Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Портал Microsoft Defender применяет корреляционный анализ и объединяет связанные оповещения и автоматические исследования из различных продуктов в инцидент. Microsoft Sentinel и Defender XDR также активировать уникальные оповещения о действиях, которые можно определить как вредоносные, учитывая сквозную видимость на единой платформе во всем наборе продуктов. Это представление дает аналитикам безопасности более широкую историю атак, которая помогает им лучше понять и справиться со сложными угрозами в вашей организации.
Важно!
Microsoft Sentinel общедоступна на портале Microsoft Defender с Microsoft Defender XDR или лицензией E5 или без нее. Дополнительные сведения см. в разделе Microsoft Sentinel на портале Microsoft Defender.
Очередь инцидентов
В очереди инцидентов отображается очередь инцидентов, созданных на разных устройствах, пользователях, почтовых ящиках и других ресурсах. Она помогает рассматривать инциденты, определять приоритеты и создавать информированное решение по реагированию на кибербезопасность.
Найдите очередь инцидентов в разделе Инциденты & оповещений Инциденты > при быстром запуске портала Microsoft Defender.
Выберите Самые последние инциденты и оповещения, чтобы переключить временная шкала диаграмму количества полученных оповещений и инцидентов, созданных за последние 24 часа.
Очередь инцидентов включает помощник по очереди Защитника, который помогает группам безопасности сократить большое количество инцидентов и сосредоточиться на наиболее важных инцидентах. С помощью алгоритма определения приоритетов машинного обучения помощник по очередям отображает инциденты с наивысшим приоритетом, объясняет причину приоритизации и предоставляет интуитивно понятные инструменты для сортировки и фильтрации очереди инцидентов. Алгоритм выполняется для всех оповещений, собственных оповещений Майкрософт, пользовательских обнаружений или сигналов сторонних производителей. Алгоритм обучается на основе реальных анонимных данных и учитывает, среди прочего, следующие точки данных при вычислении оценки приоритета:
- Сигналы нарушения атаки
- Аналитика угроз
- Severity
- Snr
- Методы MITRE
- Критичность активов
- Типы оповещений и редкость
- Громкие угрозы, такие как программы-шантажисты и атаки на национальные государства.
Инцидентам автоматически назначается оценка приоритета от 0 до 100, при этом 100 является наивысшим приоритетом. Диапазоны оценки имеют цветовую кодировку следующим образом:
- Красный: верхний приоритет (оценка > 85)
- Оранжевый: средний приоритет (15–85)
- Серый: низкий приоритет (<15)
Выберите строку инцидента в любом месте, кроме имени инцидента, чтобы отобразить панель сводки с ключевыми сведениями об инциденте. Область включает оценку приоритета, факторы, влияющие на оценку приоритета, сведения об инциденте, рекомендуемые действия и связанные угрозы. Используйте стрелки вверх и вниз в верхней части панели, чтобы перейти к предыдущему или следующему инциденту в очереди инцидентов. Дополнительные сведения о расследовании инцидента см. в разделе Расследование инцидентов.
По умолчанию в очереди инцидентов отображаются инциденты, созданные за последнюю неделю. Выберите другой интервал времени, выбрав раскрывающийся список селектора времени над очередью.
Общее количество инцидентов в очереди отображается рядом с селектором времени. Количество инцидентов зависит от используемых фильтров. Вы можете искать инциденты по имени или идентификатору инцидента.
Выберите Настроить столбцы , чтобы выбрать столбцы, отображаемые в очереди. Установите или снимите флажок столбцов, которые нужно просмотреть в очереди инцидентов. Упорядочить столбцы, перетащив их вверх и вниз.
Кнопка Экспорт позволяет экспортировать отфильтрованные данные в очереди инцидентов в CSV-файл. Максимальное количество записей, которые можно экспортировать в CSV-файл, — 10 000.
Имена инцидентов
Для наглядности Microsoft Defender XDR автоматически создает имена инцидентов на основе атрибутов оповещений, таких как количество затронутых конечных точек, затронутых пользователей, источников обнаружения или категорий. Это конкретное именование позволяет быстро понять область инцидента.
Например: многоэтапный инцидент на нескольких конечных точках, сообщаемых несколькими источниками.
