Megosztás a következőn keresztül:


Incidensek kezelése Microsoft Defender

Az incidenskezelés kritikus fontosságú annak biztosításához, hogy az incidensek neve, hozzárendelése és címkézése optimalizálja az időt az incidens-munkafolyamatban, és gyorsabban tartalmazza és kezelje a fenyegetéseket.

Az incidenseket az Incidensek & riasztásokból > kezelheti az incidenseket a Microsoft Defender portál (security.microsoft.com) gyorsindításakor. Íme egy példa.

Képernyőkép az incidensek kezelésének lehetőségéről az incidenssoron belül és a gyorsindítási panelről a Microsoft Defender portálon.

Az incidensek kezelésének módjai a következők:

Az incidenseket az Incidensek kezelése panelen kezelheti. Íme egy példa.

Képernyőkép az incidens kezelése panelről a Microsoft Defender portálon.

Ezt a panelt az Incidens kezelése hivatkozáson jelenítheti meg a következő helyről:

  • Riasztási történet oldala.
  • Egy incidens Tulajdonságok panelje az incidenssorban.
  • Incidens összefoglaló oldala.
  • Incidens kezelése lehetőség az Incidens oldal jobb felső sarkában.

Azokban az esetekben, amikor riasztásokat szeretne áthelyezni az egyik incidensből a másikba, ezt a Riasztások lapon is megteheti, így nagyobb vagy kisebb incidenst hozhat létre, amely az összes releváns riasztást tartalmazza.

Az incidens nevének szerkesztése

Microsoft Defender automatikusan hozzárendel egy nevet olyan riasztási attribútumok alapján, mint az érintett végpontok száma, az érintett felhasználók, az észlelési források vagy a kategóriák. Az incidens neve lehetővé teszi az incidens hatókörének gyors megértését. Például: Többfázisú incidens több, több forrás által jelentett végponton.

Az incidens nevét az Incidens kezelése panel Incidens neve mezőjében szerkesztheti.

Megjegyzés:

Azok az incidensek, amelyek az automatikus incidenselnevezési funkció bevezetése előtt léteztek, megőrzik a nevüket.

Incidens súlyosságának hozzárendelése vagy módosítása

Az incidens súlyosságát az Incidens kezelése panel Súlyosság mezőjében rendelheti hozzá vagy módosíthatja. Az incidens súlyosságát az ahhoz társított riasztások legmagasabb súlyossága határozza meg. Az incidens súlyossága beállítható magas, közepes, alacsony vagy tájékoztató értékre.

Incidenscímkék hozzáadása

Hozzáadhat egyéni címkéket egy incidenshez, például megjelölheti az incidensek egy csoportját egy közös jellemzővel. Később szűrheti az incidenssort az összes olyan incidensre, amely egy adott címkét tartalmaz.

A korábban használt és a kijelölt címkék listájából való kiválasztási lehetőség a gépelés megkezdése után jelenik meg.

Az incidensek tartalmazhatnak rendszercímkéket és/vagy egyéni címkéket bizonyos színháttérrel. Az egyéni címkék a fehér hátteret, míg a rendszercímkék általában piros vagy fekete háttérszínt használnak. A rendszercímkék az alábbiakat azonosítják egy incidensben:

  • Támadás típusa, például hitelesítő adatok adathalászata vagy BEC-csalás
  • Automatikus műveletek, például automatikus vizsgálat és reagálás és automatikus támadáskimaradás
  • Incidenst kezelő Defender-szakértők
  • Az incidensben érintett kritikus fontosságú eszközök

Tipp

A Microsoft Biztonságikitettség-kezelés előre meghatározott besorolások alapján automatikusan kritikus objektumként címkézi meg az eszközöket, az identitásokat és a felhőbeli erőforrásokat. Ez a beépített képesség biztosítja a szervezet értékes és legfontosabb eszközeinek védelmét. Emellett segít a biztonsági üzemeltetési csapatoknak a vizsgálat és a szervizelés rangsorolásában. Tudjon meg többet a kritikus eszközkezelésről.

