Określanie priorytetów zdarzeń w portalu usługi Microsoft Defender
Ujednolicona platforma operacji zabezpieczeń w portalu usługi Microsoft Defender stosuje analizę korelacji i agreguje powiązane alerty i zautomatyzowane badania z różnych produktów w przypadku zdarzenia. Usługi Microsoft Sentinel i Defender XDR wyzwalają również unikatowe alerty dotyczące działań, które można zidentyfikować tylko jako złośliwe, biorąc pod uwagę kompleksowy wgląd w ujednoliconą platformę w całym zestawie produktów. Ten widok zapewnia analitykom zabezpieczeń szerszą historię ataków, która pomaga im lepiej zrozumieć złożone zagrożenia w całej organizacji i radzić sobie z nimi.
Ważna
Usługa Microsoft Sentinel jest teraz ogólnie dostępna na platformie ujednoliconych operacji zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.
Kolejka zdarzeń
Kolejka Zdarzenia zawiera kolekcję zdarzeń, które zostały utworzone na różnych urządzeniach, użytkownikach, skrzynkach pocztowych i innych zasobach. Ułatwia ona sortowanie zdarzeń w celu określenia priorytetów i utworzenia świadomej decyzji dotyczącej reagowania na cyberbezpieczeństwo, czyli procesu znanego jako klasyfikacja incydentów.
Możesz przejść do kolejki zdarzeń z witryny Incydenty & alerty > Zdarzenia przy szybkim uruchomieniu portalu usługi Microsoft Defender. Oto przykład.
Wybierz pozycję Najnowsze zdarzenia i alerty , aby przełączyć rozszerzenie górnej sekcji, która pokazuje wykres osi czasu liczby odebranych alertów i zdarzeń utworzonych w ciągu ostatnich 24 godzin.
Poniżej znajduje się kolejka zdarzeń w portalu usługi Microsoft Defender wyświetla zdarzenia widoczne w ciągu ostatnich sześciu miesięcy. Możesz wybrać inny przedział czasu, wybierając go z listy rozwijanej u góry. Zdarzenia są organizowane zgodnie z najnowszymi automatycznymi lub ręcznymi aktualizacjami wprowadzonymi w zdarzeniu. Zdarzenia można rozmieścić według kolumny czasu ostatniej aktualizacji , aby wyświetlić zdarzenia zgodnie z najnowszymi automatycznymi lub ręcznymi aktualizacjami.
Kolejka zdarzeń ma dostosowywalne kolumny, które zapewniają wgląd w różne cechy zdarzenia lub jednostki, których dotyczy problem. To filtrowanie ułatwia podjęcie świadomej decyzji dotyczącej priorytetyzacji zdarzeń na potrzeby analizy. Wybierz pozycję Dostosuj kolumny , aby wykonać następujące dostosowania na podstawie preferowanego widoku:
- Sprawdź/usuń zaznaczenie kolumn, które chcesz wyświetlić w kolejce zdarzeń.
- Rozmieść kolejność kolumn, przeciągając je.
Nazwy zdarzeń
Aby uzyskać większą widoczność na pierwszy rzut oka, usługa Microsoft Defender XDR automatycznie generuje nazwy zdarzeń na podstawie atrybutów alertów, takich jak liczba punktów końcowych, których dotyczy problem, których dotyczy problem, źródła wykrywania lub kategorie. To konkretne nazewnictwo pozwala szybko zrozumieć zakres zdarzenia.
Na przykład: Zdarzenie wieloetapowe w wielu punktach końcowych zgłaszanych przez wiele źródeł.
Jeśli dodano usługę Microsoft Sentinel do ujednoliconej platformy operacji zabezpieczeń, wszelkie alerty i zdarzenia pochodzące z usługi Microsoft Sentinel prawdopodobnie zmienią ich nazwy (niezależnie od tego, czy zostały utworzone przed dołączeniem, czy od czasu ich dołączenia).
Zalecamy unikanie używania nazwy zdarzenia jako warunku wyzwalania reguł automatyzacji. Jeśli nazwa zdarzenia jest warunkiem, a nazwa zdarzenia zostanie zmieniona, reguła nie zostanie wyzwolona.
