Administrer hendelser i Microsoft Defender
Gjelder for:
- Microsoft Defender XDR
- Microsoft Defender-plattformen for enhetlig sikkerhetsoperasjonssenter (SOC)
Hendelsesbehandling er avgjørende for å sikre at hendelser blir navngitt, tilordnet og merket for å optimalisere tiden i hendelsesarbeidsflyten og raskere inneholde og håndtere trusler.
Du kan håndtere hendelser fra hendelser & varsler hendelser > på hurtigstartlinjen i Microsoft Defender-portalen (security.microsoft.com). Her er et eksempel.
Her er måtene du kan håndtere hendelsene dine på:
- Rediger hendelsesnavnet.
- Tilordne eller endre alvorsgrad.
- Legg til hendelseskoder.
- Tilordne hendelsen til en brukerkonto.
- Løs dem.
- Angi klassifiseringen.
- Legg til kommentarer.
- Vurder aktivitetsovervåkingen og legg til kommentarer i aktivitetsloggen.
- Eksporter hendelsesdata til PDF.
Du kan administrere hendelser fra ruten Administrer hendelser for en hendelse. Her er et eksempel.
Du kan vise denne ruten fra koblingen Administrer hendelse på:
- Varselartikkelside .
- Egenskapsruten for en hendelse i hendelseskøen.
- Sammendragsside for en hendelse.
- Administrer hendelsesalternativet som er plassert øverst til høyre på Hendelse-siden.
I tilfeller der du vil flytte varsler fra én hendelse til en annen, kan du også gjøre det fra Varsler-fanen , og dermed opprette en større eller mindre hendelse som inkluderer alle relevante varsler.
Rediger hendelsesnavnet
Microsoft Defender tilordner automatisk et navn basert på varselattributter, for eksempel antall berørte endepunkter, berørte brukere, gjenkjenningskilder eller kategorier. Med hendelsesnavnet kan du raskt forstå omfanget av hendelsen. Eksempel: Hendelse med flere faser på flere endepunkter rapportert av flere kilder.
Du kan redigere hendelsesnavnet fra hendelsesnavnfeltet i ruten Administrer hendelse .
Obs!
Hendelser som eksisterte før utrullingen av funksjonen for automatisk navngivning av hendelser, beholder navnet sitt.
Tilordne eller endre alvorsgrad for hendelser
Du kan tilordne eller endre alvorsgraden for en hendelse fra Alvorsgrad-feltet i ruten Administrer hendelse . Alvorlighetsgraden av en hendelse bestemmes av den høyeste alvorlighetsgraden av varslene som er knyttet til den. Alvorlighetsgraden av en hendelse kan settes til høy, middels, lav eller informasjonsmessig.
Legg til hendelseskoder
Du kan legge til egendefinerte koder i en hendelse, for eksempel for å flagge en gruppe hendelser med en felles egenskap. Du kan senere filtrere hendelseskøen for alle hendelser som inneholder en bestemt kode.
Alternativet for å velge fra en liste over tidligere brukte og valgte koder vises når du begynner å skrive.
En hendelse kan ha systemkoder og/eller egendefinerte koder med bestemte fargebakgrunner. Egendefinerte koder bruker den hvite bakgrunnen, mens systemkoder vanligvis bruker røde eller svarte bakgrunnsfarger. Systemkoder identifiserer følgende i en hendelse:
- En type angrep, for eksempel phishing for legitimasjon eller BEC-svindel
- Automatiske handlinger, for eksempel automatisk undersøkelse og respons og automatisk angrepsavbrudd
- Defender-eksperter som håndterer en hendelse
- Kritiske eiendeler involvert i hendelsen
Tips
Microsofts Security Exposure Management, basert på forhåndsdefinerte klassifiseringer, merker automatisk enheter, identiteter og skyressurser som en kritisk ressurs. Denne ut-av-boksen-funksjonen sikrer beskyttelse av organisasjonens verdifulle og viktigste ressurser. Det hjelper også sikkerhetsoperasjonsteamene med å prioritere undersøkelse og utbedring. Vit mer om kritisk kapitalforvaltning.
Tilordne en hendelse
Du kan velge Tilordne til-boksen og angi brukerkontoen for å tilordne en hendelse. Hvis du vil tilordne en hendelse på nytt, fjerner du den gjeldende tilordningskontoen ved å velge x ved siden av kontonavnet, og deretter velger du Tilordne til-boksen . Tilordning av eierskap til en hendelse tilordner det samme eierskapet til alle varslene som er knyttet til den.
Du kan få en liste over hendelser tilordnet til deg ved å filtrere hendelseskøen.
- Velg Filtre fra hendelseskøen.
- Fjern merket for Merk alle i inndelingen Hendelsesoppgave. Velg Tilordnet til meg, Tilordnet til en annen bruker eller Tilordnet til en brukergruppe.
- Velg Bruk, og lukk deretter Filtre-ruten .
Deretter kan du lagre nettadressen i nettleseren som et bokmerke for raskt å se listen over hendelser som er tilordnet deg.
Løse en hendelse
Når en hendelse utbedres og løses, velger du Løst fra rullegardinlisten Status . Å løse en hendelse løser også alle koblede og aktive varsler knyttet til hendelsen.
Når du endrer statusen for en hendelse til Løst, vises et nytt felt umiddelbart etter Status-feltet . Skriv inn et notat i dette feltet som forklarer hvorfor du anser hendelsen som løst. Dette notatet er synlig i aktivitetsloggen for hendelsen, i nærheten av oppføringen som registrerer hendelsens løsning.
