Incidensek rangsorolása Microsoft 365 Defender

Megjegyzés

Szeretne Microsoft 365 Defender tapasztalni? További információ a Microsoft 365 Defender kiértékeléséről és kipróbálásáról.

Érintett szolgáltatás:

  • Microsoft 365 Defender

Microsoft 365 Defender korrelációs analitikát alkalmaz, és összesíti a kapcsolódó riasztásokat és automatizált vizsgálatokat a különböző termékekből egy incidensbe. Microsoft 365 Defender egyedi riasztásokat is aktivál az olyan tevékenységekre vonatkozóan, amelyek csak akkor azonosíthatók rosszindulatúként, ha a teljes termékcsomagot Microsoft 365 Defender teljes körű láthatósága biztosítja. Ezzel a nézettel a biztonsági elemzők szélesebb körű támadási történetet ismernek meg, amely segít nekik jobban megérteni és kezelni az összetett fenyegetéseket a szervezetben.

Az Incidensek üzenetsor az eszközök, felhasználók és postaládák között létrehozott incidensek gyűjteményét jeleníti meg. Segít az incidensek rendezésében, hogy rangsorolja és létrehozhasson egy tájékozott kiberbiztonsági választ, egy incidens-osztályozás néven ismert folyamatot.

Az incidensek üzenetsorát az Incidensek & riasztások > incidensek között érheti el a Microsoft 365 Defender portál gyors indításakor. Íme egy példa.

Az Incidens szakasz az incidenssort mutatja a Microsoft 365 Defender portálon.

A Legutóbbi incidensek és riasztások szakasz az elmúlt 24 órában fogadott és létrehozott riasztások számának grafikonját jeleníti meg.

Alapértelmezés szerint a Microsoft 365 Defender portál incidenssora az elmúlt hat hónapban látott incidenseket jeleníti meg. A legutóbbi incidens a lista tetején található, így ön láthatja először.

Az incidenssor testreszabható oszlopokkal rendelkezik (válassza a Kiválasztás oszlopokat), amelyek betekintést nyújtanak az incidens vagy az érintett entitások különböző jellemzőibe. Így tájékozott döntést hozhat az incidensek rangsorolásáról elemzés céljából.

A további láthatóság érdekében az automatikus incidenselnevezés riasztási attribútumok, például az érintett végpontok száma, az érintett felhasználók, az észlelési források vagy kategóriák alapján hoz létre incidensneveket. Ez lehetővé teszi az incidens hatókörének gyors megértését.

Például: Többszakaszos incidens több, több forrás által jelentett végponton.

Megjegyzés

Az automatikus incidenselnevezés bevezetése előtt meglévő incidensek neve nem módosul.

Az incidenssor több szűrési lehetőséget is biztosít, amelyek alkalmazása lehetővé teszi, hogy átfogóan áttekintse a környezet összes meglévő incidensét, vagy egy adott forgatókönyvre vagy fenyegetésre összpontosítson. Ha szűrőket alkalmaz az incidenssorra, az segíthet meghatározni, hogy melyik incidens igényel azonnali figyelmet.

Az incidensek listája fölötti Szűrők lista az aktuálisan alkalmazott szűrőket jeleníti meg.

Elérhető szűrők

Az alapértelmezett incidenssoron a Szűrő lehetőséget választva megtekintheti a Szűrő panelt, ahol megadhatja az incidensek szűrt készletét. Íme egy példa.

Az incidenssor Szűrők panelje a Microsoft 365 Defender portálon.

A Szűrő panelt úgy is megtekintheti, hogy az incidensek listája fölött a Szűrők listában kiválasztja bármelyik szűrőt.

Ez a táblázat felsorolja az elérhető szűrőneveket.

