Prioritere hendelser i Microsoft Defender-portalen
Plattformen for enhetlige sikkerhetsoperasjoner i Microsoft Defender-portalen bruker korrelasjonsanalyse og aggregerer relaterte varsler og automatiserte undersøkelser fra ulike produkter i en hendelse. Microsoft Sentinel og Defender XDR utløser også unike varsler om aktiviteter som bare kan identifiseres som skadelige, gitt ende-til-ende-synligheten i den enhetlige plattformen på tvers av hele produktserien. Denne visningen gir sikkerhetsanalytikerne dine den bredere angrepshistorien, noe som hjelper dem med å forstå og håndtere komplekse trusler på tvers av organisasjonen.
Viktig
Microsoft Sentinel er nå generelt tilgjengelig i Microsofts plattform for enhetlige sikkerhetsoperasjoner i Microsoft Defender-portalen. Hvis du vil ha mer informasjon, kan du se Microsoft Sentinel i Microsoft Defender-portalen.
Hendelsekø
Hendelseskøen viser en samling hendelser som ble opprettet på tvers av enheter, brukere, postbokser og andre ressurser. Det hjelper deg med å sortere gjennom hendelser for å prioritere og opprette en informert beslutning om respons på cybersikkerhet, en prosess kjent som hendelsessortering.
Du kan gå til hendelseskøen fra Hendelser & varsler hendelser > på hurtigstartlinjen i Microsoft Defender-portalen. Her er et eksempel.
Velg de siste hendelsene og varslene for å veksle utvidelsen av den øverste delen, som viser en tidslinjegraf over antall mottatte varsler og hendelser som er opprettet i løpet av de siste 24 timene.
Nedenfor dette viser hendelseskøen i Microsoft Defender-portalen hendelser sett de siste seks månedene. Du kan velge en annen tidsramme ved å velge den fra rullegardinlisten øverst. Hendelser ordnes i henhold til de siste automatiske eller manuelle oppdateringene som er gjort i en hendelse. Du kan ordne hendelsene etter siste oppdateringstidskolonne for å vise hendelser i henhold til de siste automatiske eller manuelle oppdateringene som er gjort.
Hendelseskøen har kolonner som kan tilpasses, som gir deg innsyn i ulike kjennetegn ved hendelsen eller de berørte enhetene. Denne filtreringen hjelper deg med å ta en informert beslutning om prioritering av hendelser for analyse. Velg Tilpass kolonner for å utføre følgende tilpassinger basert på foretrukket visning:
- Merk av/fjern merket for kolonnene du vil se i hendelseskøen.
- Ordne rekkefølgen på kolonnene ved å dra dem.
Hendelsesnavn
Microsoft Defender XDR genererer automatisk hendelsesnavn basert på varselattributter, for eksempel antall berørte endepunkter, berørte brukere, gjenkjenningskilder eller kategorier, for å få mer synlighet. Med denne spesifikke navngivningen kan du raskt forstå omfanget av hendelsen.
Eksempel: Hendelse med flere faser på flere endepunkter rapportert av flere kilder.
Hvis du koblet Microsoft Sentinel til plattformen for enhetlige sikkerhetsoperasjoner, vil eventuelle varsler og hendelser som kommer fra Microsoft Sentinel sannsynligvis få navnene deres endret (uavhengig av om de ble opprettet før eller siden pålastingen).
Vi anbefaler at du unngår å bruke hendelsesnavnet som en betingelse for å utløse automatiseringsregler. Hvis hendelsesnavnet er en betingelse, og navnet på hendelsen endres, utløses ikke regelen.
Filtre
Hendelseskøen gir også flere filtreringsalternativer, som gjør det mulig for deg å utføre et bredt opprydding av alle eksisterende hendelser i miljøet, eller bestemme deg for å fokusere på et bestemt scenario eller en trussel. Bruk av filtre i hendelseskøen kan bidra til å avgjøre hvilken hendelse som krever umiddelbar oppmerksomhet.
Filterlisten over listen over hendelser viser gjeldende brukte filtre.
Fra standardhendelseskøen kan du velge Legg til filter for å se rullegardinlisten Legg til filter , der du angir filtre som skal brukes på hendelseskøen, for å begrense settet med hendelser som vises. Her er et eksempel.
Velg filtrene du vil bruke, og velg deretter Legg til nederst i listen for å gjøre dem tilgjengelige.
Nå vises filtrene du valgte, sammen med de eksisterende filtrene som er brukt. Velg det nye filteret for å angi betingelsene. Hvis du for eksempel velger filteret Tjeneste/gjenkjenningskilder, velger du det for å velge kildene du vil filtrere listen etter.
Du kan også se Filter-ruten ved å velge et av filtrene i Filter-listen over listen over hendelser.
Denne tabellen viser filternavnene som er tilgjengelige.
