Megosztás a következőn keresztül:


Incidensek rangsorolása a Microsoft Defender portálon

A Microsoft Defender portál egyesített biztonsági üzemeltetési platformja korrelációs elemzéseket alkalmaz, és a különböző termékek kapcsolódó riasztásait és automatizált vizsgálatát összesíti egy incidensbe. A Microsoft Sentinel és a Defender XDR egyedi riasztásokat is aktivál az olyan tevékenységekre vonatkozóan, amelyek csak rosszindulatúként azonosíthatók, mivel az egységes platform teljes termékcsomagjában teljes körű láthatóságot biztosít. Ez a nézet szélesebb körű támadási történetet biztosít a biztonsági elemzőknek, ami segít nekik jobban megérteni és kezelni a szervezet összetett fenyegetéseit.

Fontos

A Microsoft Sentinel mostantól általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Incidenssor

Az Incidensek üzenetsor az eszközök, felhasználók, postaládák és egyéb erőforrások között létrehozott incidensek gyűjteményét jeleníti meg. Segít az incidensek rendezésében egy tájékozott kiberbiztonsági reagálási döntés, az incidensek osztályozása néven ismert folyamat rangsorolása és létrehozása érdekében.

Az incidenssort az Incidensek & riasztásokból > érheti el Az incidensek a Microsoft Defender portál gyors indításakor. Íme egy példa.

Képernyőkép a Microsoft Defender portál Incidensek üzenetsoráról.

Válassza a Legutóbbi incidensek és riasztások lehetőséget a felső szakasz bővítésének váltásához, amely az elmúlt 24 órában fogadott és létrehozott riasztások számának idővonal-diagramját jeleníti meg.

Képernyőkép a 24 órás incidensgráfról.

Ez alatt a Microsoft Defender portál incidenssora az elmúlt hat hónapban látott incidenseket jeleníti meg. Másik időkeretet is választhat, ha kiválasztja azt a felső legördülő menüből. Az incidensek az incidensek legújabb automatikus vagy manuális frissítései szerint vannak rendezve. Az incidenseket a legutóbbi frissítés időpontja oszlop szerint rendezheti úgy, hogy az incidenseket a legújabb automatikus vagy manuális frissítéseknek megfelelően tekinthesse meg.

Az incidenssor testreszabható oszlopokkal rendelkezik, amelyek betekintést nyújtanak az incidens vagy az érintett entitások különböző jellemzőibe. Ez a szűrés segít megalapozott döntést hozni az incidensek rangsorolásáról elemzés céljából. Válassza az Oszlopok testreszabása lehetőséget a következő testreszabások végrehajtásához az előnyben részesített nézet alapján:

  • Jelölje be/törölje a jelölést az incidenssorban megjeleníteni kívánt oszlopok közül.
  • Az oszlopok sorrendjét húzással rendezheti el.

Képernyőkép az Incidens oldalszűrő és oszlopvezérlőkről.

Incidensnevek

A Microsoft Defender XDR automatikusan létrehozza az incidensneveket az olyan riasztási attribútumok alapján, mint az érintett végpontok száma, az érintett felhasználók, az észlelési források vagy a kategóriák. Ezzel az elnevezéssel gyorsan megértheti az incidens hatókörét.

Például: Többfázisú incidens több, több forrás által jelentett végponton.

Ha előkészítette a Microsoft Sentinelt az egyesített biztonsági műveleti platformra, akkor a Microsoft Sentineltől érkező riasztások és incidensek neve valószínűleg megváltozik (függetlenül attól, hogy az előkészítés előtt vagy óta lettek létrehozva).

Javasoljuk, hogy ne használja az incidens nevét az automatizálási szabályok aktiválásának feltételeként. Ha az incidens neve feltétel, és az incidens neve megváltozik, a szabály nem aktiválódik.

Szűrők

Az incidenssor emellett több szűrési lehetőséget is biztosít, amelyek alkalmazásakor lehetővé teszi a környezetében meglévő incidensek széles körű áttekintését, vagy egy adott forgatókönyvre vagy fenyegetésre való összpontosítást. Ha szűrőket alkalmaz az incidenssorra, az segíthet meghatározni, hogy melyik incidens igényel azonnali figyelmet.

Az incidensek listája feletti Szűrők lista az aktuálisan alkalmazott szűrőket jeleníti meg.

