Управление инцидентами в Microsoft Defender

  • Статья

Область применения:

  • Microsoft Defender XDR
  • Microsoft Defender платформу единого центра управления безопасностью (SOC)

Управление инцидентами имеет решающее значение для обеспечения имен, назначений и тегов инцидентов, чтобы оптимизировать время в рабочем процессе инцидентов и быстрее содержать и устранять угрозы.

Совет

В течение ограниченного времени в январе 2024 г. при посещении страницы Инциденты отображается Boxed Defender. Defender Boxed освещает успехи, улучшения и действия по реагированию вашей организации в области безопасности в 2023 году. Чтобы снова открыть Defender Boxed, на портале Microsoft Defender перейдите в раздел Инциденты, а затем выберите Ваш защитник в коробке.

Управлять инцидентами можно из раздела Инциденты & оповещений Инциденты > при быстром запуске портала Microsoft Defender (security.microsoft.com). Ниже приведен пример.

Выделение параметра управления инцидентами в очереди инцидентов и панели быстрого запуска на портале Microsoft Defender

Ниже приведены способы управления инцидентами.

Вы можете управлять инцидентами из области Управление инцидентом. Ниже приведен пример.

Панель

Эту панель можно отобразить по ссылке Управление инцидентом на:

  • Страница истории оповещений.
  • Область свойств инцидента в очереди инцидентов.
  • Страница сводки инцидента.
  • Параметр "Управление инцидентом", расположенный в правом верхнем углу страницы "Инцидент".

В случаях, когда требуется переместить оповещения из одного инцидента в другой, это также можно сделать на вкладке Оповещения , создавая тем самым больший или меньший инцидент, включающий все соответствующие оповещения.

Изменение имени инцидента

Microsoft Defender автоматически назначает имя на основе атрибутов оповещений, таких как количество затронутых конечных точек, затронутых пользователей, источников обнаружения или категорий. Имя инцидента позволяет быстро понять область инцидента. Например: многоэтапный инцидент на нескольких конечных точках, сообщаемых несколькими источниками.

Имя инцидента можно изменить в поле Имя инцидента на панели Управление инцидентом .

Примечание.

Инциденты, существовавшие до развертывания функции автоматического именования инцидентов, будут сохранять свое имя.

Назначение или изменение серьезности инцидента

Вы можете назначить или изменить серьезность инцидента из поля Серьезность на панели Управление инцидентом . Серьезность инцидента определяется самой серьезностью связанных с ним оповещений. Серьезность инцидента может быть установлена на высокий, средний, низкий или информационный.

Добавление тегов инцидента

К инциденту можно добавить пользовательские теги, например, чтобы пометить группу инцидентов с общей характеристикой. Впоследствии из очереди инцидентов можно будет выделить все инциденты, которые содержат определенный тег.

После ввода появится параметр для выбора из списка ранее использовавшихся и выбранных тегов.

Назначение инцидента

Можно выбрать поле Назначить и указать учетную запись пользователя для назначения инцидента. Чтобы переназначить инцидент, удалите текущую учетную запись назначения, щелкнув "x" рядом с именем учетной записи, а затем установите флажок Назначить . При назначении владения инцидентом все связанные с ним оповещения назначаются одинаковые права владения.

Список назначенных вам инцидентов можно получить, отфильтровав очередь инцидентов.

  1. В очереди инцидентов выберите Фильтры.
  2. В разделе Назначение инцидента снимите флажок Выбрать все. Выберите Назначено мне, Назначено другому пользователю или Назначено группе пользователей.
  3. Нажмите кнопку Применить, а затем закройте панель Фильтры .

Затем вы можете сохранить полученный URL-адрес в браузере в качестве закладки, чтобы быстро просмотреть список назначенных вам инцидентов.

Разрешение инцидента

Выберите Разрешить инцидент , чтобы переместить переключатель вправо при исправлении инцидента. При разрешении инцидента также разрешаются все связанные и активные оповещения, связанные с инцидентом.

Инцидент, который не разрешен, отображается как активный.

Указание классификации

В поле Классификация укажите, является ли инцидент следующим:

  • Не задано (значение по умолчанию).
  • Истинно положительный результат с типом угрозы. Используйте эту классификацию для инцидентов, которые точно указывают на реальную угрозу. Указание типа угрозы помогает команде безопасности обнаруживать шаблоны угроз и защищать организацию от них.
  • Информационное ожидаемое действие с типом действия. Используйте параметры в этой категории, чтобы классифицировать инциденты для тестов безопасности, действий красной команды и ожидаемого необычного поведения от доверенных приложений и пользователей.
  • Ложноположительный результат для типов инцидентов, которые, по определению, можно игнорировать, так как они технически неточные или вводят в заблуждение.

