Zarządzanie zdarzeniami w usłudze Microsoft Defender

Dotyczy:

• Microsoft Defender XDR
• Ujednolicona platforma centrum operacji zabezpieczeń (SOC) usługi Microsoft Defender

Zarządzanie zdarzeniami ma kluczowe znaczenie dla zapewnienia, że zdarzenia są nazwane, przypisane i oznakowane, aby zoptymalizować czas w przepływie pracy zdarzenia oraz szybciej ograniczać zagrożenia i rozwiązywać je.

Zdarzeniami można zarządzać za pomocą zdarzeń & alertów > Zdarzenia podczas szybkiego uruchamiania portalu usługi Microsoft Defender (security.microsoft.com). Oto przykład.

Oto sposoby zarządzania zdarzeniami:

• Edytuj nazwę zdarzenia.
• Przypisywanie lub zmienianie ważności.
• Dodaj tagi zdarzeń.
• Przypisz zdarzenie do konta użytkownika.
• Rozwiąż te problemy.
• Określ jego klasyfikację.
• Dodaj komentarze.
• Oceń inspekcję działania i dodaj komentarze w dzienniku aktywności.
• Eksportowanie danych zdarzeń do formatu PDF.

Zdarzeniami można zarządzać w okienku Zarządzanie zdarzeniami dla zdarzenia. Oto przykład.

To okienko można wyświetlić za pomocą linku Zarządzaj zdarzeniem na stronie:

• Strona historii alertu.
• Okienko właściwości zdarzenia w kolejce zdarzeń.
• Strona podsumowania zdarzenia.
• Zarządzaj opcją zdarzenia znajdującą się w prawym górnym rogu strony Zdarzenia.

W przypadkach, gdy chcesz przenieść alerty z jednego zdarzenia do innego, możesz to zrobić również na karcie Alerty , tworząc w ten sposób większe lub mniejsze zdarzenie, które obejmuje wszystkie odpowiednie alerty.

Edytowanie nazwy zdarzenia

Usługa Microsoft Defender automatycznie przypisuje nazwę na podstawie atrybutów alertów, takich jak liczba punktów końcowych, których dotyczy problem, użytkownicy, których dotyczy problem, źródła wykrywania lub kategorie. Nazwa zdarzenia pozwala szybko zrozumieć zakres zdarzenia. Na przykład: Zdarzenie wieloetapowe w wielu punktach końcowych zgłaszanych przez wiele źródeł.

Nazwę zdarzenia można edytować z pola Nazwa zdarzenia w okienku Zarządzanie zdarzeniem .

Uwaga

Zdarzenia, które istniały przed wdrożeniem funkcji automatycznego nazewnictwa zdarzeń, zachowają swoją nazwę.

Przypisywanie lub zmienianie ważności zdarzenia

Ważność zdarzenia można przypisać lub zmienić z pola Ważność w okienku Zarządzanie zdarzeniem . Ważność zdarzenia zależy od najwyższej ważności skojarzonych z nim alertów. Ważność zdarzenia można ustawić na wysoką, średnią, niską lub informacyjną.

Dodawanie tagów zdarzeń

Możesz dodać tagi niestandardowe do zdarzenia, na przykład w celu oznaczania grupy zdarzeń o wspólnej cechie. Później można filtrować kolejkę zdarzeń pod kątem wszystkich zdarzeń, które zawierają określony tag.

Opcja wyboru z listy wcześniej używanych i wybranych tagów jest wyświetlana po rozpoczęciu wpisywania.

Zdarzenie może mieć tagi systemowe i/lub tagi niestandardowe z określonymi kolorami tła. Tagi niestandardowe używają białego tła, podczas gdy tagi systemowe zwykle używają kolorów czerwonego lub czarnego tła. Tagi systemowe identyfikują następujące elementy w zdarzeniu:

• Rodzaj ataku, taki jak wyłudzanie poświadczeń lub oszustwo BEC
• Automatyczne akcje, takie jak automatyczne badanie i reagowanie na ataki oraz automatyczne zakłócenia ataku
• Eksperci usługi Defender zajmujący się zdarzeniem
• Krytyczne zasoby biorące udział w zdarzeniu

Porada

Usługa Security Exposure Management firmy Microsoft oparta na wstępnie zdefiniowanych klasyfikacjach automatycznie oznacza urządzenia, tożsamości i zasoby w chmurze jako element zawartości o krytycznym znaczeniu. Ta wbudowana funkcja zapewnia ochronę cennych i najważniejszych zasobów organizacji. Pomaga również zespołom ds. operacji zabezpieczeń w ustalaniu priorytetów badania i korygowania. Dowiedz się więcej o krytycznym zarządzaniu zasobami.