Az alapértelmezett incidenssorban válassza a Szűrő hozzáadása lehetőséget a Szűrő hozzáadása legördülő menü megjelenítéséhez, amelyből az incidenssorra alkalmazandó szűrőket adhatja meg a megjelenített incidensek halmazának korlátozásához. Íme egy példa.

Az incidenssor Szűrők panelje a Microsoft Defender portálon.

Válassza ki a használni kívánt szűrőket, majd a lista alján válassza a Hozzáadás lehetőséget, hogy elérhetővé tegye őket.

Ekkor megjelennek a kiválasztott szűrők a meglévő alkalmazott szűrőkkel együtt. A feltételek megadásához válassza ki az új szűrőt. Ha például a "Szolgáltatás/észlelési források" szűrőt választotta, válassza ki azt, és válassza ki azokat a forrásokat, amelyek alapján szűrni szeretné a listát.

A Szűrő panelt úgy is megtekintheti, hogy kiválasztja bármelyik szűrőt az incidensek listája fölötti Szűrők listában.

Ez a táblázat felsorolja az elérhető szűrőneveket.

Szűrő neve Leírás/feltételek
Állapot Válassza az Új, Folyamatban vagy Megoldott lehetőséget.
Riasztás súlyossága
Incidens súlyossága
Egy riasztás vagy incidens súlyossága jelzi, hogy milyen hatással lehet az eszközökre. Minél nagyobb a súlyosság, annál nagyobb a hatás, és általában a leg azonnalibb figyelmet igényli. Válassza a Magas, Közepes, Alacsony vagy Tájékoztató lehetőséget.
Incidens-hozzárendelés Válassza ki a hozzárendelt felhasználót vagy felhasználókat.
Több szolgáltatásforrás Adja meg, hogy a szűrő több szolgáltatásforrásra is vonatkoznak-e.
Szolgáltatás-/észlelési források Adja meg azokat az incidenseket, amelyek az alábbiak közül egy vagy több riasztását tartalmazzák:
  • Microsoft Defender for Identity
  • Microsoft Defender for Cloud Apps
  • Végponthoz készült Microsoft Defender
  • Microsoft Defender XDR
  • Office 365-höz készült Microsoft Defender
  • Alkalmazásirányítás
  • Microsoft Entra ID Protection
  • Microsoft adatveszteség-megelőzés
  • Microsoft Defender for Cloud
  • Microsoft Sentinel

    Ezen szolgáltatások közül számos kibontható a menüben, hogy további észlelési forrásokat jelenítsen meg egy adott szolgáltatáson belül.
  • Címkék Jelöljön ki egy vagy több címkenevet a listából.
    Több kategória Itt adhatja meg, hogy a szűrő több kategóriára is igaz-e.
    Kategóriák Válassza ki a kategóriákat, hogy a látott taktikákra, technikákra vagy támadási összetevőkre összpontosítson.
    Entitások Adja meg egy eszköz nevét, például felhasználó, eszköz, postaláda vagy alkalmazás nevét.
    Adatérzékenység Egyes támadások a bizalmas vagy értékes adatok kiszűrésére összpontosítanak. Ha szűrőt alkalmaz adott bizalmassági címkékre, gyorsan megállapíthatja, hogy a bizalmas adatok esetleg sérültek-e, és rangsorolhatja az incidensek kezelését.

    Ez a szűrő csak akkor jelenít meg információkat, ha bizalmassági címkéket alkalmazott a Microsoft Purview Information Protection szolgáltatásból.
    Eszközcsoportok Adja meg az eszközcsoport nevét.
    Operációsrendszer-platform Adja meg az eszköz operációs rendszereit.
    Osztályozás Adja meg a kapcsolódó riasztások besorolási halmazát.
    Automatizált vizsgálati állapot Adja meg az automatizált vizsgálat állapotát.
    Társított fenyegetés Adjon meg egy megnevezett fenyegetést.
    Riasztási házirendek Adjon meg egy riasztási szabályzatcímet.
    Riasztási előfizetés azonosítói Adjon meg egy riasztást egy előfizetés-azonosító alapján.

    Az alapértelmezett szűrő az összes riasztás és incidens megjelenítése Új és Folyamatban állapottal, magas, közepes vagy alacsony súlyossággal.