Классификация инцидентов и указание их состояния и типа помогает настроить Microsoft Defender XDR, чтобы обеспечить более точное определение обнаружения с течением времени.

Добавление примечаний

В поле Комментарий можно добавить несколько комментариев к инциденту. Поле комментария поддерживает текст и форматирование, ссылки и изображения. Каждый комментарий ограничен 30 000 символами.

Все комментарии добавляются к историческим событиям инцидента. Примечания и журнал инцидента можно просмотреть по ссылке Примечания и журнал на странице Сводка .

Журнал действий

В журнале действий отображается список всех комментариев и действий, выполненных в инциденте, известных как аудиты и комментарии. Все изменения, внесенные в инцидент, будь то пользователь или система, записываются в журнал действий. Журнал действий доступен в параметре Журнал действий на странице инцидента или на боковой панели инцидента.

Выделение параметра журнала действий на странице инцидента на портале Microsoft Defender

Действия в журнале можно фильтровать по комментариям и действиям. Щелкните Содержимое: Аудиты, Примечания, а затем выберите тип контента для фильтрации действий. Ниже приведен пример.

Выделение параметров фильтра в области журнала действий на странице инцидента на портале Microsoft Defender

Вы также можете добавить собственные примечания с помощью поля примечания, доступного в журнале действий. Поле примечания принимает текст и форматирование, ссылки и изображения.

Выделение поля комментария на странице инцидента на портале Microsoft Defender

Экспорт данных об инцидентах в PDF-файл

Важно!

Некоторые сведения в этой статье относятся к предварительно выпущенному продукту, который может быть существенно изменен перед выпуском. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.

Функция экспорта данных об инцидентах в настоящее время доступна для Microsoft Defender XDR и Microsoft Defender клиентов платформы единого центра управления безопасностью (SOC) с лицензией Microsoft Copilot для безопасности.

Данные инцидента можно экспортировать в PDF с помощью функции Экспорт инцидента в формате PDF и сохранить их в формате PDF. Эта функция позволяет группам безопасности просматривать сведения об инциденте в автономном режиме в любой момент времени.

Экспортированные данные об инцидентах содержат следующие сведения:

Ниже приведен пример экспортированного PDF-файла:

Снимок экрана: первая страница экспортированного PDF-файла.

Если у вас есть лицензия на Copilot для безопасности, экспортируемый PDF-файл содержит следующие дополнительные данные об инцидентах:

Функция экспорта в PDF также доступна на боковой панели Copilot созданного отчета об инцидентах.

Снимок экрана: дополнительные действия в результатах отчета об инциденте карта.

Чтобы создать PDF-файл, выполните следующие действия.

  1. Откройте страницу инцидента. Щелкните многоточие других действий (...) в правом верхнем углу и выберите Экспорт инцидента в формате PDF. Функция становится неактивной при создании PDF-файла.

    Снимок экрана с выделенным параметром экспорта в PDF-файл.

  2. Появится диалоговое окно, указывающее, что создается PDF-файл. Выберите Получить, чтобы закрыть диалоговое окно. Кроме того, под заголовком инцидента отображается сообщение о состоянии, указывающее текущее состояние загрузки. Процесс экспорта может занять несколько минут в зависимости от сложности инцидента и объема экспортируемых данных.

    Снимок экрана: выделенное сообщение об экспорте и состояние перед загрузкой.

  3. Когда PDF-файл будет готов, появится сообщение о состоянии, указывающее, что PDF-файл готов, и появится другое диалоговое окно. Выберите Скачать в диалоговом окне, чтобы сохранить PDF-файл на устройстве.

    Снимок экрана: выделенное сообщение об экспорте и состояние при доступной загрузке.

Отчет кэшируется в течение нескольких минут. Система предоставляет ранее созданный PDF-файл, если вы попытаетесь экспортировать тот же инцидент еще раз в течение короткого промежутка времени. Чтобы создать более новую версию PDF-файла, подождите несколько минут, пока срок действия кэша не истечет.

Дальнейшие действия

Для новых инцидентов начните расследование.

Для внутрипроцессных инцидентов продолжайте расследование.

Для разрешенных инцидентов выполните проверку после инцидента.

См. также

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.