Prioritere hendelser i Microsoft Defender-portalen
Den enhetlige sikkerhetsoperasjonsplattformen i Microsoft Defender-portalen bruker korrelasjonsanalyse og aggregerer relaterte varsler og automatiserte undersøkelser fra forskjellige produkter i en hendelse. Microsoft Sentinel og Defender XDR utløser også unike varsler om aktiviteter som bare kan identifiseres som skadelige, gitt ende-til-ende-synligheten i den enhetlige plattformen på tvers av hele produktserien. Denne visningen gir sikkerhetsanalytikerne dine den bredere angrepshistorien, noe som hjelper dem med å forstå og håndtere komplekse trusler på tvers av organisasjonen.
Viktig
Microsoft Sentinel er tilgjengelig som en del av den offentlige forhåndsversjonen for plattformen for enhetlige sikkerhetsoperasjoner i Microsoft Defender-portalen. Hvis du vil ha mer informasjon, kan du se Microsoft Sentinel i Microsoft Defender-portalen.
Hendelsekø
Hendelseskøen viser en samling hendelser som ble opprettet på tvers av enheter, brukere, postbokser og andre ressurser. Det hjelper deg med å sortere gjennom hendelser for å prioritere og opprette en informert beslutning om respons på cybersikkerhet, en prosess kjent som hendelsessortering.
Tips
I en begrenset periode i løpet av januar 2024, vises Defender Boxed når du besøker Hendelser-siden . Defender Boxed fremhever organisasjonens sikkerhetssuksesser, forbedringer og responshandlinger i løpet av 2023. Hvis du vil åpne Defender Boxed på nytt, går du til Hendelser i Microsoft Defender-portalen, og deretter velger du Din Defender Boxed.
Du kan gå til hendelseskøen fra Hendelser & varsler Hendelser > på hurtigstartlinjen i Microsoft Defender-portalen. Her er et eksempel.
Velg de siste hendelsene og varslene for å veksle utvidelsen av den øverste delen, som viser en tidslinjegraf over antall mottatte varsler og hendelser som er opprettet i løpet av de siste 24 timene.
Nedenfor dette viser hendelseskøen i Microsoft Defender-portalen hendelser sett de siste seks månedene. Den siste hendelsen er øverst på listen, slik at du kan se den først. Du kan velge en annen tidsramme ved å velge den fra rullegardinlisten øverst.
Hendelseskøen har kolonner som kan tilpasses (velg Tilpass kolonner) som gir deg innsyn i ulike kjennetegn ved hendelsen eller de berørte enhetene. Denne filtreringen hjelper deg med å ta en informert beslutning om prioritering av hendelser for analyse.
Hendelsesnavn
Hvis du vil ha mer synlighet med et øyekast, Microsoft Defender XDR genererer hendelsesnavn automatisk, basert på varselattributter, for eksempel antall berørte endepunkter, berørte brukere, gjenkjenningskilder eller kategorier. Med denne spesifikke navngivningen kan du raskt forstå omfanget av hendelsen.
Eksempel: Hendelse med flere faser på flere endepunkter rapportert av flere kilder.
Hvis du koblet Microsoft Sentinel til plattformen for enhetlige sikkerhetsoperasjoner, vil eventuelle varsler og hendelser som kommer fra Microsoft Sentinel sannsynligvis få navnene deres endret (uavhengig av om de ble opprettet før eller siden pålastingen).
Vi anbefaler at du unngår å bruke hendelsesnavnet som en betingelse for å utløse automatiseringsregler. Hvis hendelsesnavnet er en betingelse, og navnet på hendelsen endres, utløses ikke regelen.
Filtre
Hendelseskøen gir også flere filtreringsalternativer, som gjør det mulig for deg å utføre et bredt opprydding av alle eksisterende hendelser i miljøet, eller bestemme deg for å fokusere på et bestemt scenario eller en trussel. Bruk av filtre i hendelseskøen kan bidra til å avgjøre hvilken hendelse som krever umiddelbar oppmerksomhet.
Filterlisten over listen over hendelser viser gjeldende brukte filtre.
Fra standardhendelseskøen kan du velge Legg til filter for å se rullegardinlisten Legg til filter , der du angir filtre som skal brukes på hendelseskøen, for å begrense settet med hendelser som vises. Her er et eksempel.
Velg filtrene du vil bruke, og velg deretter Legg til nederst i listen for å gjøre dem tilgjengelige.
Nå vises filtrene du valgte, sammen med de eksisterende filtrene som er brukt. Velg det nye filteret for å angi betingelsene. Hvis du for eksempel velger filteret Tjeneste/gjenkjenningskilder, velger du det for å velge kildene du vil filtrere listen etter.
Du kan også se Filter-ruten ved å velge et av filtrene i Filter-listen over listen over hendelser.
Denne tabellen viser filternavnene som er tilgjengelige.