Przypisywanie zdarzenia

Możesz wybrać pole Przypisz do i określić konto użytkownika, aby przypisać zdarzenie. Aby ponownie przypisać zdarzenie, usuń bieżące konto przypisania, wybierając znak "x" obok nazwy konta, a następnie zaznacz pole Przypisz do . Przypisanie własności zdarzenia przypisuje tę samą własność do wszystkich alertów z nim skojarzonych.

Listę zdarzeń przypisanych do Ciebie można uzyskać, filtrując kolejkę zdarzeń.

1. W kolejce zdarzeń wybierz pozycję Filtry.
2. W sekcji Przypisanie zdarzeniawyczyść pozycję Wybierz wszystko. Wybierz pozycję Przypisano do mnie, Przypisano do innego użytkownika lub Przypisano do grupy użytkowników.
3. Wybierz pozycję Zastosuj, a następnie zamknij okienko Filtry .

Następnie możesz zapisać wynikowy adres URL w przeglądarce jako zakładkę, aby szybko wyświetlić listę przypisanych do Ciebie zdarzeń.

Rozwiązywanie zdarzenia

Wybierz pozycję Rozwiąż zdarzenie , aby przenieść przełącznik w prawo po skorygowaniu zdarzenia. Rozwiązanie zdarzenia rozwiązuje również wszystkie połączone i aktywne alerty związane ze zdarzeniem.

Zdarzenie, które nie zostało rozwiązane, jest wyświetlane jako Aktywne.

Określanie klasyfikacji

W polu Klasyfikacja określasz, czy zdarzenie jest następujące:

• Nie ustawiono (wartość domyślna).
• Wartość prawdziwie dodatnia z typem zagrożenia. Użyj tej klasyfikacji w przypadku zdarzeń, które dokładnie wskazują rzeczywiste zagrożenie. Określenie typu zagrożenia ułatwia zespołowi ds. zabezpieczeń wyświetlanie wzorców zagrożeń i działanie w celu ochrony organizacji przed nimi.
• Działanie informacyjne, oczekiwane z typem działania. Użyj opcji w tej kategorii, aby sklasyfikować zdarzenia na potrzeby testów zabezpieczeń, działania czerwonego zespołu i oczekiwanego nietypowego zachowania zaufanych aplikacji i użytkowników.
• Wyniki fałszywie dodatnie dla typów zdarzeń, które można określić, mogą być ignorowane, ponieważ są technicznie niedokładne lub wprowadzające w błąd.

Klasyfikowanie zdarzeń oraz określanie ich stanu i typu pomaga dostroić usługę Microsoft Defender XDR w celu zapewnienia lepszego wykrywania w czasie.

Dodawanie komentarzy

Możesz dodać wiele komentarzy do zdarzenia za pomocą pola Komentarz . Pole komentarza obsługuje tekst i formatowanie, linki i obrazy. Każdy komentarz jest ograniczony do 30 000 znaków.

Wszystkie komentarze są dodawane do zdarzeń historycznych zdarzenia. Komentarze i historia zdarzenia można wyświetlić za pomocą linku Komentarze i historia na stronie Podsumowanie .

Dziennik aktywności

Dziennik aktywności zawiera listę wszystkich komentarzy i akcji wykonanych w zdarzeniu, nazywanych inspekcjami i komentarzami. Wszystkie zmiany wprowadzone w zdarzeniu, czy to przez użytkownika, czy przez system, są rejestrowane w dzienniku aktywności. Dziennik aktywności jest dostępny z poziomu opcji Dziennik aktywności na stronie zdarzenia lub w okienku po stronie zdarzenia.

