Przeczytaj w języku angielskim

Udostępnij za pośrednictwem


Określanie priorytetów zdarzeń w portalu Microsoft Defender

Ujednolicona platforma operacji zabezpieczeń w portalu Microsoft Defender stosuje analizę korelacji oraz agreguje powiązane alerty i zautomatyzowane badania z różnych produktów w przypadku zdarzenia. Microsoft Sentinel i Defender XDR również wyzwalać unikatowe alerty dotyczące działań, które można zidentyfikować jako złośliwe, biorąc pod uwagę kompleksowy wgląd w ujednoliconą platformę w całym zestawie produktów. Ten widok zapewnia analitykom zabezpieczeń szerszą historię ataków, która pomaga im lepiej zrozumieć złożone zagrożenia w całej organizacji i radzić sobie z nimi.

Ważne

Microsoft Sentinel jest ogólnie dostępna w ramach ujednoliconej platformy operacji zabezpieczeń firmy Microsoft w portalu Microsoft Defender. W wersji zapoznawczej Microsoft Sentinel jest dostępna w portalu usługi Defender bez Microsoft Defender XDR lub licencji E5. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu Microsoft Defender.

Kolejka zdarzeń

Kolejka Zdarzenia zawiera kolekcję zdarzeń, które zostały utworzone na różnych urządzeniach, użytkownikach, skrzynkach pocztowych i innych zasobach. Ułatwia ona sortowanie zdarzeń w celu określenia priorytetów i utworzenia świadomej decyzji dotyczącej reagowania na cyberbezpieczeństwo, czyli procesu znanego jako klasyfikacja incydentów.

Możesz przejść do kolejki zdarzeń z witryny Incydenty & alerty > Zdarzenia przy szybkim uruchomieniu portalu Microsoft Defender. Oto przykład.

Zrzut ekranu przedstawiający kolejkę Zdarzenia w portalu Microsoft Defender.

Wybierz pozycję Najnowsze zdarzenia i alerty , aby przełączyć rozszerzenie górnej sekcji, która pokazuje wykres osi czasu liczby odebranych alertów i zdarzeń utworzonych w ciągu ostatnich 24 godzin.

Zrzut ekranu przedstawiający 24-godzinny wykres zdarzenia.

Poniżej znajduje się kolejka zdarzeń w portalu Microsoft Defender wyświetla zdarzenia widoczne w ciągu ostatnich sześciu miesięcy. Możesz wybrać inny przedział czasu, wybierając go z listy rozwijanej u góry. Zdarzenia są organizowane zgodnie z najnowszymi automatycznymi lub ręcznymi aktualizacjami wprowadzonymi w zdarzeniu. Zdarzenia można rozmieścić według kolumny czasu ostatniej aktualizacji , aby wyświetlić zdarzenia zgodnie z najnowszymi automatycznymi lub ręcznymi aktualizacjami.

Kolejka zdarzeń ma dostosowywalne kolumny, które zapewniają wgląd w różne cechy zdarzenia lub jednostki, których dotyczy problem. To filtrowanie ułatwia podjęcie świadomej decyzji dotyczącej priorytetyzacji zdarzeń na potrzeby analizy. Wybierz pozycję Dostosuj kolumny , aby wykonać następujące dostosowania na podstawie preferowanego widoku:

  • Sprawdź/usuń zaznaczenie kolumn, które chcesz wyświetlić w kolejce zdarzeń.
  • Rozmieść kolejność kolumn, przeciągając je.

Zrzut ekranu przedstawiający filtr strony zdarzenia i kontrolki kolumn.

Nazwy zdarzeń

Aby uzyskać większą widoczność na pierwszy rzut oka, Microsoft Defender XDR automatycznie generuje nazwy zdarzeń na podstawie atrybutów alertów, takich jak liczba punktów końcowych, których dotyczy problem, których dotyczy problem, źródła wykrywania lub kategorie. To konkretne nazewnictwo pozwala szybko zrozumieć zakres zdarzenia.

Na przykład: Zdarzenie wieloetapowe w wielu punktach końcowych zgłaszanych przez wiele źródeł.

Jeśli dołączono Microsoft Sentinel do ujednoliconej platformy operacji zabezpieczeń, wszelkie alerty i zdarzenia pochodzące z Microsoft Sentinel prawdopodobnie zmienią ich nazwy (niezależnie od tego, czy zostały utworzone przed, czy od momentu dołączenia).