Filternavn | Beskrivelse/betingelser |
---|---|
Status | Velg Ny, Pågår eller Løst. |
Alvorsgrad for varsel Alvorsgrad for hendelse |
Alvorlighetsgraden av et varsel eller en hendelse er et tegn på virkningen det kan ha på ressursene dine. Jo høyere alvorlighetsgrad, jo større innvirkning og vanligvis krever den mest umiddelbare oppmerksomheten. Velg Høy, Middels, Lav eller Informasjon. |
Hendelsestildeling | Velg den tilordnede brukeren eller brukerne. |
Flere tjenestekilder | Angi om filteret er for mer enn én tjenestekilde. |
Tjeneste-/gjenkjenningskilder | Angi hendelser som inneholder varsler fra én eller flere av følgende: Mange av disse tjenestene kan utvides i menyen for å vise flere valg av gjenkjenningskilder i en gitt tjeneste. |
Tags | Velg ett eller flere kodenavn fra listen. |
Flere kategorier | Angi om filteret er for mer enn én kategori. |
Kategorier | Velg kategorier for å fokusere på bestemte taktikker, teknikker eller angrepskomponenter som vises. |
Enheter | Angi navnet på et aktivum, for eksempel en bruker, enhet, postboks eller programnavn. |
Datafølsomhet | Noen angrep fokuserer på målretting for å eksfiltrere sensitive eller verdifulle data. Ved å bruke et filter for bestemte følsomhetsetiketter, kan du raskt finne ut om sensitiv informasjon potensielt har blitt kompromittert og prioritere å håndtere disse hendelsene. Dette filteret viser bare informasjon når du har brukt følsomhetsetiketter fra Microsoft Purview informasjonsbeskyttelse. |
Enhetsgrupper | Angi et enhetsgruppenavn . |
OS-plattform | Angi operativsystemer for enheten. |
Klassifisering | Angi settet med klassifiseringer for de relaterte varslene. |
Automatisert undersøkelsestilstand | Angi status for automatisert undersøkelse. |
Tilknyttet trussel | Angi en navngitt trussel. |
Varslingspolicyer | Angi en tittel for varslingspolicy. |
Standardfilteret er å vise alle varsler og hendelser med statusen Ny og Pågår og med alvorlighetsgraden Høy, Middels eller Lav.
Du kan raskt fjerne et filter ved å velge X i navnet på et filter i Filter-listen .
Du kan også opprette filtersett på hendelsessiden ved å velge Lagrede filterspørringer > Opprett filtersett. Hvis ingen filtersett er opprettet, velger du Lagre for å opprette et.
Lagre egendefinerte filtre som URL-adresser
Når du har konfigurert et nyttig filter i hendelseskøen, kan du bokmerke nettadressen til nettleserfanen eller på annen måte lagre den som en kobling på en nettside, et Word dokument eller et sted du ønsker. Bokmerker gir deg enkeltklikkstilgang til viktige visninger av hendelseskøen, for eksempel:
- Nye hendelser
- Hendelser med høy alvorlighetsgrad
- Ikke-tilordnede hendelser
- Hendelser med høy alvorlighetsgrad, ikke-tilordnede hendelser
- Hendelser tilordnet til meg
- Hendelser tilordnet til meg og for Microsoft Defender for endepunkt
- Hendelser med en bestemt kode eller koder
- Hendelser med en bestemt trusselkategori
- Hendelser med en bestemt tilknyttet trussel
- Hendelser med en bestemt aktør
Når du har kompilert og lagret listen over nyttige filtervisninger som nettadresser, kan du bruke den til raskt å behandle og prioritere hendelsene i køen og administrere dem for etterfølgende oppgaver og analyser.
Søk
Fra Søk etter navn eller ID-boks over listen over hendelser, kan du søke etter hendelser på flere måter for raskt å finne det du leter etter.
Søk etter hendelsesnavn eller ID
Søk direkte for en hendelse ved å skrive inn hendelses-ID-en eller hendelsesnavnet. Når du velger en hendelse fra listen over søkeresultater, åpner Microsoft Defender-portalen en ny fane med egenskapene for hendelsen, hvorfra du kan starte etterforskningen.
Søk av berørte aktiva
Du kan gi navn til en ressurs, for eksempel en bruker, enhet, postboks, programnavn eller skyressurs, og finne alle hendelsene som er relatert til dette aktivumet.
Angi et tidsintervall
Standardlisten over hendelser er for de som har skjedd de siste seks månedene. Du kan angi et nytt tidsområde fra rullegardinlisten ved siden av kalenderikonet ved å velge:
- Én dag
- Tre dager
- Én uke
- 30 dager
- 30 dager
- Seks måneder
- Et egendefinert område der du kan angi både datoer og klokkeslett
Neste trinn
Når du har funnet ut hvilken hendelse som krever høyest prioritet, velger du den og:
- Administrer egenskapene til hendelsen for merker, tildeling, umiddelbar løsning for falske positive hendelser og kommentarer.
- Start etterforskningen.
Se også
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.
Tilbakemeldinger
https://aka.ms/ContentUserFeedback.
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se:Send inn og vis tilbakemelding for