Filtry
Kolejka zdarzeń udostępnia również wiele opcji filtrowania, które po zastosowaniu umożliwiają przeprowadzenie szerokiego zakresu wszystkich istniejących zdarzeń w środowisku lub podjęcie decyzji o skoncentrowaniu się na konkretnym scenariuszu lub zagrożeniu. Zastosowanie filtrów w kolejce zdarzeń może pomóc w określeniu, które zdarzenie wymaga natychmiastowej uwagi.
Na liście Filtry powyżej listy zdarzeń są wyświetlane aktualnie zastosowane filtry.
W domyślnej kolejce zdarzeń możesz wybrać pozycję Dodaj filtr , aby wyświetlić listę rozwijaną Dodaj filtr , z której należy określić filtry do zastosowania do kolejki zdarzeń, aby ograniczyć wyświetlany zestaw zdarzeń. Oto przykład.
Wybierz filtry, których chcesz użyć, a następnie wybierz pozycję Dodaj w dolnej części listy, aby je udostępnić.
Teraz wybrane filtry są wyświetlane wraz z istniejącymi zastosowanymi filtrami. Wybierz nowy filtr, aby określić jego warunki. Jeśli na przykład wybrano filtr "Źródła usługi/wykrywania", wybierz go, aby wybrać źródła, według których ma zostać przefiltrowana lista.
Możesz również wyświetlić okienko Filtr , wybierając dowolny z filtrów na liście Filtry powyżej listy zdarzeń.
W tej tabeli wymieniono dostępne nazwy filtrów.
Nazwa filtru | Opis/warunki |
---|---|
Stan | Wybierz pozycję Nowy, W toku lub Rozwiązano. |
Ważność alertu Ważność zdarzenia |
Ważność alertu lub zdarzenia wskazuje na jego wpływ na zasoby. Im większa ważność, tym większy wpływ i zwykle wymaga natychmiastowej uwagi. Wybierz pozycję Wysoki, Średni, Niski lub Informacyjny. |
Przypisanie zdarzenia | Wybierz przypisanego użytkownika lub użytkowników. |
Wiele źródeł usług | Określ, czy filtr jest przeznaczony dla więcej niż jednego źródła usługi. |
Źródła usługi/wykrywania | Określ zdarzenia zawierające alerty z co najmniej jednego z następujących elementów: Wiele z tych usług można rozszerzyć w menu, aby wyświetlić dalsze opcje źródeł wykrywania w ramach danej usługi. |
Tagi | Wybierz jedną lub wiele nazw tagów z listy. |
Wiele kategorii | Określ, czy filtr jest przeznaczony dla więcej niż jednej kategorii. |
Kategorie | Wybierz kategorie, aby skoncentrować się na określonych taktykach, technikach lub widocznych składnikach ataku. |
Podmioty | Określ nazwę zasobu, takiego jak użytkownik, urządzenie, skrzynka pocztowa lub nazwa aplikacji. |
Poufność danych | Niektóre ataki koncentrują się na celowaniu w celu eksfiltrowania poufnych lub cennych danych. Stosując filtr dla określonych etykiet poufności, można szybko określić, czy informacje poufne zostały potencjalnie naruszone i nadać priorytet tym incydentom. Ten filtr wyświetla informacje tylko wtedy, gdy zastosowano etykiety poufności z usługi Microsoft Purview Information Protection. |
Grupy urządzeń | Określ nazwę grupy urządzeń . |
Platforma systemu operacyjnego | Określ systemy operacyjne urządzeń. |
Klasyfikacja | Określ zestaw klasyfikacji powiązanych alertów. |
Stan zautomatyzowanego badania | Określ stan zautomatyzowanego badania. |
Skojarzone zagrożenie | Określ nazwane zagrożenie. |
Zasady alertów | Określ tytuł zasad alertu. |
Identyfikatory subskrypcji alertów | Określ alert na podstawie identyfikatora subskrypcji. |
Filtr domyślny to wyświetlanie wszystkich alertów i zdarzeń o stanie Nowy i W toku oraz o ważności Wysoki, Średni lub Niski.
Możesz szybko usunąć filtr, wybierając znak X w nazwie filtru na liście Filtry .
