Поделиться через


Просмотр и упорядочивание очереди инцидентов Microsoft Defender для конечной точки

Область применения:

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Совет

В течение ограниченного времени в январе 2024 г. при посещении страницы Инциденты отображается Boxed Defender. Defender Boxed освещает успехи, улучшения и действия по реагированию вашей организации в области безопасности в 2023 году. Чтобы снова открыть Defender Boxed, на портале Microsoft Defender перейдите в раздел Инциденты, а затем выберите Ваш защитник в коробке.

В очереди Инциденты отображается коллекция инцидентов, которые были помечены с устройств в сети. Это помогает сортировать инциденты для определения приоритетности и создания обоснованного ответного решения информационной безопасности.

По умолчанию в очереди отображаются инциденты, наблюдаемые за последние 6 месяцев, с самым последним инцидентом в верхней части списка, что помогает сначала увидеть последние инциденты.

Существует несколько вариантов настройки представления очереди инцидентов.

В верхней области навигации можно:

  • Настройка столбцов для добавления или удаления столбцов
  • Изменение количества элементов для просмотра на странице
  • Выбор элементов для отображения на странице
  • Пакетный выбор инцидентов для назначения
  • Переход между страницами
  • Применение фильтров
  • Настройка и применение диапазонов дат

Очередь инцидентов

Сортировка и фильтрация очереди инцидентов

Вы можете применить следующие фильтры, чтобы ограничить список инцидентов и получить более подробное представление.

Severity

Серьезность инцидента Описание
Высокий
(красный)
Угрозы часто связаны с расширенными постоянными угрозами (APT). Эти инциденты указывают на высокий риск из-за серьезности ущерба, который они могут нанести устройствам.
Средний
(оранжевый)
Угрозы, редко наблюдаемые в организации, такие как аномальное изменение реестра, выполнение подозрительных файлов и наблюдаемое поведение, типичное для этапов атаки.
Низкий
(желтый)
Угрозы, связанные с распространенными вредоносными программами и инструментами взлома, которые не обязательно указывают на расширенную угрозу, направленную на организацию.
Информационный
(серый)
Информационные инциденты не могут считаться вредными для сети, но могут быть полезны для отслеживания.

Кому назначено

Вы можете отфильтровать список, выбрав по назначению кому-либо или выбрав те, которые назначены вам.

Категория

Инциденты классифицируются на основе описания этапа, на котором находится цепочка уничтожения кибербезопасности. Это представление помогает аналитику угроз определить приоритет, срочность и соответствующую стратегию реагирования для развертывания на основе контекста.

Состояние

Чтобы узнать, какие из них активны или решены, вы можете ограничить список инцидентов, отображаемых на основе их состояний.

Конфиденциальность данных

Используйте этот фильтр для отображения инцидентов, содержащих метки конфиденциальности.

Именование инцидентов

Чтобы быстро понять область инцидента, имена инцидентов автоматически создаются на основе атрибутов оповещений, таких как количество затронутых конечных точек, затронутых пользователей, источники обнаружения или категории.

Например: многоэтапный инцидент на нескольких конечных точках, сообщаемых несколькими источниками.

Примечание.

Инциденты, существовавшие до развертывания автоматического именования инцидентов, будут сохранять свое имя.

См. также

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.