Если вы подключены Microsoft Sentinel на портал Defender, то все оповещения и инциденты, поступающие от Microsoft Sentinel, скорее всего, будут изменены (независимо от того, были ли они созданы до или после подключения).
Рекомендуется избегать использования имени инцидента в качестве условия для запуска правил автоматизации. Если имя инцидента является условием, а имя инцидента изменяется, правило не будет активировано.
Фильтры
Очередь инцидентов также предоставляет несколько параметров фильтрации, которые при применении позволяют выполнить широкую очистку всех существующих инцидентов в вашей среде или решить сосредоточиться на определенном сценарии или угрозе. Применение фильтров в очереди инцидентов помогает определить, какие инциденты требуют немедленного внимания.
В списке Фильтры над очередью инцидентов отображаются текущие фильтры, применяемые в настоящее время к очереди. Выберите Добавить фильтр , чтобы применить дополнительные фильтры для ограничения набора отображаемых инцидентов.
Выберите фильтры, которые вы хотите использовать, а затем нажмите кнопку Добавить. Выбранные фильтры отображаются вместе с существующими примененными фильтрами. Выберите новый фильтр, чтобы указать его условия. Например, если выбран фильтр "Источники службы и обнаружения", выберите его, чтобы выбрать источники для фильтрации списка.
Вы можете удалить фильтр, выбрав X в имени фильтра в списке фильтров.
В следующей таблице перечислены доступные фильтры.
| Имя фильтра | Описание и условия |
|---|---|
| Состояние | Выберите Создать, Выполняется или Устранено. |
|
Серьезность оповещений Серьезность инцидента |
Серьезность оповещения или инцидента указывает на влияние, которое они могут оказать на ваши ресурсы. Чем выше серьезность, тем больше воздействие и, как правило, требует самого непосредственного внимания. Выберите Высокий, Средний, Низкий или Информационный. |
| Назначение инцидента | Выберите назначенного пользователя или пользователей. |
| Несколько служебных источников | Укажите, относится ли фильтр к нескольким источникам служб. |
| Источники службы и обнаружения | Укажите инциденты, содержащие оповещения из одного или нескольких из следующих: Многие из этих служб можно развернуть в меню, чтобы отобразить дальнейший выбор источников обнаружения в данной службе. |
| Tags | Выберите одно или несколько имен тегов в списке. |
| Несколько категорий | Укажите, относится ли фильтр к нескольким категориям. |
| Categories | Выберите категории, чтобы сосредоточиться на конкретных тактиках, методах или компонентах атак. |
| Entities | Укажите имя ресурса, например пользователя, устройства, почтового ящика или имени приложения. |
| Метка конфиденциальности | Фильтрация инцидентов на основе метки конфиденциальности, примененной к данным. Некоторые атаки направлены на извлечение конфиденциальных или ценных данных. Применяя фильтр для определенных меток конфиденциальности, вы можете быстро определить, является ли конфиденциальная информация потенциально скомпрометированной, и приоритизировать решение этих инцидентов. |
| Группы устройств | Укажите имя группы устройств . |
| Платформа ОС | Укажите операционные системы устройства. |
| Классификация | Укажите набор классификаций связанных оповещений. |
| Состояние автоматического расследования | Укажите состояние автоматического исследования. |
| Связанная угроза | Укажите именованную угрозу. |
| Политика или правило политики | Фильтрация инцидентов на основе политики или правила политики. |
| Названия продуктов | Фильтрация инцидентов по названию продукта. |
| Поток данных | Фильтрация инцидентов по расположению или рабочей нагрузке. |
Примечание.
Если у вас есть доступ к Управление внутренними рисками Microsoft Purview, вы можете просматривать оповещения об управлении внутренними рисками и управлять ими, а также искать события управления внутренними рисками на портале Microsoft Defender. Дополнительные сведения см. в статье Исследование угроз внутренних рисков на портале Microsoft Defender.
Фильтр по умолчанию — отображение всех оповещений и инцидентов с состоянием "Новый" и "Выполняется " и с уровнем серьезности "Высокий", "Средний" или "Низкий".
Вы также можете создать наборы фильтров на странице инцидентов, выбрав Сохраненные запросы > фильтра Создать набор фильтров. Если наборы фильтров не созданы, нажмите кнопку Сохранить , чтобы создать их.
