Определение приоритетов инцидентов на портале Microsoft Defender
Единая платформа операций безопасности на портале Microsoft Defender применяет корреляционный анализ и агрегирует связанные оповещения, а также автоматические исследования из разных продуктов в инциденте. Microsoft Sentinel и Defender XDR также активировать уникальные оповещения о действиях, которые можно определить как вредоносные, учитывая сквозную видимость на единой платформе во всем наборе продуктов. Это представление дает аналитикам безопасности более широкую историю атак, которая помогает им лучше понять и справиться со сложными угрозами в вашей организации.
Важно!
Microsoft Sentinel общедоступна на единой платформе операций безопасности Майкрософт на портале Microsoft Defender. В предварительной версии Microsoft Sentinel доступны на портале Defender без Microsoft Defender XDR или лицензии E5. Дополнительные сведения см. в разделе Microsoft Sentinel на портале Microsoft Defender.
В очереди инцидентов отображается коллекция инцидентов, созданных на разных устройствах, пользователях, почтовых ящиках и других ресурсах. Он помогает сортировать инциденты, чтобы определить приоритеты и создать информированное решение по реагированию на кибербезопасность, процесс, известный как рассмотрение инцидентов.
Вы можете открыть очередь инцидентов из раздела Инциденты & оповещений > Об инцидентах при быстром запуске портала Microsoft Defender. Ниже приведен пример.
Выберите Самые последние инциденты и оповещения, чтобы переключить расширение верхнего раздела, на котором отображается временная шкала график количества полученных оповещений и инцидентов, созданных за последние 24 часа.
Ниже в очереди инцидентов на портале Microsoft Defender отображаются инциденты, наблюдаемые за последние шесть месяцев. Вы можете выбрать другой интервал времени, выбрав его в раскрывающемся списке в верхней части. Инциденты упорядочивается в соответствии с последними автоматическими или вручную обновлениями, сделанными для инцидента. Вы можете упорядочить инциденты по столбцу времени последнего обновления , чтобы просмотреть инциденты в соответствии с последними автоматическими или вручную выполненными обновлениями.
Очередь инцидентов содержит настраиваемые столбцы, которые позволяют просматривать различные характеристики инцидента или затронутых сущностей. Эта фильтрация помогает принять взвешенное решение в отношении определения приоритетов инцидентов для анализа. Выберите Настроить столбцы , чтобы выполнить следующие настройки в зависимости от предпочитаемого представления:
- Установите или снимите флажок столбцов, которые нужно просмотреть в очереди инцидентов.
- Упорядочить столбцы, перетащив их.
Для наглядности Microsoft Defender XDR автоматически создает имена инцидентов на основе атрибутов оповещений, таких как количество затронутых конечных точек, затронутых пользователей, источников обнаружения или категорий. Это конкретное именование позволяет быстро понять область инцидента.
Например: многоэтапный инцидент на нескольких конечных точках, сообщаемых несколькими источниками.
Если вы подключены Microsoft Sentinel к единой платформе операций безопасности, то для всех оповещений и инцидентов, поступающих от Microsoft Sentinel, скорее всего, будут изменены имена (независимо от того, были ли они созданы до или после подключения).
Рекомендуется избегать использования имени инцидента в качестве условия для запуска правил автоматизации. Если имя инцидента является условием, а имя инцидента изменяется, правило не будет активировано.
Очередь инцидентов также предоставляет несколько параметров фильтрации, которые при применении позволяют выполнить широкую очистку всех существующих инцидентов в вашей среде или решить сосредоточиться на определенном сценарии или угрозе. Применение фильтров в очереди инцидентов помогает определить, какие инциденты требуют немедленного внимания.
В списке Фильтры над списком инцидентов отображаются примененные в настоящее время фильтры.
В очереди инцидентов по умолчанию можно выбрать Добавить фильтр , чтобы просмотреть раскрывающийся список Добавить фильтр , из которого вы указываете фильтры для применения к очереди инцидентов, чтобы ограничить набор показанных инцидентов. Ниже приведен пример.
Выберите фильтры, которые вы хотите использовать, а затем нажмите кнопку Добавить в нижней части списка, чтобы сделать их доступными.
Теперь выбранные фильтры отображаются вместе с существующими примененными фильтрами. Выберите новый фильтр, чтобы указать его условия. Например, если выбран фильтр "Источники службы и обнаружения", выберите его, чтобы выбрать источники для фильтрации списка.
Вы также можете просмотреть область Фильтр , выбрав любой из фильтров в списке Фильтры над списком инцидентов.
В этой таблице перечислены доступные имена фильтров.
