Svare på din første hendelse i Microsoft Defender XDR
Gjelder for:
- Microsoft Defender XDR
Denne veiledningen viser Microsoft-ressurser for nye Microsoft Defender XDR brukere til å trygt utføre daglige hendelsesresponsoppgaver mens de bruker portalen. De tiltenkte resultatene av å bruke denne veiledningen er:
- Du vil raskt lære å bruke Microsoft Defender XDR til å svare på hendelser og varsler.
- Du vil oppdage portalens funksjoner for å hjelpe hendelsesundersøkelse og utbedring gjennom videoer og veiledninger.
Microsoft Defender XDR gjør det mulig å se relevante trusselhendelser på tvers av alle ressurser (enheter, identiteter, postbokser, skyapper og mer). Portalen konsoliderer signaler fra Defender Protection Suite, Microsoft Sentinel og andre integrerte sikkerhetsinformasjons- og hendelsesbehandlingsløsninger (SIEM). Korrelert angrepsinformasjon med full kontekst i én enkelt glassrute gjør det mulig å forsvare og beskytte organisasjonen.
Denne veiledningen har tre hovedinndelinger:
- Forstå hendelser: tilgang til, triaging og administrasjon av hendelser i portalen
- Analysere angrep: en samling videoer og veiledninger om hvordan du undersøker bestemte angrep ved hjelp av portalens funksjoner.
- Utbedring av angrep: viser de automatiserte og manuelle handlingene som er tilgjengelige i portalen for å utbedre trusler. Denne delen inneholder koblinger til videoer og veiledninger.
Forstå hendelser
En hendelse er en kjede av prosesser opprettet, kommandoer og handlinger som kanskje ikke har sammenfalt. En hendelse gir et helhetlig bilde og kontekst av mistenkelig eller ondsinnet aktivitet. En enkelt hendelse gir deg hele konteksten til et angrep i stedet for å triaging hundrevis av varsler fra flere tjenester.
Tips
I en begrenset periode i løpet av januar 2024, vises Defender Boxed når du besøker Hendelser-siden . Defender Boxed fremhever organisasjonens sikkerhetssuksesser, forbedringer og responshandlinger i løpet av 2023. Hvis du vil åpne Defender Boxed på nytt, går du til Hendelser i Microsoft Defender-portalen, og deretter velger du Din Defender Boxed.
Microsoft Defender XDR har mange funksjoner som du kan bruke til å svare på en hendelse. Du kan navigere i hendelsene ved å velge Vis alle hendelser i kortet aktive hendelser på hjemmesiden eller gjennom hendelser & varsler i venstre navigasjonsrute.
figur 1. Aktivt hendelseskort på hjemmesiden til Microsoft Defender XDR
Figur 2. Hendelsekø
Hver hendelse inneholder automatisk korrelerte varsler fra ulike gjenkjenningskilder og kan involvere ulike endepunkter, identiteter eller skyapper.
Hendelsestriage
Hendelsesprioritering varierer fra respondent, sikkerhetsteam og organisasjon. Hendelsesresponsplaner og sikkerhetsteams retning kan gi prioritet til hendelser.
Microsoft Defender XDR har ulike indikatorer som alvorsgrad for hendelser, typer brukere eller trusseltyper for å triage og prioritere hendelser. Du kan bruke en hvilken som helst kombinasjon av disse indikatorene lett tilgjengelig gjennom hendelsekøfiltrene .
Et eksempel på å fastslå hendelsesprioritet er å kombinere følgende faktorer for en hendelse:
- Hendelsen har høy alvorlighetsgrad.
- Tilstand for automatiseringsundersøkelse mislyktes.
- Det er fem påvirkede ressurser der to av ressursene er merket med svært konfidensiell datafølsomhet.
- Hendelsesstatusen er ny.
- Hendelsen er ikke tilordnet noen teammedlem for etterforskning.
Du kan tilordne en høy prioritet til hendelsen ved hjelp av informasjonen ovenfor. Du kan starte hendelsesundersøkelsen når en prioritet er bestemt.
Obs!
Microsoft Defender XDR bestemmer automatisk filtre som alvorlighetsgrad, undersøkelsestilstander, påvirkede ressurser og hendelsesstatuser. Informasjonen er basert på organisasjonens nettverksaktiviteter som er kontekstualisert med trusselintelligensfeeder og de automatiserte utbedringshandlingene som brukes.
Administrer hendelser
Du kan bidra til effektivitet i hendelseshåndteringen ved å oppgi viktig informasjon i hendelser og varsler. Når du legger til informasjon i følgende filtre fra når du triagerer og analyserer hver hendelse, gir du ytterligere kontekst til den hendelsen som andre respondenter kan dra nytte av:
- Klassifisering av hendelser og varsler
- Navngi hendelser
- Legge til merker
- Gi kommentarer
Finn ut hvordan du klassifiserer hendelser og varsler gjennom denne videoen:
Neste trinn
- Analyser din første hendelse
- Utbedre din første hendelse
- Se demoer og portalens nye utviklinger i aksjon i Microsoft Defender XDR Virtual Ninja Training
Se også
- Integrer Microsoft Defender XDR i sikkerhetsoperasjonene dine
- Svare på vanlige angrep ved hjelp av spillbøker for hendelsesrespons
- Lær portalens funksjoner gjennom Microsoft Defender XDR Ninja-opplæringen
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.
Tilbakemeldinger
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se: https://aka.ms/ContentUserFeedback.
Send inn og vis tilbakemelding for