Zalecamy unikanie używania nazwy zdarzenia jako warunku wyzwalania reguł automatyzacji. Jeśli nazwa zdarzenia jest warunkiem, a nazwa zdarzenia zostanie zmieniona, reguła nie zostanie wyzwolona.

Filtry

Kolejka zdarzeń udostępnia również wiele opcji filtrowania, które po zastosowaniu umożliwiają przeprowadzenie szerokiego zakresu wszystkich istniejących zdarzeń w środowisku lub podjęcie decyzji o skoncentrowaniu się na konkretnym scenariuszu lub zagrożeniu. Zastosowanie filtrów w kolejce zdarzeń może pomóc w określeniu, które zdarzenie wymaga natychmiastowej uwagi.

Na liście Filtry powyżej listy zdarzeń są wyświetlane aktualnie zastosowane filtry.

W domyślnej kolejce zdarzeń możesz wybrać pozycję Dodaj filtr , aby wyświetlić listę rozwijaną Dodaj filtr , z której należy określić filtry do zastosowania do kolejki zdarzeń, aby ograniczyć wyświetlany zestaw zdarzeń. Oto przykład.

Okienko Filtry dla kolejki zdarzeń w portalu Microsoft Defender.

Wybierz filtry, których chcesz użyć, a następnie wybierz pozycję Dodaj w dolnej części listy, aby je udostępnić.

Teraz wybrane filtry są wyświetlane wraz z istniejącymi zastosowanymi filtrami. Wybierz nowy filtr, aby określić jego warunki. Jeśli na przykład wybrano filtr "Źródła usługi/wykrywania", wybierz go, aby wybrać źródła, według których ma zostać przefiltrowana lista.

Możesz również wyświetlić okienko Filtr , wybierając dowolny z filtrów na liście Filtry powyżej listy zdarzeń.

W tej tabeli wymieniono dostępne nazwy filtrów.

Nazwa filtru Opis/warunki
Stan Wybierz pozycję Nowy, W toku lub Rozwiązano.
Ważność alertu
Ważność zdarzenia
Ważność alertu lub zdarzenia wskazuje na jego wpływ na zasoby. Im większa ważność, tym większy wpływ i zwykle wymaga natychmiastowej uwagi. Wybierz pozycję Wysoki, Średni, Niski lub Informacyjny.
Przypisanie zdarzenia Wybierz przypisanego użytkownika lub użytkowników.
Wiele źródeł usług Określ, czy filtr jest przeznaczony dla więcej niż jednego źródła usługi.
Źródła usługi/wykrywania Określ zdarzenia zawierające alerty z co najmniej jednego z następujących elementów:
  • Microsoft Defender for Identity
  • Microsoft Defender for Cloud Apps
  • Ochrona punktu końcowego w usłudze Microsoft Defender
  • Microsoft Defender XDR
  • Ochrona usługi Office 365 w usłudze Microsoft Defender
  • Zarządzanie aplikacjami
  • Ochrona tożsamości Microsoft Entra
  • Ochrona przed utratą danych firmy Microsoft
  • Microsoft Defender for Cloud
  • Microsoft Sentinel

    Wiele z tych usług można rozszerzyć w menu, aby wyświetlić dalsze opcje źródeł wykrywania w ramach danej usługi.
  • Tagi Wybierz jedną lub wiele nazw tagów z listy.
    Wiele kategorii Określ, czy filtr jest przeznaczony dla więcej niż jednej kategorii.
    Kategorie Wybierz kategorie, aby skoncentrować się na określonych taktykach, technikach lub widocznych składnikach ataku.
    Podmioty Określ nazwę zasobu, takiego jak użytkownik, urządzenie, skrzynka pocztowa lub nazwa aplikacji.
    Poufność danych Niektóre ataki koncentrują się na celowaniu w celu eksfiltrowania poufnych lub cennych danych. Stosując filtr dla określonych etykiet poufności, można szybko określić, czy informacje poufne zostały potencjalnie naruszone i nadać priorytet tym incydentom.

    Ten filtr wyświetla informacje tylko wtedy, gdy zastosowano etykiety poufności z Microsoft Purview Information Protection.
    Grupy urządzeń Określ nazwę grupy urządzeń .
    Platforma systemu operacyjnego Określ systemy operacyjne urządzeń.
    Klasyfikacja Określ zestaw klasyfikacji powiązanych alertów.
    Stan zautomatyzowanego badania Określ stan zautomatyzowanego badania.
    Skojarzone zagrożenie Określ nazwane zagrożenie.
    Zasady alertów Określ tytuł zasad alertu.
    Identyfikatory subskrypcji alertów Określ alert na podstawie identyfikatora subskrypcji.