Incidens hozzárendelése

Válassza a Hozzárendelés mezőbe, és adja meg az incidens hozzárendeléséhez használandó felhasználói fiókot. Incidens újbóli hozzárendeléséhez távolítsa el az aktuális hozzárendelési fiókot a fiók neve melletti "x" kiválasztásával, majd válassza a Hozzárendelés mezőbe. Az incidens tulajdonjogának hozzárendelése ugyanazt a tulajdonjogot rendeli hozzá az összes kapcsolódó riasztáshoz.

Az incidenssor szűrésével lekérheti az Önhöz rendelt incidensek listáját.

  1. Az incidenssoron válassza a Szűrők lehetőséget.
  2. Az Incidens-hozzárendelés szakaszban törölje az Összes kijelölése jelölőnégyzet jelölését. Válassza a Hozzárendelt, a Hozzárendelt egy másik felhasználóhoz vagy a Hozzárendelt egy felhasználói csoporthoz lehetőséget.
  3. Válassza az Alkalmaz lehetőséget, majd zárja be a Szűrők panelt.

Ezután könyvjelzőként mentheti az eredményként kapott URL-címet, így gyorsan megtekintheti az Önhöz rendelt incidensek listáját.

Incidens megoldása

Egy incidens szervizelése és megoldása után válassza az Állapot legördülő listából a Feloldva lehetőséget. Az incidensek megoldása az incidenshez kapcsolódó összes csatolt és aktív riasztást is megoldja.

Amikor egy incidens állapotát Feloldva állapotra módosítja, egy új mező jelenik meg közvetlenül az Állapot mező után. Írjon be egy megjegyzést ebbe a mezőbe, amely elmagyarázza, hogy miért tekinti az incidens megoldásának okát. Ez a megjegyzés látható az incidens tevékenységnaplójában, az incidens feloldását rögzítő bejegyzés közelében.

Képernyőkép az incidenskezelési panelről az incidensfeloldási megjegyzéssel.

Az incidensek várólistáján és a megoldott incidensek incidensoldalán az incidensfeloldási megjegyzést az oldalpanel Incidens részletei szakaszában tekintheti meg.

Képernyőkép a megoldási megjegyzés megjelenéséről az incidens részleteinek paneljén.

Az incidensek megoldása az incidenshez kapcsolódó összes csatolt és aktív riasztást is megoldja. A fel nem oldott incidens aktívként jelenik meg.

A besorolás megadása

A Besorolás mezőben adja meg, hogy az incidens a következő-e:

  • Nincs beállítva (ez az alapértelmezett beállítás).
  • Valódi pozitív , egy fenyegetéstípussal. Ezt a besorolást olyan incidensekhez használja, amelyek pontosan jelzik a valós fenyegetést. A fenyegetéstípus megadása segít a biztonsági csapatnak a fenyegetési minták megtekintésében, és a szervezet védelmében.
  • Tájékoztató, elvárt tevékenység egy tevékenységtípussal. Az ebben a kategóriában található beállításokkal besorolhatja az incidenseket a biztonsági tesztekhez, a vörös csapattevékenységhez, valamint a megbízható alkalmazásoktól és felhasználóktól elvárt szokatlan viselkedéshez.
  • A tévesen pozitív típusú incidensek figyelmen kívül hagyhatók, mert technikailag pontatlanok vagy félrevezetőek.

Az incidensek besorolása, valamint állapotuk és típusuk megadása segít a Microsoft Defender XDR finomhangolásában, hogy idővel pontosabb észlelési meghatározást biztosítson.

Megjegyzések hozzáadása

A Megjegyzés mezővel több megjegyzést is hozzáadhat egy incidenshez. A megjegyzésmező támogatja a szöveget és a formázást, a hivatkozásokat és a képeket. Minden megjegyzés legfeljebb 30 000 karakter hosszúságú lehet.

Minden megjegyzés hozzá lesz adva az incidens előzményeihez. Az incidensek megjegyzéseit és előzményeit az Összefoglalás lap Megjegyzések és előzmények hivatkozásán tekintheti meg.

Tevékenységnapló

A Tevékenységnapló megjeleníti az incidenshez kapcsolódó összes megjegyzést és műveletet, amelyeket Audits and comments (Naplók és megjegyzések) néven ismerünk. Az incidensen végrehajtott összes módosítást, akár egy felhasználó, akár a rendszer rögzíti a tevékenységnaplóban. A tevékenységnapló az incidens oldalának Tevékenységnapló lehetőségében vagy az incidensoldali panelen érhető el.

