Zarządzanie zdarzeniami w Microsoft Defender

  • Artykuł

Dotyczy:

  • Microsoft Defender XDR
  • Ujednolicona platforma centrum operacji zabezpieczeń (SOC) usługi Microsoft Defender

Zarządzanie zdarzeniami ma kluczowe znaczenie dla zapewnienia, że zdarzenia są nazwane, przypisane i oznakowane, aby zoptymalizować czas w przepływie pracy zdarzenia oraz szybciej ograniczać zagrożenia i rozwiązywać je.

Porada

Przez ograniczony czas w styczniu 2024 r., gdy odwiedzisz stronę Zdarzenia , pojawi się usługa Defender Boxed. Usługa Defender Boxed przedstawia sukcesy, ulepszenia i działania związane z bezpieczeństwem organizacji w 2023 roku. Aby ponownie otworzyć usługę Defender Boxed, w portalu Microsoft Defender przejdź do pozycji Incydenty, a następnie wybierz pozycję Defender Boxed.

Zdarzeniami można zarządzać z poziomu zdarzeń & alertów > Zdarzenia na szybkim uruchomieniu portalu Microsoft Defender (security.microsoft.com). Oto przykład.

Wyróżnianie opcji zarządzania incydentem w kolejce zdarzeń i okienka szybkiego uruchamiania w portalu Microsoft Defender

Oto sposoby zarządzania zdarzeniami:

Zdarzeniami można zarządzać w okienku Zarządzanie zdarzeniami dla zdarzenia. Oto przykład.

Okienko Zarządzanie incydentami w portalu Microsoft Defender

To okienko można wyświetlić za pomocą linku Zarządzaj zdarzeniem na stronie:

  • Strona historii alertu.
  • Okienko właściwości zdarzenia w kolejce zdarzeń.
  • Strona podsumowania zdarzenia.
  • Zarządzaj opcją zdarzenia znajdującą się w prawym górnym rogu strony Zdarzenia.

W przypadkach, gdy chcesz przenieść alerty z jednego zdarzenia do innego, możesz to zrobić również na karcie Alerty , tworząc w ten sposób większe lub mniejsze zdarzenie, które obejmuje wszystkie odpowiednie alerty.

Edytowanie nazwy zdarzenia

Microsoft Defender automatycznie przypisuje nazwę na podstawie atrybutów alertów, takich jak liczba punktów końcowych, których dotyczy problem, użytkowników, których dotyczy problem, źródła wykrywania lub kategorie. Nazwa zdarzenia pozwala szybko zrozumieć zakres zdarzenia. Na przykład: Zdarzenie wieloetapowe w wielu punktach końcowych zgłaszanych przez wiele źródeł.

Nazwę zdarzenia można edytować z pola Nazwa zdarzenia w okienku Zarządzanie zdarzeniem .

Uwaga

Zdarzenia, które istniały przed wdrożeniem funkcji automatycznego nazewnictwa zdarzeń, zachowają swoją nazwę.

Przypisywanie lub zmienianie ważności zdarzenia

Ważność zdarzenia można przypisać lub zmienić z pola Ważność w okienku Zarządzanie zdarzeniem . Ważność zdarzenia zależy od najwyższej ważności skojarzonych z nim alertów. Ważność zdarzenia można ustawić na wysoką, średnią, niską lub informacyjną.

Dodawanie tagów zdarzeń

Możesz dodać tagi niestandardowe do zdarzenia, na przykład w celu oznaczania grupy zdarzeń o wspólnej cechie. Później można filtrować kolejkę zdarzeń pod kątem wszystkich zdarzeń, które zawierają określony tag.

Opcja wyboru z listy wcześniej używanych i wybranych tagów jest wyświetlana po rozpoczęciu wpisywania.

