Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A Microsoft Defender portál korrelációs analitikát alkalmaz, és összesíti a különböző termékek kapcsolódó riasztásait és automatizált vizsgálatát egy incidensbe. Microsoft Sentinel és Defender XDR egyedi riasztásokat is aktiválnak az olyan tevékenységekről, amelyek csak rosszindulatúként azonosíthatók, mivel az egységes platform teljes termékcsomagja teljes körű láthatósága teljes körű. Ez a nézet szélesebb körű támadási történetet biztosít a biztonsági elemzőknek, ami segít nekik jobban megérteni és kezelni a szervezet összetett fenyegetéseit.
Fontos
Microsoft Sentinel általánosan elérhető az Microsoft Defender portálon, Microsoft Defender XDR vagy E5 licenccel vagy anélkül. További információ: Microsoft Sentinel az Microsoft Defender portálon.
2027. március 31. után a Microsoft Sentinel már nem támogatott a Azure Portal, és csak a Microsoft Defender portálon lesz elérhető.
Ha jelenleg Microsoft Sentinel használ a Azure Portal, javasoljuk, hogy kezdje el megtervezni a Defender portálra való áttérést, hogy zökkenőmentes átmenetet biztosítson, és teljes mértékben kihasználhassa a Microsoft Defender által kínált egységes biztonsági üzemeltetési élményt. További információ: A Microsoft Sentinel környezet átvezetése a Defender portálra és A Microsoft Defender portálra való áttérés megtervezése az összes Microsoft Sentinel ügyfél számára (blog).
Incidenssor
Az Incidensek üzenetsor az eszközök, felhasználók, postaládák és egyéb erőforrások között létrehozott incidensek üzenetsorát jeleníti meg. Segít az incidensek osztályozásában, a megalapozott kiberbiztonsági reagálási döntések rangsorolásában és létrehozásában.
Keresse meg az incidenssort az Incidensek & riasztások > Incidensek oldalon a Microsoft Defender portál gyors elindításával.
Válassza a Legutóbbi incidensek és riasztások lehetőséget a fogadott riasztások és az elmúlt 24 órában létrehozott incidensek számának idővonal-diagramjának váltásához.
Az incidenssor tartalmazza a Defender Queue Assistantet, amely segít a biztonsági csapatoknak átvágni a nagy számú incidenst, és a legfontosabb incidensekre összpontosítani. Egy gépi tanulási rangsorolási algoritmus használatával a Queue Assistant felfedi a legmagasabb prioritású incidenseket, elmagyarázza a rangsor mögötti okokat, és intuitív eszközöket biztosít az incidenssor rendezéséhez és szűréséhez. Az algoritmus az összes riasztáshoz, a Microsoft natív riasztásaihoz, egyéni észlelésekhez vagy külső jelekhez fut. Az algoritmus valós anonimizált adatokon van betanítva, és többek között a következő adatpontokat veszi figyelembe a prioritási pontszám kiszámításakor:
- Támadáskimaradási jelek
- Veszélyforrás-statisztika
- Súlyossága
- Snr
- MITRE-technikák
- Eszközkritikusság
- Riasztástípusok és ritkaság
- Magas szintű fenyegetések, például zsarolóprogramok és nemzetállami támadások.
Az incidensek automatikusan 0 és 100 közötti prioritási pontszámot kapnak, és a 100 a legmagasabb prioritás. A pontszámtartományok színkódoltak az alábbiak szerint:
- Piros: Legmagasabb prioritás (85. pontszám > )
- Narancssárga: Közepes prioritás (15–85)
- Szürke: Alacsony prioritás (<15)
Az incidens nevét kivéve bárhol kijelölheti az incidenssort, hogy megjelenítsen egy összegző panelt, amely az incidenssel kapcsolatos legfontosabb információkat tartalmazza. A panel tartalmazza a prioritásértékelést, a prioritási pontszámot befolyásoló tényezőket, az incidens részleteit, az ajánlott műveleteket és a kapcsolódó fenyegetéseket. A panel tetején található felfelé és lefelé mutató nyilakkal navigálhat az incidenssor előző vagy következő incidensére. Az incidens kivizsgálásával kapcsolatos további információkért lásd: Incidensek vizsgálata.
Alapértelmezés szerint az incidenssor az elmúlt héten létrehozott incidenseket jeleníti meg. Válasszon másik időkeretet az üzenetsor fölötti Időválasztó legördülő listából.
Az üzenetsorban lévő incidensek teljes száma megjelenik az időválasztó mellett. Az incidensek száma a használt szűrőktől függően változik. Az incidenseket név vagy incidensazonosító alapján keresheti meg
Válassza az Oszlopok testreszabása lehetőséget az üzenetsorban megjelenő oszlopok kiválasztásához. Jelölje be az incidenssorban megjeleníteni kívánt oszlopokat, vagy törölje belőle a jelölést. Az oszlopok sorrendjét felfelé és lefelé húzva rendezheti el.
Az Exportálás gombbal exportálhatja az incidenssor szűrt adatait egy CSV-fájlba. A CSV-fájlba exportálható rekordok maximális száma 10 000.
Incidensnevek
A Microsoft Defender XDR automatikusan generál incidensneveket az olyan riasztási attribútumok alapján, mint az érintett végpontok száma, az érintett felhasználók, az észlelési források vagy a kategóriák. Ezzel az elnevezéssel gyorsan megértheti az incidens hatókörét.
Például: Többfázisú incidens több, több forrás által jelentett végponton.
Ha előkészítette Microsoft Sentinel a Defender portálra, akkor a Microsoft Sentinel érkező riasztások és incidensek neve valószínűleg megváltozik (függetlenül attól, hogy az előkészítés előtt vagy óta lettek létrehozva).
Javasoljuk, hogy ne használja az incidens nevét az automatizálási szabályok aktiválásának feltételeként. Ha az incidens neve feltétel, és az incidens neve megváltozik, a szabály nem aktiválódik.
Szűrők
Az incidenssor emellett több szűrési lehetőséget is biztosít, amelyek alkalmazásakor lehetővé teszi a környezetében meglévő incidensek széles körű áttekintését, vagy egy adott forgatókönyvre vagy fenyegetésre való összpontosítást. Ha szűrőket alkalmaz az incidenssorra, az segíthet meghatározni, hogy melyik incidens igényel azonnali figyelmet.
Az incidenssor fölötti Szűrők lista az üzenetsorra jelenleg alkalmazott aktuális szűrőket jeleníti meg. Válassza a Szűrő hozzáadása lehetőséget további szűrők alkalmazásához a megjelenített incidensek halmazának korlátozásához.
Jelölje ki a használni kívánt szűrőket, majd válassza a Hozzáadás lehetőséget. A kiválasztott szűrők a meglévő alkalmazott szűrőkkel együtt jelennek meg. A feltételek megadásához válassza ki az új szűrőt. Ha például a "Szolgáltatás/észlelési források" szűrőt választotta, válassza ki azt, és válassza ki azokat a forrásokat, amelyek alapján szűrni szeretné a listát.
A szűrők eltávolításához válassza a szűrő listában a szűrő nevének X elemét.
Az alábbi táblázat az elérhető szűrőket sorolja fel.