Możesz również utworzyć zestawy filtrów na stronie zdarzeń, wybierając pozycję Zapisane zapytania filtrów Utwórz zestaw filtrów>. Jeśli nie utworzono żadnych zestawów filtrów, wybierz pozycję Zapisz , aby je utworzyć.
Uwaga
Klienci XDR usługi Microsoft Defender mogą teraz filtrować zdarzenia za pomocą alertów, w przypadku których urządzenie z naruszonymi zabezpieczeniami komunikuje się z urządzeniami z technologią operacyjną (OT) połączonymi z siecią przedsiębiorstwa za pośrednictwem integracji odnajdywania urządzeń w usługach Microsoft Defender for IoT i Microsoft Defender for Endpoint. Aby filtrować te zdarzenia, wybierz pozycję Dowolne w źródłach usługi/wykrywania, a następnie wybierz pozycję Microsoft Defender for IoT w polu Nazwa produktu lub zobacz Badanie zdarzeń i alertów w usłudze Microsoft Defender for IoT w portalu usługi Defender. Możesz również użyć grup urządzeń do filtrowania pod kątem alertów specyficznych dla lokacji. Aby uzyskać więcej informacji na temat wymagań wstępnych usługi Defender for IoT, zobacz Wprowadzenie do monitorowania IoT w przedsiębiorstwie w usłudze Microsoft Defender XDR.
Zapisywanie filtrów niestandardowych jako adresów URL
Po skonfigurowaniu użytecznego filtru w kolejce zdarzeń możesz dodać do zakładki adres URL karty przeglądarki lub w inny sposób zapisać go jako link na stronie sieci Web, dokumencie programu Word lub wybranym miejscu. Zakładka zapewnia dostęp jednym kliknięciem do kluczowych widoków kolejki zdarzeń, takich jak:
- Nowe zdarzenia
- Zdarzenia o wysokiej ważności
- Nieprzypisane zdarzenia
- Zdarzenia o wysokiej ważności, nieprzypisane
- Zdarzenia przypisane do mnie
- Zdarzenia przypisane do mnie i dla usługi Microsoft Defender dla punktu końcowego
- Zdarzenia z określonym tagiem lub tagami
- Zdarzenia z określoną kategorią zagrożeń
- Incydenty z określonym powiązanym zagrożeniem
- Incydenty z określonym aktorem
Po skompilowaniu i zapisaniu listy przydatnych widoków filtrów jako adresów URL użyj jej do szybkiego przetwarzania i określania priorytetów zdarzeń w kolejce oraz zarządzania nimi w celu późniejszego przypisania i analizy.
Szukać
W polu Wyszukaj nazwę lub identyfikator powyżej listy zdarzeń możesz wyszukiwać zdarzenia na wiele sposobów, aby szybko znaleźć to, czego szukasz.
Wyszukiwanie według nazwy lub identyfikatora zdarzenia
Wyszukaj bezpośrednio zdarzenie, wpisując identyfikator zdarzenia lub nazwę zdarzenia. Po wybraniu zdarzenia z listy wyników wyszukiwania portal usługi Microsoft Defender otwiera nową kartę z właściwościami zdarzenia, z której można rozpocząć badanie.
Wyszukiwanie według zasobów, których dotyczy problem
Możesz nazwać zasób — taki jak użytkownik, urządzenie, skrzynka pocztowa, nazwa aplikacji lub zasób w chmurze — i znaleźć wszystkie zdarzenia związane z tym zasobem.
Określanie zakresu czasu
Domyślna lista zdarzeń dotyczy zdarzeń, które miały miejsce w ciągu ostatnich sześciu miesięcy. Możesz określić nowy zakres czasu z listy rozwijanej obok ikony kalendarza, wybierając następujące opcje:
- Jeden dzień
- Trzy dni
- Tydzień
- 30 dni
- 30 dni
- Sześć miesięcy
- Zakres niestandardowy, w którym można określić daty i godziny
Następne kroki
Po określeniu, które zdarzenie wymaga najwyższego priorytetu, wybierz go i:
- Zarządzaj właściwościami zdarzenia dla tagów, przypisania, natychmiastowego rozwiązania zdarzeń fałszywie dodatnich i komentarzy.
- Rozpocznij badania.
Zobacz też
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.