Поделиться через


Определение приоритетов инцидентов на портале Microsoft Defender

Единая платформа операций безопасности на портале Microsoft Defender применяет корреляционный анализ и агрегирует связанные оповещения и автоматические исследования из различных продуктов в инциденте. Microsoft Sentinel и Defender XDR также активируют уникальные оповещения о действиях, которые можно определить только как вредоносные, учитывая сквозную видимость на единой платформе во всем наборе продуктов. Это представление дает аналитикам безопасности более широкую историю атак, которая помогает им лучше понять и справиться со сложными угрозами в вашей организации.

Важно!

Microsoft Sentinel теперь общедоступен в рамках единой платформы операций безопасности Майкрософт на портале Microsoft Defender. Дополнительные сведения см. в статье Microsoft Sentinel на портале Microsoft Defender.

Очередь инцидентов

В очереди инцидентов отображается коллекция инцидентов, созданных на разных устройствах, пользователях, почтовых ящиках и других ресурсах. Он помогает сортировать инциденты, чтобы определить приоритеты и создать информированное решение по реагированию на кибербезопасность, процесс, известный как рассмотрение инцидентов.

Вы можете открыть очередь инцидентов из раздела Инциденты & оповещений > Об инцидентах при быстром запуске портала Microsoft Defender. Ниже приведен пример.

Снимок экрана: очередь инцидентов на портале Microsoft Defender.

Выберите Самые последние инциденты и оповещения , чтобы переключить расширение верхнего раздела, на котором показан график временной шкалы количества полученных оповещений и инцидентов, созданных за последние 24 часа.

Снимок экрана: график 24-часовых инцидентов.

Ниже в очереди инцидентов на портале Microsoft Defender отображаются инциденты, наблюдаемые за последние шесть месяцев. Вы можете выбрать другой интервал времени, выбрав его в раскрывающемся списке в верхней части. Инциденты упорядочивается в соответствии с последними автоматическими или вручную обновлениями, сделанными для инцидента. Вы можете упорядочить инциденты по столбцу времени последнего обновления , чтобы просмотреть инциденты в соответствии с последними автоматическими или вручную выполненными обновлениями.

Очередь инцидентов содержит настраиваемые столбцы, которые позволяют просматривать различные характеристики инцидента или затронутых сущностей. Эта фильтрация помогает принять взвешенное решение в отношении определения приоритетов инцидентов для анализа. Выберите Настроить столбцы , чтобы выполнить следующие настройки в зависимости от предпочитаемого представления:

  • Установите или снимите флажок столбцов, которые нужно просмотреть в очереди инцидентов.
  • Упорядочить столбцы, перетащив их.

Снимок экрана: фильтр страницы инцидента и элементы управления столбцами.

Имена инцидентов

Для наглядности XDR Microsoft Defender автоматически создает имена инцидентов на основе таких атрибутов оповещений, как количество затронутых конечных точек, затронутых пользователей, источники обнаружения или категории. Это конкретное именование позволяет быстро понять область инцидента.

Например: многоэтапный инцидент на нескольких конечных точках, сообщаемых несколькими источниками.

Если вы включили Microsoft Sentinel на единую платформу операций безопасности, то для всех оповещений и инцидентов, поступающих от Microsoft Sentinel, скорее всего, будут изменены имена (независимо от того, были ли они созданы до или после подключения).

Рекомендуется избегать использования имени инцидента в качестве условия для запуска правил автоматизации. Если имя инцидента является условием, а имя инцидента изменяется, правило не будет активировано.

Фильтры

Очередь инцидентов также предоставляет несколько параметров фильтрации, которые при применении позволяют выполнить широкую очистку всех существующих инцидентов в вашей среде или решить сосредоточиться на определенном сценарии или угрозе. Применение фильтров в очереди инцидентов помогает определить, какие инциденты требуют немедленного внимания.

В списке Фильтры над списком инцидентов отображаются примененные в настоящее время фильтры.

В очереди инцидентов по умолчанию можно выбрать Добавить фильтр , чтобы просмотреть раскрывающийся список Добавить фильтр , из которого вы указываете фильтры для применения к очереди инцидентов, чтобы ограничить набор показанных инцидентов. Ниже приведен пример.

Панель Фильтры для очереди инцидентов на портале Microsoft Defender.

Выберите фильтры, которые вы хотите использовать, а затем нажмите кнопку Добавить в нижней части списка, чтобы сделать их доступными.

Теперь выбранные фильтры отображаются вместе с существующими примененными фильтрами. Выберите новый фильтр, чтобы указать его условия. Например, если выбран фильтр "Источники службы и обнаружения", выберите его, чтобы выбрать источники для фильтрации списка.

Вы также можете просмотреть область Фильтр , выбрав любой из фильтров в списке Фильтры над списком инцидентов.

В этой таблице перечислены доступные имена фильтров.