Примечание.
Microsoft Defender XDR клиенты теперь могут фильтровать инциденты с помощью оповещений, когда скомпрометированное устройство взаимодействует с устройствами операционной технологии (OT), подключенными к корпоративной сети посредством интеграции обнаружения устройств Microsoft Defender для Интернета вещей и Microsoft Defender для конечной точки. Чтобы отфильтровать эти инциденты, выберите Любой в источниках службы или обнаружения, а затем выберите Microsoft Defender для Интернета вещей в названии продукта или см. статью Исследование инцидентов и оповещений в Microsoft Defender для Интернета вещей на портале Defender. Вы также можете использовать группы устройств для фильтрации оповещений, относящихся к сайту. Дополнительные сведения о предварительных требованиях к Defender для Интернета вещей см. в статье Начало работы с корпоративным мониторингом Интернета вещей в Microsoft Defender XDR.
Сохранение настраиваемых фильтров в виде URL-адресов
Настроив полезный фильтр в очереди инцидентов, вы можете добавить в закладку URL-адрес вкладки браузера или сохранить его как ссылку на веб-странице, Word документе или в выбранном месте. Закладки предоставляют доступ одним щелчком к ключевым представлениям очереди инцидентов, например:
- Новые инциденты
- Инциденты с высоким уровнем серьезности
- Неназначенные инциденты
- Инциденты с высоким уровнем серьезности, неназначенные
- Назначенные мне инциденты
- Инциденты, назначенные мне и для Microsoft Defender для конечной точки
- Инциденты с определенным тегом или тегами
- Инциденты с определенной категорией угроз
- Инциденты с определенной связанной угрозой
- Инциденты с определенным субъектом
После компиляции и сохранения списка полезных представлений фильтров в виде URL-адресов используйте его для быстрой обработки и определения приоритетов инцидентов в очереди и управления ими для последующего назначения и анализа.
Поиск
В поле Поиск имени или идентификатора над списком инцидентов можно найти инциденты несколькими способами, чтобы быстро найти то, что вы ищете.
Поиск по имени инцидента или идентификатору
Выполните поиск инцидента напрямую, введя идентификатор инцидента или имя инцидента. При выборе инцидента из списка результатов поиска на портале Microsoft Defender откроется новая вкладка со свойствами инцидента, с которой можно начать расследование.
Поиск по затронутым ресурсам
Вы можете присвоить ресурсу имя пользователя, устройства, почтового ящика, имени приложения или облачного ресурса, и найти все инциденты, связанные с этим ресурсом.
Указание диапазона времени
Список инцидентов по умолчанию — для инцидентов, произошедших за последние шесть месяцев. Новый диапазон времени можно указать в раскрывающемся списке рядом со значком календаря, выбрав:
- Один день
- Три дня
- Одна неделя
- 30 дней
- 30 дней
- Шесть месяцев
- Настраиваемый диапазон, в котором можно указать как даты, так и время.
Дальнейшие действия
Определив, какой инцидент требует наивысшего приоритета, выберите его и:
- Управление свойствами инцидента для тегов, назначений, немедленного разрешения ложноположительных инцидентов и комментариев.
- Начните расследование.
Defender Boxed
В течение ограниченного времени в январе и июле каждого года при первом открытии очереди инцидентов автоматически отображается Приложение Defender Boxed . В Defender Boxed подчеркивается успех организации в области безопасности, улучшения и действия по реагированию за предыдущие шесть месяцев или календарный год.
Примечание.
Defender Boxed доступен только пользователям, которые выполняли соответствующие действия на портале Microsoft Defender.
В ряде карточек, отображаемых в Boxed в Defender, можно выполнить следующие действия:
Скачайте подробную сводку о достижениях, которыми можно делиться с другими сотрудниками вашей организации.
Измените частоту появления Boxed в Защитнике. Вы можете выбрать один раз (каждый январь) или два раза (каждый январь и июль) в год.
Поделитесь своими достижениями в социальных сетях, электронной почте и других форумах, сохранив слайд в виде изображения.
Чтобы снова открыть Defender Boxed, перейдите в очередь Инциденты, а затем выберите Ваш защитник в коробке в правой части панели.
См. также
Совет
Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.