Прочитать на английском

Поделиться через


Управление инцидентами в Microsoft Defender

Управление инцидентами имеет решающее значение для обеспечения имен, назначений и тегов инцидентов, чтобы оптимизировать время в рабочем процессе инцидентов и быстрее содержать и устранять угрозы.

Управление инцидентами с помощью функции "Анализ инцидентов & реагирования>" & оповещений об инцидентах > при быстром запуске портала Microsoft Defender (security.microsoft.com). Ниже приведен пример.

Снимок экрана: очередь инцидентов и панель быстрого запуска на портале Microsoft Defender.

В этой статье показано, как выполнять различные задачи по управлению инцидентами, связанные с различными этапами жизненного цикла инцидента.

Рассмотрение инцидента:

Исследование и устранение инцидентов:

Ведение журнала инцидентов и создание отчетов:

Доступ к области "Управление инцидентами "

Большинство из этих задач доступны на панели Управление инцидентом для инцидента. Эту область можно открыть из любого из нескольких расположений.

Из очереди инцидентов

  1. Выберите Анализ & реагирования > Инциденты & оповещения Инциденты > при быстром запуске портала Microsoft Defender.

  2. Из очереди инцидентов получите доступ к области Управление инцидентом одним из двух способов:

    • Выберите поле проверка инцидента и выберите Управление инцидентами на панели инструментов над фильтрами. Управляйте несколькими инцидентами одновременно, выбрав несколько проверка полей.

    • Выберите строку инцидента (без выбора имени инцидента), чтобы появилась область сведений об инциденте, и выберите Управление инцидентом в области сведений об инциденте.

      Снимок экрана: управление инцидентами из очереди инцидентов на портале Microsoft Defender.

На странице инцидента

  1. Выберите Анализ & реагирования > Инциденты & оповещения Инциденты > при быстром запуске портала Microsoft Defender.

  2. Выберите имя инцидента из очереди. Или выберите строку инцидента в очереди, а затем выберите Открыть страницу инцидента в области сведений об инциденте.

  3. На странице инцидента выберите Управление инцидентом на верхней панели.

    Если управление инцидентом не отображается, выберите три точки в правом верхнем углу (отображается на следующем снимке экрана рядом с пунктом "Управление инцидентом") и выберите его в появившемся меню.

    Снимок экрана: управление инцидентом со страницы инцидента на портале Microsoft Defender.

Рассмотрение инцидента

Следующие задачи управления тесно связаны с рассмотрением инцидентов, хотя их можно выполнить в любое время.

Назначение инцидента владельцу

По умолчанию новые инциденты создаются без владельца. В идеале команда SecOps должна иметь механизмы и процедуры для автоматического назначения инцидентов владельцам. Может потребоваться переназначить инцидент в случае эскалации или ошибочного первоначального назначения.

Назначение владельца

Чтобы вручную назначить нового владельца инциденту, сделайте следующее:

  1. Следуйте инструкциям в открываемом разделе, чтобы получить доступ к панели "Управление инцидентами".

  2. Установите флажок Назначить . Откроется раскрывающийся список предложенных назначаемых.

  3. Если отображается учетная запись пользователя или группы, которой вы хотите назначить инцидент, выберите ее.

    В противном случае начните вводить имя или идентификатор учетной записи нужного пользователя или группы в текстовом поле в верхней части списка. Список динамически обновляется, отфильтровывая по вводимым значениям. Когда вы увидите нужного пользователя или группу, выберите их.

  4. Чтобы удалить существующее назначение, включая только что добавленное, щелкните X рядом с именем учетной записи. Затем выберите поле Назначить , если вы хотите добавить другое назначение.

    Инциденту может быть назначена только одна учетная запись пользователя или группы.

  5. Выберите Сохранить.

При назначении владения инцидентом все связанные с ним оповещения назначаются одинаковые права владения.

Снимок экрана: назначение владельца на панели Управление инцидентом на портале Microsoft Defender.

Просмотр инцидентов, назначенных конкретному владельцу

Чтобы просмотреть список инцидентов, назначенных конкретному пользователю или группе, отфильтруйте очередь инцидентов:

  1. В очереди инцидентов выберите фильтр Назначение инцидентов . Откроется раскрывающийся список предложенных назначаемых.