Szűrő neve Leírás
Állapot Válassza az Új, Folyamatban vagy Megoldott lehetőséget.
Súlyossága Az incidens súlyossága arra utal, hogy milyen hatással lehet az eszközökre. Minél nagyobb a súlyosság, annál nagyobb a hatás, és általában a legközelibb figyelmet igényli. Válassza a Magas, Közepes, Alacsony vagy Tájékoztató lehetőséget.
Incidens-hozzárendelés Válassza ki a hozzárendelt felhasználót vagy felhasználókat.
Több szolgáltatásforrás Itt adhatja meg, hogy a szűrő több szolgáltatásforrásra is legyen-e.
Szolgáltatásforrások Adja meg a következő riasztásokat tartalmazó incidenseket: Alkalmazásirányítás, Microsoft 365 Defender, Office 365-höz készült Microsoft Defender, Végponthoz készült Microsoft Defender, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps.
Címkék Jelöljön ki egy vagy több címkenevet a listából.
Több kategória Itt adhatja meg, hogy a szűrő egynél több kategóriára is legyen-e.
Kategóriák Válassza ki azokat a kategóriákat, amelyek a látott taktikákra, technikákra vagy támadási összetevőkre összpontosítanak.
Entitások Adja meg egy objektum nevét, például felhasználót, eszközt, postaládát vagy alkalmazásnevet.
Adatérzékenység Egyes támadások a bizalmas vagy értékes adatok kiszűrésére összpontosítanak. Ha szűrőt alkalmaz adott bizalmassági címkékre, gyorsan megállapíthatja, hogy a bizalmas adatok esetleg sérültek-e, és rangsorolhatja az incidensek kezelését.

Ez a szűrő csak akkor jelenít meg információt, ha bizalmassági címkéket alkalmazott Microsoft Purview információvédelem.
Eszközcsoportok Adja meg az eszközcsoport nevét.
Operációsrendszer-platform Adja meg az eszköz operációs rendszereit.
Osztályozás Adja meg a kapcsolódó riasztások besorolási halmazát.
Automatizált vizsgálati állapot Adja meg az automatizált vizsgálat állapotát.
Társított fenyegetés Adjon meg egy elnevezett fenyegetést.
Szereplők Adjon meg egy nevesített fenyegetés aktort.

Az alapértelmezett szűrő az összes új és folyamatban lévő állapotú riasztás és incidens megjelenítése alacsony, közepes vagy magas súlyossággal.

Gyorsan eltávolíthat egy szűrőt, ha kiválasztja az X-et egy szűrő nevében a Szűrők listában.

Egyéni szűrők mentése URL-címként

Miután konfigurált egy hasznos szűrőt az incidensek várólistáján, könyvjelzővel láthatja el a böngészőlap URL-címét, vagy más módon mentheti weblapra, Word-dokumentumba vagy tetszőleges helyre mutató hivatkozásként. Ez egyetlen kattintással hozzáférést biztosít az incidenssor főbb nézeteihez, például:

  • Új incidensek
  • Nagy súlyosságú incidensek
  • Nem hozzárendelt incidensek
  • Nagy súlyosságú, hozzárendelés nélküli incidensek
  • Hozzám rendelt incidensek
  • Nekem és Végponthoz készült Microsoft Defender
  • Adott címkével vagy címkével rendelkező incidensek
  • Adott fenyegetéskategóriával rendelkező incidensek
  • Adott kapcsolódó fenyegetéssel rendelkező incidensek
  • Adott szereplővel kapcsolatos incidensek

Miután összeállította és URL-ként tárolta a hasznos szűrőnézetek listáját, segítségével gyorsan feldolgozhatja és rangsorolhatja az incidenseket az üzenetsorban, és kezelheti őket a későbbi hozzárendelésekhez és elemzésekhez.

Incidensek keresése

Az incidensek listája feletti Név vagy azonosító keresése mezőbe beírhatja az incidens azonosítóját vagy az incidens nevét. Amikor kiválaszt egy incidenst a keresési eredmények listájából, a Microsoft 365 Defender portál megnyit egy új lapot az incidens tulajdonságaival, ahonnan megkezdheti a vizsgálatot.

Érintett objektumok keresése

Elnevezhet egy objektumot—, például egy felhasználót, egy eszközt, egy postaládát vagy egy alkalmazásnevet—, és megkeresheti az összes kapcsolódó incidenst.

Időtartomány megadása

Az incidensek alapértelmezett listája az elmúlt hat hónapban történtekhez tartozik. A naptár ikon melletti legördülő listából megadhat egy új időtartományt a következő gombra kattintva:

  • 1 nap
  • 3 nap
  • 1 hét
  • 30 nap
  • 30 nap
  • 6 hónap
  • Egyéni tartomány, amelyben dátumokat és időpontokat is megadhat

Következő lépések

Miután megállapította, hogy melyik incidens igényli a legmagasabb prioritást, válassza ki, és:

  • Kezelheti az incidens tulajdonságait címkékhez, hozzárendeléshez, a téves pozitív incidensek azonnali megoldásához és megjegyzésekhez.
  • Kezdje meg a nyomozást.

Lásd még