Prioritere hendelser i Microsoft Defender-portalen

  • Artikkel
  • Gjelder for:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Den enhetlige sikkerhetsoperasjonsplattformen i Microsoft Defender-portalen bruker korrelasjonsanalyse og aggregerer relaterte varsler og automatiserte undersøkelser fra forskjellige produkter i en hendelse. Microsoft Sentinel og Defender XDR utløser også unike varsler om aktiviteter som bare kan identifiseres som skadelige, gitt ende-til-ende-synligheten i den enhetlige plattformen på tvers av hele produktserien. Denne visningen gir sikkerhetsanalytikerne dine den bredere angrepshistorien, noe som hjelper dem med å forstå og håndtere komplekse trusler på tvers av organisasjonen.

Viktig

Microsoft Sentinel er tilgjengelig som en del av den offentlige forhåndsversjonen for plattformen for enhetlige sikkerhetsoperasjoner i Microsoft Defender-portalen. Hvis du vil ha mer informasjon, kan du se Microsoft Sentinel i Microsoft Defender-portalen.

Hendelsekø

Hendelseskøen viser en samling hendelser som ble opprettet på tvers av enheter, brukere, postbokser og andre ressurser. Det hjelper deg med å sortere gjennom hendelser for å prioritere og opprette en informert beslutning om respons på cybersikkerhet, en prosess kjent som hendelsessortering.

Tips

I en begrenset periode i løpet av januar 2024, vises Defender Boxed når du besøker Hendelser-siden . Defender Boxed fremhever organisasjonens sikkerhetssuksesser, forbedringer og responshandlinger i løpet av 2023. Hvis du vil åpne Defender Boxed på nytt, går du til Hendelser i Microsoft Defender-portalen, og deretter velger du Din Defender Boxed.

Du kan gå til hendelseskøen fra Hendelser & varsler Hendelser > på hurtigstartlinjen i Microsoft Defender-portalen. Her er et eksempel.

Skjermbilde av Hendelser-køen i Microsoft Defender-portalen.

Velg de siste hendelsene og varslene for å veksle utvidelsen av den øverste delen, som viser en tidslinjegraf over antall mottatte varsler og hendelser som er opprettet i løpet av de siste 24 timene.

Skjermbilde av en 24-timers hendelsesgraf.

Nedenfor dette viser hendelseskøen i Microsoft Defender-portalen hendelser sett de siste seks månedene. Den siste hendelsen er øverst på listen, slik at du kan se den først. Du kan velge en annen tidsramme ved å velge den fra rullegardinlisten øverst.

Hendelseskøen har kolonner som kan tilpasses (velg Tilpass kolonner) som gir deg innsyn i ulike kjennetegn ved hendelsen eller de berørte enhetene. Denne filtreringen hjelper deg med å ta en informert beslutning om prioritering av hendelser for analyse.

Skjermbilde av hendelsessidefilter og kolonnekontroller.

Hendelsesnavn

Hvis du vil ha mer synlighet med et øyekast, Microsoft Defender XDR genererer hendelsesnavn automatisk, basert på varselattributter, for eksempel antall berørte endepunkter, berørte brukere, gjenkjenningskilder eller kategorier. Med denne spesifikke navngivningen kan du raskt forstå omfanget av hendelsen.

Eksempel: Hendelse med flere faser på flere endepunkter rapportert av flere kilder.

Hvis du koblet Microsoft Sentinel til plattformen for enhetlige sikkerhetsoperasjoner, vil eventuelle varsler og hendelser som kommer fra Microsoft Sentinel sannsynligvis få navnene deres endret (uavhengig av om de ble opprettet før eller siden pålastingen).

Vi anbefaler at du unngår å bruke hendelsesnavnet som en betingelse for å utløse automatiseringsregler. Hvis hendelsesnavnet er en betingelse, og navnet på hendelsen endres, utløses ikke regelen.

Filtre

Hendelseskøen gir også flere filtreringsalternativer, som gjør det mulig for deg å utføre et bredt opprydding av alle eksisterende hendelser i miljøet, eller bestemme deg for å fokusere på et bestemt scenario eller en trussel. Bruk av filtre i hendelseskøen kan bidra til å avgjøre hvilken hendelse som krever umiddelbar oppmerksomhet.

Filterlisten over listen over hendelser viser gjeldende brukte filtre.

Fra standardhendelseskøen kan du velge Legg til filter for å se rullegardinlisten Legg til filter , der du angir filtre som skal brukes på hendelseskøen, for å begrense settet med hendelser som vises. Her er et eksempel.

Filtre-ruten for hendelseskøen i Microsoft Defender-portalen.

Velg filtrene du vil bruke, og velg deretter Legg til nederst i listen for å gjøre dem tilgjengelige.

Nå vises filtrene du valgte, sammen med de eksisterende filtrene som er brukt. Velg det nye filteret for å angi betingelsene. Hvis du for eksempel velger filteret Tjeneste/gjenkjenningskilder, velger du det for å velge kildene du vil filtrere listen etter.

Du kan også se Filter-ruten ved å velge et av filtrene i Filter-listen over listen over hendelser.

Denne tabellen viser filternavnene som er tilgjengelige.