    Если в списке фильтров не отображается назначение инцидентов , выберите Добавить фильтр, выберите Назначение инцидента в раскрывающемся списке и нажмите кнопку Добавить.

  2. Если отображается учетная запись пользователя, назначенные инциденты которого вы хотите отобразить, выберите ее.

    В противном случае начните вводить имя или идентификатор учетной записи нужного пользователя или группы в текстовом поле в верхней части списка. Список динамически обновляется, отфильтровывая по вводимым значениям. Когда вы увидите нужного пользователя или группу, выберите их.

    В отличие от инцидентов назначения, здесь можно выбрать более одного назначенного, чтобы отфильтровать список. Чтобы добавить в фильтр другую учетную запись пользователя или группы, выберите текстовое поле (рядом с существующей учетной записью в фильтре), и снова появится список предложенных назначаемых лиц.

  3. Нажмите Применить.

    Снимок экрана: просмотр инцидентов, назначенных владельцу, на странице очереди инцидентов на портале Microsoft Defender.

Чтобы сохранить ссылку на очередь инцидентов с примененными текущими фильтрами, выберите Копировать ссылку списка на панели инструментов на странице очереди инцидентов. Создайте ярлык в избранном или на рабочем столе и вставьте в него ссылку.

Назначение или изменение серьезности инцидента

Серьезность инцидента определяется самой серьезностью связанных с ним оповещений. Серьезность инцидента может быть установлена на высокий, средний, низкий или информационный.

Чтобы вручную назначить или изменить серьезность инцидента, выполните следующие действия.

  1. Следуйте инструкциям в открываемом разделе, чтобы получить доступ к панели "Управление инцидентами".

  2. Выберите значение серьезности, которое нужно применить, в раскрывающемся списке Серьезность на панели Управление инцидентом .

  3. Выберите Сохранить.

Добавление тегов инцидента

Пользовательские теги добавляют сведения, чтобы придать контекст инциденту. Например, тег может помечать группу инцидентов общей характеристикой. Теги — это критерий для фильтрации, поэтому позже вы сможете фильтровать очередь инцидентов по всем инцидентам, содержащим определенный тег. Чтобы применить тег к инциденту, выполните указанные действия.

  1. Следуйте инструкциям в открываемом разделе, чтобы получить доступ к панели "Управление инцидентами".

  2. В поле Теги инцидента начните вводить имя тега, который требуется применить. По мере ввода отображается список ранее использованных и выбранных тегов. Если в списке отображается тег, который нужно применить, выберите его.

    Снимок экрана: создание тега инцидента в области Управление инцидентами.

    Если вы ввели имя тега, которое ранее не использовалось, выберите последнюю запись в списке, которая является текстом, который вы ввели, а затем "(Создать)."

    Снимок экрана: выбор тега для применения к инциденту на панели Управление инцидентами.

    Затем тег отображается в виде метки в поле Теги инцидента. Повторите этот шаг, чтобы добавить дополнительные теги по мере необходимости.

    Снимок экрана: отображение выбранного тега в поле

  3. Выберите Сохранить.

Инцидент может иметь системные теги и (или) пользовательские теги с определенным цветовым фоном. Пользовательские теги используют белый фон, а системные теги обычно используют красный или черный цвет фона. Системные теги определяют следующее в инциденте:

  • Тип атаки, например фишинг учетных данных или мошенничество BEC
  • Автоматические действия, такие как автоматическое исследование и реагирование, а также автоматическое нарушение атак
  • Эксперты Defender , обрабатывая инцидент
  • Критически важные ресурсы , участвующие в инциденте

Совет

Управление рисками Майкрософт, основанные на предопределенных классификациях, автоматически помечают устройства, удостоверения и облачные ресурсы как критически важный ресурс. Эта возможность обеспечивает защиту ценных и наиболее важных ресурсов организации. Это также помогает группам по обеспечению безопасности определять приоритеты для исследования и исправления. Узнайте больше об управлении критически важными ресурсами.

Изменение состояния инцидента

Инциденты начинаются с состояния "Активный". При работе с инцидентом измените состояние на Выполняется.