Képernyőkép a tevékenységnapló lehetőségről az Microsoft Defender portál incidensoldaláról.

A naplóban lévő tevékenységeket megjegyzésekkel és műveletekkel szűrheti. Kattintson a Tartalom: Naplózás, Megjegyzések elemre, majd válassza ki a tartalomtípust a tevékenységek szűréséhez. Íme egy példa.

Képernyőkép a Microsoft Defender portál incidensoldaláról a tevékenységnapló panelen található szűrési beállításokról.

Saját megjegyzéseket is hozzáadhat a tevékenységnaplóban elérhető megjegyzésmező használatával. A megjegyzésmező szöveget és formázást, hivatkozásokat és képeket fogad el.

Képernyőkép a Microsoft Defender portál incidensoldalán található megjegyzésmezőről.

Incidensadatok exportálása PDF-fájlba

Fontos

A cikkben található információk egy része olyan előzetesen kiadott termékre vonatkozik, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal semmilyen, kifejezett vagy vélelmezett jótállást az itt megadott információkra vonatkozóan.

Az incidensadatok exportálása funkció jelenleg Microsoft Defender XDR és a Microsoft egységes biztonsági üzemeltetési központ (SOC) platformjának azon ügyfelei számára érhető el, akik a biztonsági licenchez Microsoft Copilot.

Az incidens adatait PDF-be exportálhatja az Incidens exportálása PDF-fájlként funkcióval, és MENTheti PDF formátumban. Ez a függvény lehetővé teszi, hogy a biztonsági csapatok bármikor offline állapotban tekintik át az incidens részleteit.

Az exportált incidensadatok a következő információkat tartalmazzák:

Íme egy példa az exportált PDF-fájlra:

Képernyőkép az exportált PDF első oldaláról.

Ha rendelkezik a Copilot for Security licenccel, az exportált PDF a következő további incidensadatokat tartalmazza:

Az Exportálás PDF-be függvény a Copilot oldalpaneljén is elérhető. Ha a További műveletek három pontot (...) választja az incidensjelentés eredménykártyájának jobb felső sarkában, válassza az Incidens exportálása PDF-ként lehetőséget.

Képernyőkép az incidensjelentés eredménykártyáján található további műveletekről.

A PDF létrehozásához hajtsa végre a következő lépéseket:

  1. Nyisson meg egy incidensoldalt. Válassza a jobb felső sarokban található További műveletek három pontot (...), majd az Incidens exportálása PDF-ként lehetőséget.

    Képernyőkép a További műveletek három pontról az incidens oldalán.

  2. A következő párbeszédpanelen erősítse meg a PDF-fájlban szerepeltetni vagy kizárni kívánt incidensadatokat. Alapértelmezés szerint minden incidensadat ki van jelölve. A folytatáshoz válassza a PDF exportálása lehetőséget.

    Képernyőkép az incidens PDF-be exportálása lehetőségről.

  3. Az incidens címe alatt megjelenik egy állapotüzenet, amely a letöltés aktuális állapotát jelzi. Az exportálási folyamat eltarthat néhány percig az incidens összetettségétől és az exportálandó adatok mennyiségétől függően.

    Képernyőkép az exportálási üzenetről és az állapotról letöltés előtt.

  4. Megjelenik egy másik párbeszédpanel, amely jelzi, hogy a PDF kész. Válassza a Letöltés lehetőséget a párbeszédpanelen a PDF-fájl eszközre mentéséhez. Az incidens címe alatti állapotüzenet is frissül, jelezve, hogy a letöltés elérhető.

    Képernyőkép az exportálási üzenetről és az állapotról, ha a letöltés elérhető.

A jelentés gyorsítótárazása néhány percig tart. A rendszer biztosítja a korábban létrehozott PDF-fájlt, ha rövid időn belül újra megpróbálja exportálni ugyanazt az incidenst. A PDF újabb verziójának létrehozásához várjon néhány percet, amíg a gyorsítótár lejár.

Következő lépések

Új incidensek esetén kezdje meg a vizsgálatot.

Folyamatban lévő incidensek esetén folytassa a vizsgálatot.

Megoldott incidensek esetén végezze el az incidens utáni felülvizsgálatot.

Lásd még

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.