Egy riasztás vagy incidens súlyossága jelzi, hogy milyen hatással lehet az eszközökre. Minél nagyobb a súlyosság, annál nagyobb a hatás, és általában a leg azonnalibb figyelmet igényli. Válassza a Magas, Közepes, Alacsony vagy Tájékoztató lehetőséget. |
| Incidens-hozzárendelés | Válassza ki a hozzárendelt felhasználót vagy felhasználókat. |
| Több szolgáltatásforrás | Adja meg, hogy a szűrő több szolgáltatásforrásra is vonatkoznak-e. |
| Szolgáltatás-/észlelési források | Adja meg azokat az incidenseket, amelyek az alábbiak közül egy vagy több riasztását tartalmazzák: Ezen szolgáltatások közül számos kibontható a menüben, hogy további észlelési forrásokat jelenítsen meg egy adott szolgáltatáson belül. |
| Címkék | Jelöljön ki egy vagy több címkenevet a listából. |
| Több kategória | Itt adhatja meg, hogy a szűrő több kategóriára is igaz-e. |
| Kategóriák | Válassza ki a kategóriákat, hogy a látott taktikákra, technikákra vagy támadási összetevőkre összpontosítson. |
| Entitások | Adja meg egy eszköz nevét, például felhasználó, eszköz, postaláda vagy alkalmazás nevét. |
| Adatérzékenység | Egyes támadások a bizalmas vagy értékes adatok kiszűrésére összpontosítanak. Ha szűrőt alkalmaz adott bizalmassági címkékre, gyorsan megállapíthatja, hogy a bizalmas adatok esetleg sérültek-e, és rangsorolhatja az incidensek kezelését. Ez a szűrő csak akkor jelenít meg információt, ha bizalmassági címkéket alkalmazott Microsoft Purview információvédelem. |
| Eszközcsoportok | Adja meg az eszközcsoport nevét. |
| Operációsrendszer-platform | Adja meg az eszköz operációs rendszereit. |
| Osztályozás | Adja meg a kapcsolódó riasztások besorolási halmazát. |
| Automatizált vizsgálati állapot | Adja meg az automatizált vizsgálat állapotát. |
| Társított fenyegetés | Adjon meg egy megnevezett fenyegetést. |
| Riasztási házirendek | Adjon meg egy riasztási szabályzatcímet. |
Az alapértelmezett szűrő az összes riasztás és incidens megjelenítése Új és Folyamatban állapottal, magas, közepes vagy alacsony súlyossággal.
Gyorsan eltávolíthat egy szűrőt, ha kiválasztja az X-et egy szűrő nevében a Szűrők listában.
Az incidensek oldalon szűrőkészleteket is létrehozhat, ha a Mentett szűrő lekérdezések > Szűrőkészlet létrehozása lehetőséget választja. Ha nem hozott létre szűrőkészletet, válassza a Mentés lehetőséget a létrehozáshoz.
Egyéni szűrők mentése URL-címként
Miután konfigurált egy hasznos szűrőt az incidensek várólistáján, könyvjelzővel láthatja el a böngészőlap URL-címét, vagy más módon mentheti hivatkozásként egy weblapra, egy Word dokumentumba vagy egy tetszőleges helyre. A könyvjelzők segítségével egyetlen kattintással hozzáférhet az incidenssor főbb nézeteihez, például:
- Új incidensek
- Nagy súlyosságú incidensek
- Nem hozzárendelt incidensek
- Nagy súlyosságú, hozzárendelés nélküli incidensek
- Hozzám rendelt incidensek
- Nekem és Végponthoz készült Microsoft Defender-hez rendelt incidensek
- Adott címkével vagy címkével rendelkező incidensek
- Adott fenyegetéskategóriával rendelkező incidensek
- Adott kapcsolódó fenyegetéssel rendelkező incidensek
- Adott szereplővel kapcsolatos incidensek
Miután lefordította és URL-címként tárolta a hasznos szűrőnézetek listáját, a használatával gyorsan feldolgozhatja és rangsorolhatja az incidenseket az üzenetsorban, és kezelheti őket a későbbi hozzárendelésekhez és elemzésekhez.
Keresés
Az incidensek listája feletti név vagy azonosító Keresés több módon is megkeresheti az incidenseket, így gyorsan megtalálhatja, amit keres.
Keresés incidens neve vagy azonosítója alapján
Keresés közvetlenül egy incidenshez az incidens azonosítójának vagy az incidens nevének beírásával. Amikor kiválaszt egy incidenst a keresési eredmények listájából, a Microsoft Defender portál megnyit egy új lapot az incidens tulajdonságaival, ahonnan megkezdheti a vizsgálatot.
az érintett eszközök által Keresés
Elnevezhet egy objektumot – például felhasználót, eszközt, postaládát, alkalmazásnevet vagy felhőbeli erőforrást –, és megkeresheti az adott objektumhoz kapcsolódó összes incidenst.
Időtartomány megadása
Az incidensek alapértelmezett listája az elmúlt hat hónapban történt eseményekre érvényes. A naptár ikon melletti legördülő listából megadhat egy új időtartományt a következő gombra kattintva:
- Egy nap
- Három nap
- Egy hét
- 30 nap
- 30 nap
- Hat hónap
- Egyéni tartomány, amelyben dátumokat és időpontokat is megadhat
Következő lépések
Miután megállapította, hogy melyik incidens igényli a legmagasabb prioritást, válassza ki, és:
- Kezelheti az incidens tulajdonságait címkékhez, hozzárendeléshez, a téves pozitív incidensek azonnali megoldásához és megjegyzésekhez.
- Kezdje meg a nyomozást.
Lásd még
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: