Incidensek rangsorolása Microsoft 365 Defender

  • Cikk
  • 4 perc alatt elolvasható

Megjegyzés:

Szeretne Microsoft 365 Defender tapasztalni? További információ arról, hogyan értékelheti ki és tesztelheti a Microsoft 365 Defender.

Érintett szolgáltatás:

  • Microsoft 365 Defender

Microsoft 365 Defender korrelációs analitikát alkalmaz, és összesíti a kapcsolódó riasztásokat és a különböző termékekből származó automatizált vizsgálatokat egy incidensbe. Microsoft 365 Defender egyedi riasztásokat is aktivál azokról a tevékenységekről, amelyek csak akkor azonosíthatók rosszindulatúként, ha a Microsoft 365 Defender teljes termékcsomagja teljes körűen látható. Ez a nézet szélesebb körű támadási történetet biztosít a biztonsági elemzőknek, amely segít nekik jobban megérteni és kezelni a szervezet összetett fenyegetéseit.

Az Incidensek üzenetsor az eszközök, felhasználók és postaládák között létrehozott incidensek gyűjteményét jeleníti meg. Segít az incidensek rendezésében egy tájékozott kiberbiztonsági reagálási döntés, az incidensek osztályozása néven ismert folyamat rangsorolása és létrehozása érdekében.

Az incidensek üzenetsorát az Incidensek riasztásokból &> érheti el Az incidensek a Microsoft 365 Defender portál gyors elindításával. Íme egy példa.

Az Incidens szakasz az incidenssort mutatja a Microsoft 365 Defender portálon.

A Legutóbbi incidensek és riasztások szakasz a fogadott riasztások és az elmúlt 24 órában létrehozott incidensek számát ábrázolja.

Alapértelmezés szerint a Microsoft 365 Defender portál incidenssora az elmúlt hat hónapban látott incidenseket jeleníti meg. A legutóbbi incidens a lista tetején található, így ön láthatja először.

Az incidenssor testreszabható oszlopokkal rendelkezik (válassza az Oszlopok kiválasztása lehetőséget), amelyek betekintést nyújtanak az incidens vagy az érintett entitások különböző jellemzőibe. Ez segít megalapozott döntést hozni az incidensek rangsorolásáról elemzés céljából.

A további láthatóság érdekében az automatikus incidenselnevezés riasztási attribútumok, például az érintett végpontok száma, az érintett felhasználók, az észlelési források vagy kategóriák alapján hoz létre incidensneveket. Ez lehetővé teszi az incidens hatókörének gyors megértését.

Például: Többfázisú incidens több, több forrás által jelentett végponton.

Megjegyzés:

Az automatikus incidenselnevezés bevezetése előtt meglévő incidensek neve nem módosul.

Az incidenssor emellett több szűrési lehetőséget is biztosít, amelyek alkalmazásakor lehetővé teszi a környezetében meglévő incidensek széles körű áttekintését, vagy egy adott forgatókönyvre vagy fenyegetésre való összpontosítást. Ha szűrőket alkalmaz az incidenssorra, az segíthet meghatározni, hogy melyik incidens igényel azonnali figyelmet.

Az incidensek listája feletti Szűrők lista az aktuálisan alkalmazott szűrőket jeleníti meg.

Elérhető szűrők

Az alapértelmezett incidenssoron a Szűrés lehetőséget választva megtekintheti a Szűrő panelt, amelyből megadhatja az incidensek szűrt készletét. Íme egy példa.

Az incidenssor Szűrők panelje a Microsoft 365 Defender portálon.

A Szűrő panelt úgy is megtekintheti, hogy kiválasztja bármelyik szűrőt az incidensek listája feletti Szűrők listában.

Ez a táblázat felsorolja az elérhető szűrőneveket.

