Просмотр инцидентов и управление ими в Microsoft Defender для бизнеса
По мере обнаружения угроз инициируются оповещения и создаются инциденты. Команда безопасности вашей компании может просматривать инциденты и управлять ими на портале Microsoft Defender. Для выполнения задач, описанных в этой статье, вам должны быть назначены соответствующие разрешения. См. статью Роли безопасности и разрешения в Microsoft Defender для бизнеса.
Эта статья включает в себя следующее:
Мониторинг инцидентов & оповещений
На портале Microsoft Defender (https://security.microsoft.com) в области навигации перейдите в раздел Инциденты & оповещения, а затем выберите Инциденты. Все созданные инциденты перечислены на странице.
Важно!
Если вы видите инцидент с
Attack disruption
тегом , это означает, что обнаружена расширенная атака. См . статью Автоматическое прерывание атаки.Выберите оповещение, чтобы открыть его всплывающую панель с дополнительными сведениями.
Во всплывающей области можно просмотреть заголовок оповещения, просмотреть список затронутых ресурсов (например, устройств или учетных записей пользователей), выполнить доступные действия, а также использовать ссылки для просмотра дополнительных сведений и даже открыть страницу сведений о выбранном оповещении.
Совет
Defender для бизнеса предназначен для устранения обнаруженных угроз, рекомендуя действия, которые можно предпринять. При просмотре оповещения найдите эти предложения. Также обратите внимание на серьезность оповещений, которая определяется не только на основе серьезности обнаруженных угроз, но и на уровне риска для вашей компании.
Серьезность оповещений
При обнаружении угрозы каждому создаваемому оповещению назначается уровень серьезности.
- Microsoft Defender Антивирусная программа назначает уровень серьезности оповещений на основе абсолютной серьезности обнаруженной угрозы (например, вредоносных программ) и потенциального риска для отдельного устройства (в случае заражения).
- Defender для бизнеса назначает серьезность оповещений на основе серьезности обнаруженного поведения, фактического риска для устройства и, что более важно, потенциального риска для вашей компании.
В следующей таблице приведено несколько примеров оповещений и их уровней серьезности.
Сценарий | Серьезность и причина оповещений |
---|---|
Автоматическое прерывание атаки обнаруживает расширенную атаку и содержит устройства или учетные записи пользователей, чтобы предотвратить атаку. | Высокая. Возможности нарушения атак помогают сдержать атаку, чтобы ваша ИТ-отдел или команда безопасности могла устранить ее. |
Microsoft Defender антивирусная программа обнаруживает и останавливает угрозу, прежде чем она нанесет какой-либо ущерб. | Информационный. Угроза была остановлена до того, как был нанесен какой-либо ущерб. |
Microsoft Defender антивирусная программа обнаруживает вредоносные программы, выполняемые в вашей компании. Вредоносная программа останавливается и устраняется. | Низкая. Хотя некоторые повреждения, возможно, были нанесены отдельному устройству, вредоносная программа теперь не представляет угрозы для вашей компании. |
Выполняемая вредоносная программа обнаруживается Defender для бизнеса. Вредоносная программа блокируется почти сразу. | Средний или высокий. Вредоносная программа представляет угрозу для отдельных устройств и вашей компании. |
Подозрительное поведение обнаруживается, но действия по исправлению пока не выполняются. | Низкий, Средний или Высокий. Серьезность зависит от степени, в которой поведение представляет угрозу для вашей компании. |