Исследование и разрешение инцидентов

Следующие задачи управления тесно связаны с исследованием и разрешением инцидентов, хотя их можно выполнять в любое время.

Разрешение инцидента

При исправлении и разрешении инцидента выполните следующие действия, чтобы записать решение.

  1. Следуйте инструкциям в открываемом разделе, чтобы получить доступ к панели "Управление инцидентами".

  2. Измените состояние. Выберите Разрешено в раскрывающемся списке Состояние . При изменении состояния инцидента на Разрешено сразу после поля Состояние отображается новое поле.

  3. Введите в это поле примечание, объясняющее, почему инцидент считается разрешенным. Это примечание отображается в журнале действий инцидента рядом с записью, записывающей разрешение инцидента.

    Снимок экрана: панель управления инцидентами с примечанием о разрешении инцидента.

    Примечание о разрешении также отображается на панели Сведений об инциденте как на странице очереди инцидентов, так и на странице инцидента разрешенного инцидента.

    Снимок экрана: вид заметки о разрешении на панели сведений об инциденте.

  4. Выберите Сохранить.

При разрешении инцидента также разрешаются все связанные и активные оповещения, связанные с инцидентом. Инцидент, который не разрешен, отображается как активный.

Указание классификации инцидента

При разрешении инцидента или на любом этапе расследования инцидента, как только вы узнаете, как следует классифицировать инцидент, задайте соответствующее поле Классификация .

  1. Следуйте инструкциям в открываемом разделе, чтобы получить доступ к панели "Управление инцидентами".

  2. Выберите соответствующее значение в раскрывающемся списке Классификация :

    • Не задано (значение по умолчанию).
    • Истинно положительный результат с типом угрозы. Используйте эту классификацию для инцидентов, которые точно указывают на реальную угрозу. Указание типа угрозы помогает команде безопасности обнаруживать шаблоны угроз и защищать организацию от них.
    • Информационное ожидаемое действие с типом действия. Используйте параметры в этой категории, чтобы классифицировать инциденты для тестов безопасности, действий красной команды и ожидаемого необычного поведения от доверенных приложений и пользователей.
    • Ложноположительный результат для типов инцидентов, которые, по определению, можно игнорировать, так как они технически неточные или вводят в заблуждение.

    См. доступные типы действий и угроз для каждой из этих классификаций на следующем снимке экрана.

  3. Выберите Сохранить.

    Снимок экрана: параметры классификации инцидентов.

Классификация инцидентов и указание их состояния и типа помогает настроить Microsoft Defender, чтобы обеспечить более точное определение обнаружения с течением времени.

Добавление комментариев к инциденту

В ходе расследования и инцидента добавьте комментарии для записи действий, аналитических сведений и выводов.

  1. Откройте журнал действий инцидента. На странице инцидента или на панели сведений об инциденте на странице очереди инцидентов выберите три точки в правом верхнем углу и в открывающемся меню выберите Журнал действий.

    Снимок экрана: доступ к журналу действий инцидента.

  2. Введите комментарий в текстовое поле. Поле комментария поддерживает текст и форматирование, ссылки и изображения. Каждый комментарий ограничен 30 000 символами.

    Снимок экрана: добавление комментария к инциденту.

  3. Выберите Сохранить.

Все комментарии добавляются к историческим событиям инцидента. Примечания и журнал инцидента можно просмотреть по ссылке Примечания и журнал на странице Сводка .

Ведение журнала инцидентов и создание отчетов

Следующие задачи управления могут быть связаны с аудитом и отчетностью по расследованиям инцидентов, хотя они могут выполняться в любое время.

Изменение имени инцидента

Microsoft Defender автоматически назначает имя на основе атрибутов оповещений, таких как количество затронутых конечных точек, затронутых пользователей, источников обнаружения или категорий. Имя инцидента позволяет быстро понять область инцидента. Например: многоэтапный инцидент на нескольких конечных точках, сообщаемых несколькими источниками.

Чтобы изменить имя инцидента, выполните следующие действия.

  1. Следуйте инструкциям в открываемом разделе, чтобы получить доступ к панели "Управление инцидентами".

  2. Введите новое имя в поле Имя инцидента на панели Управление инцидентом .

  3. Выберите Сохранить.