    Filtr domyślny to wyświetlanie wszystkich alertów i zdarzeń o stanie Nowy i W toku oraz o ważności Wysoki, Średni lub Niski.

    Możesz szybko usunąć filtr, wybierając znak X w nazwie filtru na liście Filtry .

    Możesz również utworzyć zestawy filtrów na stronie zdarzeń, wybierając pozycję Zapisane zapytania filtrów Utwórz zestaw filtrów>. Jeśli nie utworzono żadnych zestawów filtrów, wybierz pozycję Zapisz , aby je utworzyć.

    Opcja utwórz zestawy filtrów dla kolejki zdarzeń w portalu Microsoft Defender.

    Uwaga

    Microsoft Defender XDR klienci mogą teraz filtrować zdarzenia za pomocą alertów, w przypadku których urządzenie z naruszonymi zabezpieczeniami komunikuje się z urządzeniami technologii operacyjnej (OT) połączonymi z siecią przedsiębiorstwa za pośrednictwem integracji odnajdywania urządzeń Microsoft Defender dla IoT i Ochrona punktu końcowego w usłudze Microsoft Defender. Aby filtrować te zdarzenia, wybierz pozycję Dowolne w źródłach usługi/wykrywania, a następnie wybierz pozycję Microsoft Defender dla IoT w polu Nazwa produktu lub zobacz Badanie zdarzeń i alertów w Microsoft Defender dla IoT w portalu usługi Defender. Możesz również użyć grup urządzeń do filtrowania pod kątem alertów specyficznych dla lokacji. Aby uzyskać więcej informacji na temat wymagań wstępnych usługi Defender for IoT, zobacz Wprowadzenie do monitorowania IoT w przedsiębiorstwie w Microsoft Defender XDR.

    Zapisywanie filtrów niestandardowych jako adresów URL

    Po skonfigurowaniu przydatnego filtru w kolejce zdarzeń możesz dodać do zakładki adres URL karty przeglądarki lub w inny sposób zapisać go jako link na stronie sieci Web, Word dokumencie lub wybranym miejscu. Zakładka zapewnia dostęp jednym kliknięciem do kluczowych widoków kolejki zdarzeń, takich jak:

    • Nowe zdarzenia
    • Zdarzenia o wysokiej ważności
    • Nieprzypisane zdarzenia
    • Zdarzenia o wysokiej ważności, nieprzypisane
    • Zdarzenia przypisane do mnie
    • Zdarzenia przypisane do mnie i dla Ochrona punktu końcowego w usłudze Microsoft Defender
    • Zdarzenia z określonym tagiem lub tagami
    • Zdarzenia z określoną kategorią zagrożeń
    • Incydenty z określonym powiązanym zagrożeniem
    • Incydenty z określonym aktorem

    Po skompilowaniu i zapisaniu listy przydatnych widoków filtrów jako adresów URL użyj jej do szybkiego przetwarzania i określania priorytetów zdarzeń w kolejce oraz zarządzania nimi w celu późniejszego przypisania i analizy.

    W polu Wyszukaj nazwę lub identyfikator powyżej listy zdarzeń możesz wyszukiwać zdarzenia na wiele sposobów, aby szybko znaleźć to, czego szukasz.

    Wyszukiwanie według nazwy lub identyfikatora zdarzenia

    Wyszukaj bezpośrednio zdarzenie, wpisując identyfikator zdarzenia lub nazwę zdarzenia. Po wybraniu zdarzenia z listy wyników wyszukiwania portal Microsoft Defender otwiera nową kartę z właściwościami zdarzenia, z której można rozpocząć badanie.

    Wyszukiwanie według zasobów, których dotyczy problem

    Możesz nazwać zasób — taki jak użytkownik, urządzenie, skrzynka pocztowa, nazwa aplikacji lub zasób w chmurze — i znaleźć wszystkie zdarzenia związane z tym zasobem.

    Określanie zakresu czasu

    Domyślna lista zdarzeń dotyczy zdarzeń, które miały miejsce w ciągu ostatnich sześciu miesięcy. Możesz określić nowy zakres czasu z listy rozwijanej obok ikony kalendarza, wybierając następujące opcje:

    • Jeden dzień
    • Trzy dni
    • Tydzień
    • 30 dni
    • 30 dni
    • Sześć miesięcy
    • Zakres niestandardowy, w którym można określić daty i godziny

    Następne kroki

    Po określeniu, które zdarzenie wymaga najwyższego priorytetu, wybierz go i:

    Zobacz też

    Porada

    Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.