På både hendelseskøsiden og hendelsessiden for en løst hendelse kan du se hendelsesløsningsnotatet i sidepanelet i avsnittet Hendelsesdetaljer .
Å løse en hendelse løser også alle koblede og aktive varsler knyttet til hendelsen. En hendelse som ikke er løst, vises som Aktiv.
Angi klassifiseringen
Fra Klassifisering-feltet angir du om hendelsen er:
- Ikke angitt (standard).
- Sann positiv med en type trussel. Bruk denne klassifiseringen for hendelser som nøyaktig angir en reell trussel. Hvis du angir trusseltypen, kan sikkerhetsteamet se trusselmønstre og handle for å forsvare organisasjonen mot dem.
- Informasjon, forventet aktivitet med en type aktivitet. Bruk alternativene i denne kategorien til å klassifisere hendelser for sikkerhetstester, rød teamaktivitet og forventet uvanlig oppførsel fra klarerte apper og brukere.
- Falsk positiv for typer hendelser som du bestemmer kan ignoreres fordi de er teknisk unøyaktige eller villedende.
Klassifisering av hendelser og angivelse av status og type bidrar til å justere Microsoft Defender XDR for å gi bedre gjenkjenningsbestemmelse over tid.
Legge til kommentarer
Du kan legge til flere kommentarer i en hendelse med Kommentar-feltet . Kommentarfeltet støtter tekst og formatering, koblinger og bilder. Hver kommentar er begrenset til 30 000 tegn.
Alle kommentarer legges til de historiske hendelsene i hendelsen. Du kan se kommentarene og loggen til en hendelse fra koblingen Kommentarer og logg på Sammendrag-siden .
Aktivitetslogg
Aktivitetsloggen viser en liste over alle kommentarer og handlinger som er utført på hendelsen, kjent som revisjoner og kommentarer. Alle endringer i hendelsen, enten av en bruker eller av systemet, registreres i aktivitetsloggen. Aktivitetsloggen er tilgjengelig fra aktivitetsloggalternativet på hendelsessiden eller i ruten for hendelsessiden.
Du kan filtrere aktivitetene i loggen etter kommentarer og handlinger. Klikk innhold: Revisjoner, kommentarer, og velg deretter innholdstypen for å filtrere aktiviteter. Her er et eksempel.
Du kan også legge til dine egne kommentarer ved hjelp av kommentarboksen som er tilgjengelig i aktivitetsloggen. Kommentarboksen godtar tekst og formatering, koblinger og bilder.
Eksporter hendelsesdata til PDF
Viktig
Noe informasjon i denne artikkelen er knyttet til forhåndsutgitt produkt, som kan endres vesentlig før det utgis kommersielt. Microsoft gir ingen garantier, uttrykkelige eller underforståtte, med hensyn til informasjonen som er oppgitt her.
Funksjonen for eksport av hendelsesdata er for øyeblikket tilgjengelig for microsoft Defender XDR- og Microsoft Defender unified security operations center (SOC)-plattformkunder med Microsoft Copilot for sikkerhetslisens.
Du kan eksportere en hendelses data til PDF gjennom Eksporter hendelsen som PDF-funksjon og lagre den i PDF-format. Denne funksjonen gjør det mulig for sikkerhetsteam å se gjennom detaljene for en hendelse i frakoblet modus til enhver tid.
De eksporterte hendelsesdataene inneholder følgende informasjon:
- En oversikt som inneholder hendelsesdetaljene
- Angrepshistoriegrafen og trusselkategoriene
- De berørte eiendelene, som dekker opptil 10 aktiva for hver aktivatype
- Bevislisten dekker opptil 100 elementer
- Støttedata, inkludert alle relaterte varsler og aktiviteter som er registrert i aktivitetsloggen
Her er et eksempel på den eksporterte PDF-filen:
Hvis du har Copilot for Security-lisensen , inneholder den eksporterte PDF-filen følgende tilleggshendelsesdata:
Eksport til PDF-funksjonen er også tilgjengelig i Copilot-sidepanelet i en generert hendelsesrapport.
Gjør følgende for å generere PDF-filen:
Åpne en hendelsesside. Velg ellipsen Flere handlinger (...) øverst til høyre, og velg Eksporter hendelse som PDF. Funksjonen blir nedtonet mens PDF-filen genereres.
Det vises en dialogboks som angir at PDF-filen genereres. Velg Fikk den til å lukke dialogboksen. I tillegg vises en statusmelding som angir gjeldende status for nedlastingen, under hendelsestittelen. Eksportprosessen kan ta noen minutter avhengig av hendelsens kompleksitet og mengden data som skal eksporteres.
Når PDF-filen er klar, angir statusmeldingen at PDF-filen er klar, og en annen dialogboks vises. Velg Last ned fra dialogboksen for å lagre PDF-filen på enheten.
Rapporten bufres i et par minutter. Systemet leverer den tidligere genererte PDF-filen hvis du prøver å eksportere den samme hendelsen på nytt innen kort tid. Hvis du vil generere en nyere versjon av PDF-filen, venter du noen minutter til hurtigbufferen utløper.
Neste trinn
For nye hendelser begynner du etterforskningen.
Fortsett etterforskningen for prosessrelaterte hendelser.
For løste hendelser utfører du en gjennomgang etter hendelsen.
Se også
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.
Tilbakemeldinger
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se: https://aka.ms/ContentUserFeedback.
Send inn og vis tilbakemelding for