Przypisywanie zdarzenia

Możesz wybrać pole Przypisz do i określić konto użytkownika, aby przypisać zdarzenie. Aby ponownie przypisać zdarzenie, usuń bieżące konto przypisania, wybierając znak "x" obok nazwy konta, a następnie zaznacz pole Przypisz do . Przypisanie własności zdarzenia przypisuje tę samą własność do wszystkich alertów z nim skojarzonych.

Listę zdarzeń przypisanych do Ciebie można uzyskać, filtrując kolejkę zdarzeń.

  1. W kolejce zdarzeń wybierz pozycję Filtry.
  2. W sekcji Przypisanie zdarzeniawyczyść pozycję Wybierz wszystko. Wybierz pozycję Przypisano do mnie, Przypisano do innego użytkownika lub Przypisano do grupy użytkowników.
  3. Wybierz pozycję Zastosuj, a następnie zamknij okienko Filtry .

Następnie możesz zapisać wynikowy adres URL w przeglądarce jako zakładkę, aby szybko wyświetlić listę przypisanych do Ciebie zdarzeń.

Rozwiązywanie zdarzenia

Wybierz pozycję Rozwiąż zdarzenie , aby przenieść przełącznik w prawo po skorygowaniu zdarzenia. Rozwiązanie zdarzenia rozwiązuje również wszystkie połączone i aktywne alerty związane ze zdarzeniem.

Zdarzenie, które nie zostało rozwiązane, jest wyświetlane jako Aktywne.

Określanie klasyfikacji

W polu Klasyfikacja określasz, czy zdarzenie jest następujące:

  • Nie ustawiono (wartość domyślna).
  • Wartość prawdziwie dodatnia z typem zagrożenia. Użyj tej klasyfikacji w przypadku zdarzeń, które dokładnie wskazują rzeczywiste zagrożenie. Określenie typu zagrożenia ułatwia zespołowi ds. zabezpieczeń wyświetlanie wzorców zagrożeń i działanie w celu ochrony organizacji przed nimi.
  • Działanie informacyjne, oczekiwane z typem działania. Użyj opcji w tej kategorii, aby sklasyfikować zdarzenia na potrzeby testów zabezpieczeń, działania czerwonego zespołu i oczekiwanego nietypowego zachowania zaufanych aplikacji i użytkowników.
  • Wyniki fałszywie dodatnie dla typów zdarzeń, które można określić, mogą być ignorowane, ponieważ są technicznie niedokładne lub wprowadzające w błąd.

Klasyfikowanie zdarzeń oraz określanie ich stanu i typu pomaga dostroić Microsoft Defender XDR w celu zapewnienia lepszego wykrywania w czasie.

Dodawanie komentarzy

Możesz dodać wiele komentarzy do zdarzenia za pomocą pola Komentarz . Pole komentarza obsługuje tekst i formatowanie, linki i obrazy. Każdy komentarz jest ograniczony do 30 000 znaków.

Wszystkie komentarze są dodawane do zdarzeń historycznych zdarzenia. Komentarze i historia zdarzenia można wyświetlić za pomocą linku Komentarze i historia na stronie Podsumowanie .

Dziennik aktywności

Dziennik aktywności zawiera listę wszystkich komentarzy i akcji wykonanych w zdarzeniu, nazywanych inspekcjami i komentarzami. Wszystkie zmiany wprowadzone w zdarzeniu, czy to przez użytkownika, czy przez system, są rejestrowane w dzienniku aktywności. Dziennik aktywności jest dostępny z poziomu opcji Dziennik aktywności na stronie zdarzenia lub w okienku po stronie zdarzenia.

Wyróżnianie opcji dziennika aktywności na stronie zdarzenia w portalu Microsoft Defender

Działania w dzienniku można filtrować według komentarzy i akcji. Kliknij pozycję Zawartość: Inspekcje, Komentarze, a następnie wybierz typ zawartości do filtrowania działań. Oto przykład.