Filternavn | Beskrivelse/betingelser |
---|---|
Status | Velg Ny, Pågår eller Løst. |
Alvorsgrad for varsel Alvorsgrad for hendelse |
Alvorlighetsgraden av et varsel eller en hendelse er et tegn på virkningen det kan ha på ressursene dine. Jo høyere alvorlighetsgrad, jo større innvirkning og vanligvis krever den mest umiddelbare oppmerksomheten. Velg Høy, Middels, Lav eller Informasjon. |
Hendelsestildeling | Velg den tilordnede brukeren eller brukerne. |
Flere tjenestekilder | Angi om filteret er for mer enn én tjenestekilde. |
Tjeneste-/gjenkjenningskilder | Angi hendelser som inneholder varsler fra én eller flere av følgende: Mange av disse tjenestene kan utvides i menyen for å vise flere valg av gjenkjenningskilder i en gitt tjeneste. |
Tags | Velg ett eller flere kodenavn fra listen. |
Flere kategorier | Angi om filteret er for mer enn én kategori. |
Kategorier | Velg kategorier for å fokusere på bestemte taktikker, teknikker eller angrepskomponenter som vises. |
Enheter | Angi navnet på et aktivum, for eksempel en bruker, enhet, postboks eller programnavn. |
Datafølsomhet | Noen angrep fokuserer på målretting for å eksfiltrere sensitive eller verdifulle data. Ved å bruke et filter for bestemte følsomhetsetiketter, kan du raskt finne ut om sensitiv informasjon potensielt har blitt kompromittert og prioritere å håndtere disse hendelsene. Dette filteret viser bare informasjon når du har brukt følsomhetsetiketter fra Microsoft Purview Information Protection. |
Enhetsgrupper | Angi et enhetsgruppenavn . |
OS-plattform | Angi operativsystemer for enheten. |
Klassifisering | Angi settet med klassifiseringer for de relaterte varslene. |
Automatisert undersøkelsestilstand | Angi status for automatisert undersøkelse. |
Tilknyttet trussel | Angi en navngitt trussel. |
Varslingspolicyer | Angi en tittel for varslingspolicy. |
Varslingsabonnement-ID-er | Angi et varsel basert på en abonnements-ID. |
Standardfilteret er å vise alle varsler og hendelser med statusen Ny og Pågår og med alvorlighetsgraden Høy, Middels eller Lav.
Du kan raskt fjerne et filter ved å velge X i navnet på et filter i Filter-listen .
Du kan også opprette filtersett på hendelsessiden ved å velge Lagrede filterspørringer > Opprett filtersett. Hvis ingen filtersett er opprettet, velger du Lagre for å opprette et.
Obs!
Microsoft Defender XDR-kunder kan nå filtrere hendelser med varsler der en kompromittert enhet kommuniserte med ot-enheter (operational technology) som er koblet til bedriftsnettverket gjennom integrering av enhetsoppdagelse av Microsoft Defender for IoT og Microsoft Defender for Endpoint. Hvis du vil filtrere disse hendelsene, velger du Hvilken som helst i tjeneste-/gjenkjenningskildene, og deretter velger du Microsoft Defender for IoT i produktnavnet eller ser Undersøk hendelser og varsler i Microsoft Defender for IoT i Defender-portalen. Du kan også bruke enhetsgrupper til å filtrere etter områdespesifikke varsler. Hvis du vil ha mer informasjon om Forutsetninger for Defender for IoT, kan du se Komme i gang med enterprise IoT-overvåking i Microsoft Defender XDR.
Lagre egendefinerte filtre som URL-adresser
Når du har konfigurert et nyttig filter i hendelseskøen, kan du bokmerke nettadressen til nettleserfanen eller på annen måte lagre den som en kobling på en nettside, et Word-dokument eller et sted du ønsker. Bokmerker gir deg enkeltklikkstilgang til viktige visninger av hendelseskøen, for eksempel:
- Nye hendelser
- Hendelser med høy alvorlighetsgrad
- Ikke-tilordnede hendelser
- Hendelser med høy alvorlighetsgrad, ikke-tilordnede hendelser
- Hendelser tilordnet til meg
- Hendelser tilordnet til meg og Microsoft Defender for endepunkt
- Hendelser med en bestemt kode eller koder
- Hendelser med en bestemt trusselkategori
- Hendelser med en bestemt tilknyttet trussel
- Hendelser med en bestemt aktør
Når du har kompilert og lagret listen over nyttige filtervisninger som nettadresser, kan du bruke den til raskt å behandle og prioritere hendelsene i køen og administrere dem for etterfølgende oppgaver og analyser.
Søke
Fra boksen Søk etter navn eller ID over listen over hendelser kan du søke etter hendelser på en rekke måter for raskt å finne det du leter etter.
Søk etter hendelsesnavn eller ID
Søk direkte etter en hendelse ved å skrive inn hendelses-ID-en eller hendelsesnavnet. Når du velger en hendelse fra listen over søkeresultater, åpner Microsoft Defender-portalen en ny fane med egenskapene for hendelsen, hvorfra du kan starte etterforskningen.
Søk etter berørte ressurser
Du kan gi navn til en ressurs, for eksempel en bruker, enhet, postboks, programnavn eller skyressurs, og finne alle hendelsene som er relatert til dette aktivumet.
Angi et tidsintervall
Standardlisten over hendelser er for de som har skjedd de siste seks månedene. Du kan angi et nytt tidsområde fra rullegardinlisten ved siden av kalenderikonet ved å velge:
- Én dag
- Tre dager
- Én uke
- 30 dager
- 30 dager
- Seks måneder
- Et egendefinert område der du kan angi både datoer og klokkeslett
Neste trinn
Når du har funnet ut hvilken hendelse som krever høyest prioritet, velger du den og:
- Administrer egenskapene til hendelsen for merker, tildeling, umiddelbar løsning for falske positive hendelser og kommentarer.
- Start etterforskningen.
Se også
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.