| Szűrő neve | Leírás/feltételek |
|---|---|
| Állapot | Válassza az Új, Folyamatban vagy Megoldott lehetőséget. |
|
Riasztás súlyossága Incidens súlyossága |
Egy riasztás vagy incidens súlyossága jelzi, hogy milyen hatással lehet az eszközökre. Minél nagyobb a súlyosság, annál nagyobb a hatás, és általában a leg azonnalibb figyelmet igényli. Válassza a Magas, Közepes, Alacsony vagy Tájékoztató lehetőséget. |
| Incidens-hozzárendelés | Válassza ki a hozzárendelt felhasználót vagy felhasználókat. |
| Több szolgáltatásforrás | Adja meg, hogy a szűrő több szolgáltatásforrásra is vonatkoznak-e. |
| Szolgáltatás-/észlelési források | Adja meg azokat az incidenseket, amelyek az alábbiak közül egy vagy több riasztását tartalmazzák: Ezen szolgáltatások közül számos kibontható a menüben, hogy további észlelési forrásokat jelenítsen meg egy adott szolgáltatáson belül. |
| Címkék | Jelöljön ki egy vagy több címkenevet a listából. |
| Több kategória | Itt adhatja meg, hogy a szűrő több kategóriára is igaz-e. |
| Kategóriák | Válassza ki a kategóriákat, hogy a látott taktikákra, technikákra vagy támadási összetevőkre összpontosítson. |
| Entitások | Adja meg egy eszköz nevét, például felhasználó, eszköz, postaláda vagy alkalmazás nevét. |
| Bizalmassági címke | Szűrje az incidenseket az adatokra alkalmazott bizalmassági címke alapján. Egyes támadások a bizalmas vagy értékes adatok kiszűrésével foglalkoznak. Ha szűrőt alkalmaz adott bizalmassági címkékre, gyorsan megállapíthatja, hogy a bizalmas adatok esetleg sérültek-e, és fontossági sorrendbe állíthatja az incidensek kezelését. |
| Eszközcsoportok | Adja meg az eszközcsoport nevét. |
| Operációsrendszer-platform | Adja meg az eszköz operációs rendszereit. |
| Osztályozás | Adja meg a kapcsolódó riasztások besorolási halmazát. |
| Automatizált vizsgálati állapot | Adja meg az automatizált vizsgálat állapotát. |
| Társított fenyegetés | Adjon meg egy megnevezett fenyegetést. |
| Szabályzat/szabályzatszabály | Incidensek szűrése szabályzat vagy szabályzatszabály alapján. |
| Terméknevek | Incidensek szűrése a terméknév alapján. |
| Adatfolyam | Incidensek szűrése a hely vagy a számítási feladat alapján. |
Megjegyzés:
Ha rendelkezik hozzáféréssel a Microsoft Purview belső kockázatkezelés, megtekintheti és kezelheti a belső kockázatkezelési riasztásokat, és megkeresheti a belső kockázatkezelési eseményeket a Microsoft Defender portálon. További információ: Insider risk threats in the Microsoft Defender portal (Belső kockázati fenyegetések vizsgálata a Microsoft Defender portálon).
Az alapértelmezett szűrő az összes riasztás és incidens megjelenítése Új és Folyamatban állapottal, magas, közepes vagy alacsony súlyossággal.
Az incidensek oldalon szűrőkészleteket is létrehozhat, ha a Mentett szűrő lekérdezések > Szűrőkészlet létrehozása lehetőséget választja. Ha nem hozott létre szűrőkészletet, válassza a Mentés lehetőséget a létrehozáshoz.
Megjegyzés:
Microsoft Defender XDR az ügyfelek mostantól riasztásokkal szűrhetik az incidenseket, ha egy feltört eszköz az IoT-hez készült Microsoft Defender eszközfelderítési integrációján keresztül kommunikált a vállalati hálózathoz csatlakoztatott operatív technológiai (OT) eszközökkel, és Végponthoz készült Microsoft Defender. Az incidensek szűréséhez válassza a Bármely lehetőséget a Szolgáltatás/észlelés forrásokban, majd válassza a Microsoft Defender az IoT-hez lehetőséget a Terméknév területen, vagy tekintse meg az incidensek és riasztások kivizsgálása Microsoft Defender az IoT-hez a Defender portálon című cikket. Eszközcsoportokkal is szűrhet helyspecifikus riasztásokra. További információ az IoT-hez készült Defender előfeltételeiről: Ismerkedés a vállalati IoT-monitorozással Microsoft Defender XDR.