Działania w dzienniku można filtrować według komentarzy i akcji. Kliknij pozycję Zawartość: Inspekcje, Komentarze, a następnie wybierz typ zawartości do filtrowania działań. Oto przykład.

Możesz również dodać własne komentarze przy użyciu pola komentarza dostępnego w dzienniku aktywności. Pole komentarza akceptuje tekst i formatowanie, linki i obrazy.

Eksportowanie danych zdarzeń do formatu PDF

Ważna

Niektóre informacje zawarte w tym artykule odnoszą się do wersji wstępnej produktu, który może zostać znacznie zmodyfikowany do czasu wydania wersji komercyjnej. Firma Microsoft nie udziela żadnych gwarancji, wyraźnych ani dorozumianych, w odniesieniu do podanych tutaj informacji.

Funkcja eksportowania danych zdarzeń jest obecnie dostępna dla klientów platformy Microsoft Defender XDR i ujednoliconego centrum operacji zabezpieczeń (SOC) usługi Microsoft Defender z licencją Microsoft Copilot na potrzeby zabezpieczeń.

Dane zdarzenia można wyeksportować do pliku PDF za pośrednictwem funkcji Eksportuj zdarzenie jako plik PDF i zapisać je w formacie PDF. Ta funkcja umożliwia zespołom ds. zabezpieczeń przeglądanie szczegółów zdarzenia w trybie offline w dowolnym momencie.

Wyeksportowane dane zdarzenia zawierają następujące informacje:

• Omówienie zawierające szczegóły zdarzenia
• Wykres scenariusza ataku i kategorie zagrożeń
• Zasoby, których dotyczy problem, obejmujące maksymalnie 10 aktywów dla każdego typu zasobu
• Lista dowodów obejmująca do 100 elementów
• Dane pomocnicze, w tym wszystkie powiązane alerty i działania zarejestrowane w dzienniku aktywności

Oto przykład wyeksportowanego pliku PDF:

Jeśli masz licencję Copilot for Security , wyeksportowany plik PDF zawiera następujące dodatkowe dane zdarzenia:

• Podsumowanie zdarzenia
• Raport o zdarzeniu

Funkcja eksportu do formatu PDF jest również dostępna w panelu bocznym Copilot wygenerowanego raportu o zdarzeniu.

Aby wygenerować plik PDF, wykonaj następujące kroki:

1. Otwórz stronę zdarzenia. Wybierz wielokropek Więcej akcji (...) w prawym górnym rogu i wybierz pozycję Eksportuj zdarzenie jako plik PDF. Funkcja staje się wyszarzona podczas generowania pliku PDF.

   

2. Zostanie wyświetlone okno dialogowe wskazujące, że jest generowany plik PDF. Wybierz pozycję Got it (Got it), aby zamknąć okno dialogowe. Ponadto pod tytułem zdarzenia zostanie wyświetlony komunikat o stanie wskazujący bieżący stan pobierania. Proces eksportowania może potrwać kilka minut w zależności od złożoności zdarzenia i ilości danych do wyeksportowania.

   

3. Gdy plik PDF będzie gotowy, komunikat o stanie wskazuje, że plik PDF jest gotowy i zostanie wyświetlone kolejne okno dialogowe. Wybierz pozycję Pobierz w oknie dialogowym, aby zapisać plik PDF na urządzeniu.

   

Raport jest buforowany przez kilka minut. System udostępnia wcześniej wygenerowany plik PDF, jeśli spróbujesz ponownie wyeksportować to samo zdarzenie w krótkim czasie. Aby wygenerować nowszą wersję pliku PDF, poczekaj kilka minut, aż pamięć podręczna wygaśnie.

Następne kroki

W przypadku nowych zdarzeń rozpocznij badanie.

W przypadku zdarzeń w procesie kontynuuj badanie.

W przypadku rozwiązanych zdarzeń wykonaj przegląd po zdarzeniu.

Zobacz też

• Omówienie zdarzeń
• Określanie priorytetów zdarzeń
• Badanie zdarzeń

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.