Имя фильтра Описание и условия
Состояние Выберите Создать, Выполняется или Устранено.
Серьезность оповещений
Серьезность инцидента
Серьезность оповещения или инцидента указывает на влияние, которое они могут оказать на ваши ресурсы. Чем выше серьезность, тем больше воздействие и, как правило, требует самого непосредственного внимания. Выберите Высокий, Средний, Низкий или Информационный.
Назначение инцидента Выберите назначенного пользователя или пользователей.
Несколько служебных источников Укажите, относится ли фильтр к нескольким источникам служб.
Источники службы и обнаружения Укажите инциденты, содержащие оповещения из одного или нескольких из следующих:
  • Microsoft Defender для удостоверений
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender для конечной точки
  • Microsoft Defender XDR
  • Microsoft Defender для Office 365
  • Управление приложениями
  • Защита идентификаторов Microsoft Entra
  • Защита от потери данных (Майкрософт)
  • Microsoft Defender для облака
  • Microsoft Sentinel

    Многие из этих служб можно развернуть в меню, чтобы отобразить дальнейший выбор источников обнаружения в данной службе.
  • Tags Выберите одно или несколько имен тегов в списке.
    Несколько категорий Укажите, относится ли фильтр к нескольким категориям.
    Categories Выберите категории, чтобы сосредоточиться на конкретных тактиках, методах или компонентах атак.
    Entities Укажите имя ресурса, например пользователя, устройства, почтового ящика или имени приложения.
    Конфиденциальность данных Целью некоторых атак является фильтрация конфиденциальных или ценных данных. Применяя фильтр для определенных меток конфиденциальности, вы можете быстро определить, была ли потенциально скомпрометирована конфиденциальная информация, и приоритизировать решение этих инцидентов.

    Этот фильтр отображает сведения только в том случае, если вы применили метки конфиденциальности из Microsoft Purview Information Protection.
    Группы устройств Укажите имя группы устройств .
    Платформа ОС Укажите операционные системы устройства.
    Классификация Укажите набор классификаций связанных оповещений.
    Состояние автоматического расследования Укажите состояние автоматического исследования.
    Связанная угроза Укажите именованную угрозу.
    Политики оповещений Укажите заголовок политики оповещений.
    Идентификаторы подписок оповещений Укажите оповещение на основе идентификатора подписки.

    Фильтр по умолчанию — отображение всех оповещений и инцидентов с состоянием "Новый" и "Выполняется " и с уровнем серьезности "Высокий", "Средний" или "Низкий".

    Вы можете быстро удалить фильтр, выбрав X в имени фильтра в списке Фильтры .

    Вы также можете создать наборы фильтров на странице инцидентов, выбрав Сохраненные запросы > фильтра Создать набор фильтров. Если наборы фильтров не созданы, нажмите кнопку Сохранить , чтобы создать их.

    Фильтр create задает параметр для очереди инцидентов на портале Microsoft Defender.

    Примечание.

    Клиенты XDR в Microsoft Defender теперь могут фильтровать инциденты с оповещениями, когда скомпрометированное устройство взаимодействовало с устройствами операционной технологии (OT), подключенными к корпоративной сети через интеграцию обнаружения устройств Microsoft Defender для Интернета вещей и Microsoft Defender для конечной точки. Чтобы отфильтровать эти инциденты, выберите Любой в разделе Службы или источники обнаружения, а затем выберите Microsoft Defender для Интернета вещей в названии продукта или ознакомьтесь с разделом Исследование инцидентов и оповещений в Microsoft Defender для Интернета вещей на портале Defender. Вы также можете использовать группы устройств для фильтрации оповещений, относящихся к сайту. Дополнительные сведения о предварительных требованиях к Defender для Интернета вещей см. в статье Начало работы с корпоративным мониторингом Интернета вещей в Microsoft Defender XDR.

    Сохранение настраиваемых фильтров в виде URL-адресов

    Настроив полезный фильтр в очереди инцидентов, вы можете добавить в закладку URL-адрес вкладки браузера или сохранить его как ссылку на веб-странице, в документе Word или в выбранном месте. Закладки предоставляют доступ одним щелчком к ключевым представлениям очереди инцидентов, например:

    • Новые инциденты
    • Инциденты с высоким уровнем серьезности
    • Неназначенные инциденты
    • Инциденты с высоким уровнем серьезности, неназначенные
    • Назначенные мне инциденты
    • Инциденты, назначенные мне и для Microsoft Defender для конечной точки
    • Инциденты с определенным тегом или тегами
    • Инциденты с определенной категорией угроз
    • Инциденты с определенной связанной угрозой
    • Инциденты с определенным субъектом

    После компиляции и сохранения списка полезных представлений фильтров в виде URL-адресов используйте его для быстрой обработки и определения приоритетов инцидентов в очереди и управления ими для последующего назначения и анализа.

    В поле Поиск имени или идентификатора над списком инцидентов можно найти инциденты несколькими способами, чтобы быстро найти то, что вы ищете.

    Поиск по имени инцидента или идентификатору

    Выполните поиск инцидента напрямую, введя идентификатор инцидента или имя инцидента. При выборе инцидента из списка результатов поиска на портале Microsoft Defender открывается новая вкладка со свойствами инцидента, с которой можно начать расследование.

    Поиск по затронутым ресурсам

    Вы можете присвоить ресурсу имя пользователя, устройства, почтового ящика, имени приложения или облачного ресурса, и найти все инциденты, связанные с этим ресурсом.

    Указание диапазона времени

    Список инцидентов по умолчанию — для инцидентов, произошедших за последние шесть месяцев. Новый диапазон времени можно указать в раскрывающемся списке рядом со значком календаря, выбрав:

    • Один день
    • Три дня
    • Одна неделя
    • 30 дней
    • 30 дней
    • Шесть месяцев
    • Настраиваемый диапазон, в котором можно указать как даты, так и время.

    Дальнейшие действия

    Определив, какой инцидент требует наивысшего приоритета, выберите его и:

    • Управление свойствами инцидента для тегов, назначений, немедленного разрешения ложноположительных инцидентов и комментариев.
    • Начните расследование.

    См. также

    Совет

    Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.