Egyéni szűrők mentése URL-címként
Miután konfigurált egy hasznos szűrőt az incidensek várólistáján, könyvjelzővel láthatja el a böngészőlap URL-címét, vagy más módon mentheti hivatkozásként egy weblapra, egy Word dokumentumba vagy egy tetszőleges helyre. A könyvjelzők segítségével egyetlen kattintással hozzáférhet az incidenssor főbb nézeteihez, például:
- Új incidensek
- Nagy súlyosságú incidensek
- Nem hozzárendelt incidensek
- Nagy súlyosságú, hozzárendelés nélküli incidensek
- Hozzám rendelt incidensek
- Nekem és Végponthoz készült Microsoft Defender-hez rendelt incidensek
- Adott címkével vagy címkével rendelkező incidensek
- Adott fenyegetéskategóriával rendelkező incidensek
- Adott kapcsolódó fenyegetéssel rendelkező incidensek
- Adott szereplővel kapcsolatos incidensek
Miután lefordította és URL-címként tárolta a hasznos szűrőnézetek listáját, a használatával gyorsan feldolgozhatja és rangsorolhatja az incidenseket az üzenetsorban, és kezelheti őket a későbbi hozzárendelésekhez és elemzésekhez.
Keresés
Az incidensek listája feletti Név vagy azonosító keresése mezőben számos módon kereshet incidenseket, hogy gyorsan megtalálja, amit keres.
Keresés incidens neve vagy azonosítója alapján
Az incidens azonosítójának vagy az incidens nevének beírásával közvetlenül megkeresheti az incidenst. Amikor kiválaszt egy incidenst a keresési eredmények listájából, a Microsoft Defender portál megnyit egy új lapot az incidens tulajdonságaival, ahonnan megkezdheti a vizsgálatot.
Keresés az érintett eszközök alapján
Elnevezhet egy objektumot – például felhasználót, eszközt, postaládát, alkalmazásnevet vagy felhőbeli erőforrást –, és megkeresheti az adott objektumhoz kapcsolódó összes incidenst.
Időtartomány megadása
Az incidensek alapértelmezett listája az elmúlt hat hónapban történt eseményekre érvényes. A naptár ikon melletti legördülő listából megadhat egy új időtartományt a következő gombra kattintva:
- Egy nap
- Három nap
- Egy hét
- 30 nap
- 30 nap
- Hat hónap
- Egyéni tartomány, amelyben dátumokat és időpontokat is megadhat
Következő lépések
Miután megállapította, hogy melyik incidens igényli a legmagasabb prioritást, válassza ki, és:
- Kezelheti az incidens tulajdonságait címkékhez, hozzárendeléshez, a téves pozitív incidensek azonnali megoldásához és megjegyzésekhez.
- Kezdje meg a nyomozást.
Defender Boxed
Minden év januárja és júliusa során korlátozott ideig a Defender Boxed automatikusan megjelenik az incidenssor első megnyitásakor. A Defender Boxed kiemeli a szervezet biztonsági sikereit, fejlesztéseit és válaszlépéseit az elmúlt hat hónapban vagy naptári évben.
Megjegyzés:
A Defender Boxed csak azoknak a felhasználóknak érhető el, akik a Microsoft Defender portálon végeztek vonatkozó tevékenységeket.
A Defender Boxedben megjelenő kártyák sorozatában a következő műveleteket hajthatja végre:
Töltse le a szervezet más tagjaival megosztható eredmények részletes összefoglalását.
A Defender Boxed megjelenési gyakoriságának módosítása. Évente egyszer (januárban) vagy kétszer (januárban és júliusban) választhat.
A dia képként való mentésével megoszthatja eredményeit közösségimédia-hálózataiban, e-mailjeiben és más fórumaiban.
A Defender Boxed újbóli megnyitásához lépjen az Incidensek üzenetsorra, majd válassza a Védőkeretes elemet a panel jobb oldalán.
Lásd még
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.