Szűrő neve Leírás
Állapot Válassza az Új, Folyamatban vagy Megoldott lehetőséget.
Súlyossága Az incidens súlyossága jelzi, hogy milyen hatással lehet az eszközökre. Minél nagyobb a súlyosság, annál nagyobb a hatás, és általában a leg azonnalibb figyelmet igényli. Válassza a Magas, Közepes, Alacsony vagy Tájékoztató lehetőséget.
Incidens-hozzárendelés Válassza ki a hozzárendelt felhasználót vagy felhasználókat.
Több szolgáltatásforrás Adja meg, hogy a szűrő több szolgáltatásforrásra is vonatkoznak-e.
Szolgáltatásforrások Adja meg a következő riasztásokat tartalmazó incidenseket: App Governance, Microsoft 365 Defender, Office 365-höz készült Microsoft Defender, Végponthoz készült Microsoft Defender, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps.
Címkék Jelöljön ki egy vagy több címkenevet a listából.
Több kategória Itt adhatja meg, hogy a szűrő több kategóriára is igaz-e.
Kategóriák A kategóriák kiválasztásával a látott taktikákra, technikákra vagy támadási összetevőkre összpontosíthat.
Entitások Adja meg egy eszköz nevét, például felhasználó, eszköz, postaláda vagy alkalmazás nevét.
Adatérzékenység Egyes támadások a bizalmas vagy értékes adatok kiszűrésére összpontosítanak. Ha szűrőt alkalmaz adott bizalmassági címkékre, gyorsan megállapíthatja, hogy a bizalmas adatok esetleg sérültek-e, és rangsorolhatja az incidensek kezelését.

Ez a szűrő csak akkor jelenít meg információt, ha bizalmassági címkéket alkalmazott Microsoft Purview információvédelem.
Eszközcsoportok Adja meg az eszközcsoport nevét.
Operációsrendszer-platform Adja meg az eszköz operációs rendszereit.
Osztályozás Adja meg a kapcsolódó riasztások besorolási halmazát.
Automatizált vizsgálati állapot Adja meg az automatizált vizsgálat állapotát.
Társított fenyegetés Adjon meg egy megnevezett fenyegetést.
Szereplők Adjon meg egy megnevezett fenyegetési aktort.

Az alapértelmezett szűrő az összes riasztás és incidens megjelenítése Új és Folyamatban állapottal, alacsony,közepes vagy magas súlyossággal.

Gyorsan eltávolíthat egy szűrőt, ha kiválasztja az X-et egy szűrő nevében a Szűrők listában.

Egyéni szűrők mentése URL-címként

Miután konfigurált egy hasznos szűrőt az incidensek várólistáján, könyvjelzővel láthatja el a böngészőlap URL-címét, vagy más módon mentheti hivatkozásként egy weblapra, Egy Word-dokumentumra vagy egy tetszőleges helyre. Ez egykattintásos hozzáférést biztosít az incidenssor főbb nézeteihez, például:

  • Új incidensek
  • Nagy súlyosságú incidensek
  • Nem hozzárendelt incidensek
  • Nagy súlyosságú, hozzárendelés nélküli incidensek
  • Hozzám rendelt incidensek
  • Nekem és Végponthoz készült Microsoft Defender-hez rendelt incidensek
  • Adott címkével vagy címkével rendelkező incidensek
  • Adott fenyegetéskategóriával rendelkező incidensek
  • Adott kapcsolódó fenyegetéssel rendelkező incidensek
  • Adott szereplővel kapcsolatos incidensek

Miután lefordította és URL-címként tárolta a hasznos szűrőnézetek listáját, a használatával gyorsan feldolgozhatja és rangsorolhatja az incidenseket az üzenetsorban, és kezelheti őket a későbbi hozzárendelésekhez és elemzésekhez.

Incidensek keresése

Az incidensek listája feletti Név vagy azonosító keresése mezőbe beírhatja az incidensazonosítót vagy az incidens nevét. Amikor kiválaszt egy incidenst a keresési eredmények listájából, a Microsoft 365 Defender portál megnyit egy új lapot az incidens tulajdonságaival, ahonnan megkezdheti a vizsgálatot.

Érintett eszközök keresése

Elnevezhet egy objektumot – például felhasználót, eszközt, postaládát vagy alkalmazásnevet –, és megkeresheti az összes kapcsolódó incidenst.

Időtartomány megadása

Az incidensek alapértelmezett listája az elmúlt hat hónapban történt eseményekre érvényes. A naptár ikon melletti legördülő listából megadhat egy új időtartományt a következő gombra kattintva:

  • 1 nap
  • 3 nap
  • 1 hét
  • 30 nap
  • 30 nap
  • 6 hónap
  • Egyéni tartomány, amelyben dátumokat és időpontokat is megadhat

Következő lépések

Miután megállapította, hogy melyik incidens igényli a legmagasabb prioritást, válassza ki, és:

  • Kezelheti az incidens tulajdonságait címkékhez, hozzárendeléshez, a téves pozitív incidensek azonnali megoldásához és megjegyzésekhez.
  • Kezdje meg a nyomozást.

Lásd még