Megosztás a következőn keresztül:


Incidensek rangsorolása, kezelése, kivizsgálása & reagálás az Microsoft Defender XDR

Amikor riasztások aktiválódnak Microsoft Defender XDR, az automatizált vizsgálat és reagálás (AIR) elindul, és a szervezet előfizetésében vadászik, meghatározza a fenyegetés hatását és hatókörét, és egyetlen incidensbe rendezi az információkat, hogy a rendszergazdáknak ne kelljen több incidenst kezelniük.

Amire szüksége van

  • Office 365-höz készült Microsoft Defender 2. vagy újabb csomag
  • Megfelelő engedélyek (biztonsági olvasó, biztonsági műveletek vagy biztonsági rendszergazda, valamint Keresés és végleges törlési szerepkör)

Incidensek & kezelése rangsorolása

Lépjen a biztonsági portál Incidensek oldalára https://security.microsoft.com/incidents.

Az Incidens lap betöltésekor az oszlopokra kattintva szűrheti és rangsorolhatja a műveleteket, vagy a Szűrők billentyűt lenyomva alkalmazhat egy szűrőt, például adatforrást, címkéket vagy állapotot.

Most már rendelkezik az incidensek rangsorolásával, amelyből kiválaszthatja az incidensek átnevezését, hozzárendelését, besorolását, címkézését, állapotának módosítását vagy megjegyzések hozzáadását az Incidensek kezelése gombon keresztül.

A szűrőkkel győződjön meg arról, hogy Office 365-höz készült Microsoft Defender elemek szerepelnek benne.

Ha konkrét riasztásokat keres, használja az incidenskeresési képességet (Keresés a név vagy az azonosító esetében), vagy fontolja meg a riasztási várólista szűrését egy adott riasztásra.

Incidensekre való reagálás & vizsgálata

Az incidenssor rangsorolása után válassza ki a kivizsgálni kívánt incidenst az incidensek áttekintési oldalának betöltéséhez. Hasznos információkat láthat, például mitre ATT&megfigyelt CK-technikákat és a támadás idővonalát.

Az incidens oldalának tetején található fülekkel további részleteket fedezhet fel, például az érintett felhasználókat, postaládákat, végpontokat és et cetera-t.

A Bizonyítékok és válasz lapon az eredeti riasztáshoz kapcsolódóként azonosított elemek láthatók a vizsgálaton keresztül.

A Függőben lévő műveletként a Bizonyítékok és válaszok között látható elemek a rendszergazda jóváhagyására várnak. A Minden bizonyíték nézetben javasolt a szervizelési állapot oszlop szerinti rendezés, majd az entitásra vagy fürtre kattintva töltse be az úszó menüt, ahol szükség esetén jóváhagyhatja a műveleteket.

Ha további információra van szüksége az érintett elemekről, az incidensgráf használatával megtekintheti az érintett bizonyítékok és entitások vizuális összekapcsolását. Másik lehetőségként áttekintheti a mögöttes vizsgálatokat, amelyek a biztonsági eseményben érintett entitások és elemek közül többet mutatnak.

Következő lépések

A Műveletközpont segítségével eljárhat a szervezet összes incidensének függőben lévő műveletelemei esetében, ha azokra a műveletekre szeretne összpontosítani, amelyeket az AIR-nek jóvá kell hagynia.

További információ

Incidensek kezelése a következőben: Microsoft Defender XDR | Microsoft Docs.

Az automatizált vizsgálat és reagálás működése Office 365-höz készült Microsoft Defender.

Szervizelési műveletek Office 365-höz készült Microsoft Defender.