Имя фильтра | Описание и условия |
---|---|
Состояние | Выберите Создать, Выполняется или Устранено. |
Серьезность оповещений Серьезность инцидента |
Серьезность оповещения или инцидента указывает на влияние, которое они могут оказать на ваши ресурсы. Чем выше серьезность, тем больше воздействие и, как правило, требует самого непосредственного внимания. Выберите Высокий, Средний, Низкий или Информационный. |
Назначение инцидента | Выберите назначенного пользователя или пользователей. |
Несколько служебных источников | Укажите, относится ли фильтр к нескольким источникам служб. |
Источники службы и обнаружения | Укажите инциденты, содержащие оповещения из одного или нескольких из следующих: Многие из этих служб можно развернуть в меню, чтобы отобразить дальнейший выбор источников обнаружения в данной службе. |
Tags | Выберите одно или несколько имен тегов в списке. |
Несколько категорий | Укажите, относится ли фильтр к нескольким категориям. |
Categories | Выберите категории, чтобы сосредоточиться на конкретных тактиках, методах или компонентах атак. |
Entities | Укажите имя ресурса, например пользователя, устройства, почтового ящика или имени приложения. |
Конфиденциальность данных | Целью некоторых атак является фильтрация конфиденциальных или ценных данных. Применяя фильтр для определенных меток конфиденциальности, вы можете быстро определить, была ли потенциально скомпрометирована конфиденциальная информация, и приоритизировать решение этих инцидентов. Этот фильтр отображает сведения только в том случае, если вы применили метки конфиденциальности из Защита информации Microsoft Purview. |
Группы устройств | Укажите имя группы устройств . |
Платформа ОС | Укажите операционные системы устройства. |
Классификация | Укажите набор классификаций связанных оповещений. |
Состояние автоматического расследования | Укажите состояние автоматического исследования. |
Связанная угроза | Укажите именованную угрозу. |
Политики оповещений | Укажите заголовок политики оповещений. |
Идентификаторы подписок оповещений | Укажите оповещение на основе идентификатора подписки. |
Фильтр по умолчанию — отображение всех оповещений и инцидентов с состоянием "Новый" и "Выполняется " и с уровнем серьезности "Высокий", "Средний" или "Низкий".
Вы можете быстро удалить фильтр, выбрав X в имени фильтра в списке Фильтры .
Вы также можете создать наборы фильтров на странице инцидентов, выбрав Сохраненные запросы > фильтра Создать набор фильтров. Если наборы фильтров не созданы, нажмите кнопку Сохранить , чтобы создать их.
Примечание
Microsoft Defender XDR клиенты теперь могут фильтровать инциденты с помощью оповещений, когда скомпрометированное устройство взаимодействует с устройствами операционной технологии (OT), подключенными к корпоративной сети посредством интеграции обнаружения устройств Microsoft Defender для Интернета вещей и Microsoft Defender для конечной точки. Чтобы отфильтровать эти инциденты, выберите Любой в источниках службы или обнаружения, а затем выберите Microsoft Defender для Интернета вещей в названии продукта или см. статью Исследование инцидентов и оповещений в Microsoft Defender для Интернета вещей на портале Defender. Вы также можете использовать группы устройств для фильтрации оповещений, относящихся к сайту. Дополнительные сведения о предварительных требованиях к Defender для Интернета вещей см. в статье Начало работы с корпоративным мониторингом Интернета вещей в Microsoft Defender XDR.
Настроив полезный фильтр в очереди инцидентов, вы можете добавить в закладку URL-адрес вкладки браузера или сохранить его как ссылку на веб-странице, Word документе или в выбранном месте. Закладки предоставляют доступ одним щелчком к ключевым представлениям очереди инцидентов, например:
- Новые инциденты
- Инциденты с высоким уровнем серьезности
- Неназначенные инциденты
- Инциденты с высоким уровнем серьезности, неназначенные
- Назначенные мне инциденты
- Инциденты, назначенные мне и для Microsoft Defender для конечной точки
- Инциденты с определенным тегом или тегами
- Инциденты с определенной категорией угроз
- Инциденты с определенной связанной угрозой
- Инциденты с определенным субъектом
После компиляции и сохранения списка полезных представлений фильтров в виде URL-адресов используйте его для быстрой обработки и определения приоритетов инцидентов в очереди и управления ими для последующего назначения и анализа.
В поле Поиск имени или идентификатора над списком инцидентов можно найти инциденты несколькими способами, чтобы быстро найти то, что вы ищете.
Выполните поиск инцидента напрямую, введя идентификатор инцидента или имя инцидента. При выборе инцидента из списка результатов поиска на портале Microsoft Defender откроется новая вкладка со свойствами инцидента, с которой можно начать расследование.
Вы можете присвоить ресурсу имя пользователя, устройства, почтового ящика, имени приложения или облачного ресурса, и найти все инциденты, связанные с этим ресурсом.
Список инцидентов по умолчанию — для инцидентов, произошедших за последние шесть месяцев. Новый диапазон времени можно указать в раскрывающемся списке рядом со значком календаря, выбрав:
- Один день
- Три дня
- Одна неделя
- 30 дней
- 30 дней
- Шесть месяцев
- Настраиваемый диапазон, в котором можно указать как даты, так и время.
Определив, какой инцидент требует наивысшего приоритета, выберите его и:
- Управление свойствами инцидента для тегов, назначений, немедленного разрешения ложноположительных инцидентов и комментариев.
- Начните расследование.
Совет
Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.