    Gyorsan eltávolíthat egy szűrőt, ha kiválasztja az X-et egy szűrő nevében a Szűrők listában.

    Az incidensek oldalon szűrőkészleteket is létrehozhat, ha a Mentett szűrő lekérdezések > Szűrőkészlet létrehozása lehetőséget választja. Ha nem hozott létre szűrőkészletet, válassza a Mentés lehetőséget a létrehozáshoz.

    Az incidenssorhoz tartozó szűrőkészletek létrehozása lehetőség a Microsoft Defender portálon.

    Megjegyzés:

    A Microsoft Defender XDR ügyfelei mostantól riasztásokkal szűrhetik az incidenseket, ha egy feltört eszköz a vállalati hálózathoz csatlakoztatott operatív technológiai (OT) eszközökkel kommunikál a Microsoft Defender for IoT és a Végponthoz készült Microsoft Defender eszközfelderítési integrációján keresztül. Az incidensek szűréséhez válassza a Bármely lehetőséget a Szolgáltatás/észlelés forrásokban, majd válassza a Microsoft Defender for IoT elemet a Terméknévben, vagy tekintse meg az Incidensek és riasztások vizsgálata a Microsoft Defender for IoT-ben a Defender portálon című cikket. Eszközcsoportokkal is szűrhet helyspecifikus riasztásokra. További információ az IoT-hez készült Defender előfeltételeiről: Ismerkedés a vállalati IoT-monitorozással a Microsoft Defender XDR-ben.

    Egyéni szűrők mentése URL-címként

    Miután konfigurált egy hasznos szűrőt az incidensek várólistáján, könyvjelzővel láthatja el a böngészőlap URL-címét, vagy más módon mentheti azt weblapra, Word-dokumentumba vagy tetszőleges helyre mutató hivatkozásként. A könyvjelzők segítségével egyetlen kattintással hozzáférhet az incidenssor főbb nézeteihez, például:

    • Új incidensek
    • Nagy súlyosságú incidensek
    • Nem hozzárendelt incidensek
    • Nagy súlyosságú, hozzárendelés nélküli incidensek
    • Hozzám rendelt incidensek
    • Hozzám és végponthoz készült Microsoft Defenderhez rendelt incidensek
    • Adott címkével vagy címkével rendelkező incidensek
    • Adott fenyegetéskategóriával rendelkező incidensek
    • Adott kapcsolódó fenyegetéssel rendelkező incidensek
    • Adott szereplővel kapcsolatos incidensek

    Miután lefordította és URL-címként tárolta a hasznos szűrőnézetek listáját, a használatával gyorsan feldolgozhatja és rangsorolhatja az incidenseket az üzenetsorban, és kezelheti őket a későbbi hozzárendelésekhez és elemzésekhez.

    Az incidensek listája feletti Név vagy azonosító keresése mezőben számos módon kereshet incidenseket, hogy gyorsan megtalálja, amit keres.

    Keresés incidens neve vagy azonosítója alapján

    Az incidens azonosítójának vagy az incidens nevének beírásával közvetlenül megkeresheti az incidenst. Amikor kiválaszt egy incidenst a keresési eredmények listájából, a Microsoft Defender portál megnyit egy új lapot az incidens tulajdonságaival, ahonnan megkezdheti a vizsgálatot.

    Keresés az érintett eszközök alapján

    Elnevezhet egy objektumot – például felhasználót, eszközt, postaládát, alkalmazásnevet vagy felhőbeli erőforrást –, és megkeresheti az adott objektumhoz kapcsolódó összes incidenst.

    Időtartomány megadása

    Az incidensek alapértelmezett listája az elmúlt hat hónapban történt eseményekre érvényes. A naptár ikon melletti legördülő listából megadhat egy új időtartományt a következő gombra kattintva:

    • Egy napon
    • Három nap
    • Egy hét
    • 30 nap
    • 30 nap
    • Hat hónap
    • Egyéni tartomány, amelyben dátumokat és időpontokat is megadhat

    Következő lépések

    Miután megállapította, hogy melyik incidens igényli a legmagasabb prioritást, válassza ki, és:

    • Kezelheti az incidens tulajdonságait címkékhez, hozzárendeléshez, a téves pozitív incidensek azonnali megoldásához és megjegyzésekhez.
    • Kezdje meg a nyomozást.

    Lásd még

    Tipp

    Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.