Filternavn Beskrivelse/betingelser
Status Velg Ny, Pågår eller Løst.
Alvorsgrad for varsel
Alvorsgrad for hendelse		 Alvorlighetsgraden av et varsel eller en hendelse er et tegn på virkningen det kan ha på ressursene dine. Jo høyere alvorlighetsgrad, jo større innvirkning og vanligvis krever den mest umiddelbare oppmerksomheten. Velg Høy, Middels, Lav eller Informasjon.
Hendelsestildeling Velg den tilordnede brukeren eller brukerne.
Flere tjenestekilder Angi om filteret er for mer enn én tjenestekilde.
Tjeneste-/gjenkjenningskilder Angi hendelser som inneholder varsler fra én eller flere av følgende:
  • Microsoft Defender for identitet
  • Microsoft Defender for skyapper
  • Microsoft Defender for endepunkt
  • Microsoft Defender XDR
  • Microsoft Defender for Office 365
  • Appstyring
  • Microsoft Entra ID-beskyttelse
  • Hindring av datatap i Microsoft
  • Microsoft Defender for skyen
  • Microsoft Sentinel

    Mange av disse tjenestene kan utvides i menyen for å vise flere valg av gjenkjenningskilder i en gitt tjeneste.
    		•
    Tags Velg ett eller flere kodenavn fra listen.
    Flere kategorier Angi om filteret er for mer enn én kategori.
    Kategorier Velg kategorier for å fokusere på bestemte taktikker, teknikker eller angrepskomponenter som vises.
    Enheter Angi navnet på et aktivum, for eksempel en bruker, enhet, postboks eller programnavn.
    Datafølsomhet Noen angrep fokuserer på målretting for å eksfiltrere sensitive eller verdifulle data. Ved å bruke et filter for bestemte følsomhetsetiketter, kan du raskt finne ut om sensitiv informasjon potensielt har blitt kompromittert og prioritere å håndtere disse hendelsene.

    Dette filteret viser bare informasjon når du har brukt følsomhetsetiketter fra Microsoft Purview informasjonsbeskyttelse.
    Enhetsgrupper Angi et enhetsgruppenavn .
    OS-plattform Angi operativsystemer for enheten.
    Klassifisering Angi settet med klassifiseringer for de relaterte varslene.
    Automatisert undersøkelsestilstand Angi status for automatisert undersøkelse.
    Tilknyttet trussel Angi en navngitt trussel.
    Varslingspolicyer Angi en tittel for varslingspolicy.

    Standardfilteret er å vise alle varsler og hendelser med statusen Ny og Pågår og med alvorlighetsgraden Høy, Middels eller Lav.

    Du kan raskt fjerne et filter ved å velge X i navnet på et filter i Filter-listen .

    Du kan også opprette filtersett på hendelsessiden ved å velge Lagrede filterspørringer > Opprett filtersett. Hvis ingen filtersett er opprettet, velger du Lagre for å opprette et.

    Alternativet opprett filtersett for hendelseskøen i Microsoft Defender-portalen.

    Lagre egendefinerte filtre som URL-adresser

    Når du har konfigurert et nyttig filter i hendelseskøen, kan du bokmerke nettadressen til nettleserfanen eller på annen måte lagre den som en kobling på en nettside, et Word dokument eller et sted du ønsker. Bokmerker gir deg enkeltklikkstilgang til viktige visninger av hendelseskøen, for eksempel:

    • Nye hendelser
    • Hendelser med høy alvorlighetsgrad
    • Ikke-tilordnede hendelser
    • Hendelser med høy alvorlighetsgrad, ikke-tilordnede hendelser
    • Hendelser tilordnet til meg
    • Hendelser tilordnet til meg og for Microsoft Defender for endepunkt
    • Hendelser med en bestemt kode eller koder
    • Hendelser med en bestemt trusselkategori
    • Hendelser med en bestemt tilknyttet trussel
    • Hendelser med en bestemt aktør

    Når du har kompilert og lagret listen over nyttige filtervisninger som nettadresser, kan du bruke den til raskt å behandle og prioritere hendelsene i køen og administrere dem for etterfølgende oppgaver og analyser.

    Fra Søk etter navn eller ID-boks over listen over hendelser, kan du søke etter hendelser på flere måter for raskt å finne det du leter etter.

    Søk etter hendelsesnavn eller ID

    Søk direkte for en hendelse ved å skrive inn hendelses-ID-en eller hendelsesnavnet. Når du velger en hendelse fra listen over søkeresultater, åpner Microsoft Defender-portalen en ny fane med egenskapene for hendelsen, hvorfra du kan starte etterforskningen.

    Søk av berørte aktiva

    Du kan gi navn til en ressurs, for eksempel en bruker, enhet, postboks, programnavn eller skyressurs, og finne alle hendelsene som er relatert til dette aktivumet.

    Angi et tidsintervall

    Standardlisten over hendelser er for de som har skjedd de siste seks månedene. Du kan angi et nytt tidsområde fra rullegardinlisten ved siden av kalenderikonet ved å velge:

    • Én dag
    • Tre dager
    • Én uke
    • 30 dager
    • 30 dager
    • Seks måneder
    • Et egendefinert område der du kan angi både datoer og klokkeslett

    Neste trinn

    Når du har funnet ut hvilken hendelse som krever høyest prioritet, velger du den og:

    • Administrer egenskapene til hendelsen for merker, tildeling, umiddelbar løsning for falske positive hendelser og kommentarer.
    • Start etterforskningen.

    Se også

    Tips

    Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.