Wyróżnianie opcji filtru w okienku dziennika aktywności na stronie zdarzenia w portalu Microsoft Defender

Możesz również dodać własne komentarze przy użyciu pola komentarza dostępnego w dzienniku aktywności. Pole komentarza akceptuje tekst i formatowanie, linki i obrazy.

Wyróżnianie pola komentarza na stronie zdarzenia w portalu Microsoft Defender

Eksportowanie danych zdarzeń do formatu PDF

Ważna

Niektóre informacje zawarte w tym artykule odnoszą się do wersji wstępnej produktu, który może zostać znacznie zmodyfikowany do czasu wydania wersji komercyjnej. Firma Microsoft nie udziela żadnych gwarancji, wyraźnych ani dorozumianych, w odniesieniu do podanych tutaj informacji.

Funkcja eksportowania danych zdarzeń jest obecnie dostępna dla klientów Microsoft Defender XDR i Microsoft Defender ujednoliconej platformy centrum operacji zabezpieczeń (SOC) z licencją Microsoft Copilot for security.

Dane zdarzenia można wyeksportować do pliku PDF za pośrednictwem funkcji Eksportuj zdarzenie jako plik PDF i zapisać je w formacie PDF. Ta funkcja umożliwia zespołom ds. zabezpieczeń przeglądanie szczegółów zdarzenia w trybie offline w dowolnym momencie.

Wyeksportowane dane zdarzenia zawierają następujące informacje:

Oto przykład wyeksportowanego pliku PDF:

Zrzut ekranu przedstawiający pierwszą stronę wyeksportowanego pliku PDF.

Jeśli masz licencję Copilot dla rozwiązań zabezpieczających, wyeksportowany plik PDF zawiera następujące dodatkowe dane zdarzenia:

Funkcja eksportu do formatu PDF jest również dostępna w panelu bocznym Copilot wygenerowanego raportu o zdarzeniu.

Zrzut ekranu przedstawiający dodatkowe akcje na karcie wyników raportu o zdarzeniu.

Aby wygenerować plik PDF, wykonaj następujące kroki:

  1. Otwórz stronę zdarzenia. Wybierz wielokropek Więcej akcji (...) w prawym górnym rogu i wybierz pozycję Eksportuj zdarzenie jako plik PDF. Funkcja staje się wyszarzona podczas generowania pliku PDF.

    Zrzut ekranu przedstawiający opcję eksportowania zdarzenia do pliku PDF.

  2. Zostanie wyświetlone okno dialogowe wskazujące, że jest generowany plik PDF. Wybierz pozycję Got it (Got it), aby zamknąć okno dialogowe. Ponadto pod tytułem zdarzenia zostanie wyświetlony komunikat o stanie wskazujący bieżący stan pobierania. Proces eksportowania może potrwać kilka minut w zależności od złożoności zdarzenia i ilości danych do wyeksportowania.

    Zrzut ekranu z wyróżnionym komunikatem eksportowania i stanem przed pobraniem.

  3. Gdy plik PDF będzie gotowy, komunikat o stanie wskazuje, że plik PDF jest gotowy i zostanie wyświetlone kolejne okno dialogowe. Wybierz pozycję Pobierz w oknie dialogowym, aby zapisać plik PDF na urządzeniu.

    Zrzut ekranu z wyróżnionym komunikatem eksportowania i stanem, gdy jest dostępne pobieranie.

Raport jest buforowany przez kilka minut. System udostępnia wcześniej wygenerowany plik PDF, jeśli spróbujesz ponownie wyeksportować to samo zdarzenie w krótkim czasie. Aby wygenerować nowszą wersję pliku PDF, poczekaj kilka minut, aż pamięć podręczna wygaśnie.

Następne kroki

W przypadku nowych zdarzeń rozpocznij badanie.

W przypadku zdarzeń w procesie kontynuuj badanie.

W przypadku rozwiązanych zdarzeń wykonaj przegląd po zdarzeniu.

Zobacz też

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.