Поделиться через


Управление инцидентами Microsoft Defender для конечной точки

Область применения:

Хотите попробовать Microsoft Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Управление инцидентами является важной частью каждой операции кибербезопасности. Вы можете управлять инцидентами, выбрав инцидент в очереди Инциденты или в области Управление инцидентами.

Совет

В течение ограниченного времени в январе 2024 г. при посещении страницы Инциденты отображается Boxed Defender. Defender Boxed освещает успехи, улучшения и действия по реагированию вашей организации в области безопасности в 2023 году. Чтобы снова открыть Defender Boxed, на портале Microsoft Defender перейдите в раздел Инциденты, а затем выберите Ваш защитник в коробке.

При выборе инцидента в очереди Инциденты откроется панель Управление инцидентами , где можно открыть страницу инцидента для получения дополнительных сведений.

Область управления инцидентами

Вы можете назначать инциденты себе, изменять состояние и классификацию, переименовывать или комментировать их, чтобы отслеживать ход их выполнения.

Совет

Чтобы быстро получить дополнительную видимость, имена инцидентов автоматически создаются на основе атрибутов оповещений, таких как количество затронутых конечных точек, затронутых пользователей, источники обнаружения или категории. Это позволяет вам быстро понять область инцидента.

Например: многоэтапный инцидент на нескольких конечных точках, сообщаемых несколькими источниками.

Инциденты, существовавшие до развертывания автоматического именования инцидентов, будут сохранять свои имена.

Страница сведений об инциденте

Назначение инцидентов

Если инцидент еще не назначен, можно выбрать Назначить мне , чтобы назначить инцидент себе. При этом передается не только владение инцидентом, но и все связанные с ним оповещения.

Установка статуса и классификации

Статус инцидента

Инциденты можно распределять по категориям (например, Активно или Устранено), изменяя его статус в ходе расследования. Это помогает организовать обработку инцидентов вашей группой и управлять ею.

Например, аналитик SOC может просмотреть срочные активные инциденты за день и решить назначить их себе для расследования.

Или же аналитик SOC может дать инциденту статус Устранено, если он был ликвидирован.

Классификация

Можно не задавать классификацию, а также указать, будет ли инцидент истинным или ложным. Это поможет заметить закономерности в инцидентах и изучить их.

Добавление примечаний

К инциденту можно добавить комментарии, а также просмотреть историю связанных с ним событий, чтобы узнать об изменениях, ранее внесенных в него.

Каждое изменение или комментарий к оповещению записывается в раздел комментариев и журнал.

Добавленные комментарии сразу же появляются в соответствующей области.

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.