Примечание

  • Инциденты, существовавшие до развертывания функции автоматического именования инцидентов, сохраняют свои имена.

  • Если другой инцидент объединяется в переименованный инцидент, Defender присваивает инциденту новое имя, перезаписав любое пользовательское имя, присвоенное ему заранее.

Просмотр журнала действий инцидента

При выполнении посмертного анализа инцидента просмотрите журнал действий инцидента, чтобы просмотреть журнал действий, выполненных с инцидентом (называется "Аудиты"), и все записанные комментарии. Все изменения, внесенные в инцидент, будь то пользователь или система, записываются в журнал действий.

  1. Откройте журнал действий инцидента. На странице инцидента или на панели сведений об инциденте на странице очереди инцидентов выберите три точки в правом верхнем углу и в открывающемся меню выберите Журнал действий.

    Снимок экрана: выделен параметр журнала действий на странице инцидента на портале Microsoft Defender.

  2. Отфильтруйте действия в журнале по комментариям и действиям. Выберите Содержимое: Аудиты, Комментарии, а затем выберите тип контента для фильтрации действий. Ниже приведен пример.

    Снимок экрана: параметры фильтра в области журнала действий на странице инцидента на портале Microsoft Defender.

  3. Нажмите Применить.

Вы также можете добавить собственные примечания с помощью поля примечания, доступного в журнале действий. Поле примечания принимает текст и форматирование, ссылки и изображения.

Важно!

Некоторые сведения в этой статье относятся к предварительно выпущенному продукту, который может быть существенно изменен перед выпуском. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.

Экспорт данных об инцидентах в PDF-файл

Данные инцидента можно экспортировать в PDF с помощью функции Экспорт инцидента в формате PDF и сохранить их в формате PDF. Эта функция позволяет группам безопасности просматривать сведения об инциденте в автономном режиме в любой момент времени.

Экспортированные данные об инцидентах содержат следующие сведения:

Ниже приведен пример экспортированного PDF-файла:

Снимок экрана: первая страница экспортированного PDF-файла.

Если у вас есть лицензия Copilot for Security , экспортируемый PDF-файл содержит следующие дополнительные данные об инцидентах:

Функция экспорта в PDF также доступна на боковой панели Copilot. Щелкнув многоточие Дополнительных действий (...) в правом верхнем углу результатов отчета об инциденте карта, можно выбрать Пункт Экспорт инцидента в формате PDF.

Снимок экрана: дополнительные действия в карточке результатов отчета об инциденте.

Чтобы создать PDF-файл, выполните следующие действия.

  1. Откройте страницу инцидента. Щелкните многоточие других действий (...) в правом верхнем углу и выберите Экспорт инцидента в формате PDF.

    Снимок экрана: многоточие дополнительных действий на странице инцидента.

  2. В появившемся диалоговом окне подтвердите сведения об инциденте, которые нужно включить или исключить в PDF-файл. Все сведения об инциденте выбраны по умолчанию. Выберите Экспорт PDF , чтобы продолжить.

    Снимок экрана с выделенным параметром экспорта в PDF-файл.

  3. Под заголовком инцидента отображается сообщение о состоянии, указывающее текущее состояние загрузки. Процесс экспорта может занять несколько минут в зависимости от сложности инцидента и объема экспортируемых данных.

    Снимок экрана: выделенное сообщение об экспорте и состояние перед загрузкой.

  4. Появится другое диалоговое окно, указывающее, что PDF-файл готов. Выберите Скачать в диалоговом окне, чтобы сохранить PDF-файл на устройстве. Сообщение о состоянии под заголовком инцидента также обновляется, чтобы указать, что скачивание доступно.

    Снимок экрана: выделенное сообщение об экспорте и состояние при доступной загрузке.

Отчет кэшируется в течение нескольких минут. Система предоставляет ранее созданный PDF-файл, если вы попытаетесь экспортировать тот же инцидент еще раз в течение короткого промежутка времени. Чтобы создать более новую версию PDF-файла, подождите несколько минут, пока срок действия кэша не истечет.

Дальнейшие действия

Для новых и внутрипроцессных инцидентов продолжайте расследование инцидентов.

Для разрешенных инцидентов выполните проверку после инцидента.

См. также

Совет

Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.