Управление инцидентами в Microsoft Defender
Управление инцидентами имеет решающее значение для обеспечения имен, назначений и тегов инцидентов, чтобы оптимизировать время в рабочем процессе инцидентов и быстрее содержать и устранять угрозы.
Управление инцидентами с помощью функции "Анализ инцидентов & реагирования>" & оповещений об инцидентах > при быстром запуске портала Microsoft Defender (security.microsoft.com). Ниже приведен пример.
В этой статье показано, как выполнять различные задачи по управлению инцидентами, связанные с различными этапами жизненного цикла инцидента.
- Назначьте инцидент владельцу.
- Назначение или изменение серьезности.
- Добавление тегов инцидентов.
- Измените состояние инцидента.
Исследование и устранение инцидентов:
Ведение журнала инцидентов и создание отчетов:
- Измените имя инцидента.
- Оцените аудит действий и добавьте комментарии в журнал действий.
- Экспорт данных об инцидентах в PDF-файл.
Большинство из этих задач доступны на панели Управление инцидентом для инцидента. Эту область можно открыть из любого из нескольких расположений.
Выберите Анализ & реагирования > Инциденты & оповещения Инциденты > при быстром запуске портала Microsoft Defender.
Из очереди инцидентов получите доступ к области Управление инцидентом одним из двух способов:
Выберите поле проверка инцидента и выберите Управление инцидентами на панели инструментов над фильтрами. Управляйте несколькими инцидентами одновременно, выбрав несколько проверка полей.
Выберите строку инцидента (без выбора имени инцидента), чтобы появилась область сведений об инциденте, и выберите Управление инцидентом в области сведений об инциденте.
Выберите Анализ & реагирования > Инциденты & оповещения Инциденты > при быстром запуске портала Microsoft Defender.
Выберите имя инцидента из очереди. Или выберите строку инцидента в очереди, а затем выберите Открыть страницу инцидента в области сведений об инциденте.
На странице инцидента выберите Управление инцидентом на верхней панели.
Если управление инцидентом не отображается, выберите три точки в правом верхнем углу (отображается на следующем снимке экрана рядом с пунктом "Управление инцидентом") и выберите его в появившемся меню.
Следующие задачи управления тесно связаны с рассмотрением инцидентов, хотя их можно выполнить в любое время.
- Назначьте инцидент владельцу.
- Назначение или изменение серьезности.
- Добавление тегов инцидентов.
- Измените состояние инцидента.
По умолчанию новые инциденты создаются без владельца. В идеале команда SecOps должна иметь механизмы и процедуры для автоматического назначения инцидентов владельцам. Может потребоваться переназначить инцидент в случае эскалации или ошибочного первоначального назначения.
Чтобы вручную назначить нового владельца инциденту, сделайте следующее:
Следуйте инструкциям в открываемом разделе, чтобы получить доступ к панели "Управление инцидентами".
Установите флажок Назначить . Откроется раскрывающийся список предложенных назначаемых.
Если отображается учетная запись пользователя или группы, которой вы хотите назначить инцидент, выберите ее.
В противном случае начните вводить имя или идентификатор учетной записи нужного пользователя или группы в текстовом поле в верхней части списка. Список динамически обновляется, отфильтровывая по вводимым значениям. Когда вы увидите нужного пользователя или группу, выберите их.
Чтобы удалить существующее назначение, включая только что добавленное, щелкните X рядом с именем учетной записи. Затем выберите поле Назначить , если вы хотите добавить другое назначение.
Инциденту может быть назначена только одна учетная запись пользователя или группы.
Выберите Сохранить.
При назначении владения инцидентом все связанные с ним оповещения назначаются одинаковые права владения.
Чтобы просмотреть список инцидентов, назначенных конкретному пользователю или группе, отфильтруйте очередь инцидентов:
В очереди инцидентов выберите фильтр Назначение инцидентов . Откроется раскрывающийся список предложенных назначаемых.
Если в списке фильтров не отображается назначение инцидентов , выберите Добавить фильтр, выберите Назначение инцидента в раскрывающемся списке и нажмите кнопку Добавить.
Если отображается учетная запись пользователя, назначенные инциденты которого вы хотите отобразить, выберите ее.
В противном случае начните вводить имя или идентификатор учетной записи нужного пользователя или группы в текстовом поле в верхней части списка. Список динамически обновляется, отфильтровывая по вводимым значениям. Когда вы увидите нужного пользователя или группу, выберите их.
В отличие от инцидентов назначения, здесь можно выбрать более одного назначенного, чтобы отфильтровать список. Чтобы добавить в фильтр другую учетную запись пользователя или группы, выберите текстовое поле (рядом с существующей учетной записью в фильтре), и снова появится список предложенных назначаемых лиц.
Нажмите Применить.
Чтобы сохранить ссылку на очередь инцидентов с примененными текущими фильтрами, выберите Копировать ссылку списка на панели инструментов на странице очереди инцидентов. Создайте ярлык в избранном или на рабочем столе и вставьте в него ссылку.
Серьезность инцидента определяется самой серьезностью связанных с ним оповещений. Серьезность инцидента может быть установлена на высокий, средний, низкий или информационный.
Чтобы вручную назначить или изменить серьезность инцидента, выполните следующие действия.
Следуйте инструкциям в открываемом разделе, чтобы получить доступ к панели "Управление инцидентами".
Выберите значение серьезности, которое нужно применить, в раскрывающемся списке Серьезность на панели Управление инцидентом .
Выберите Сохранить.
Пользовательские теги добавляют сведения, чтобы придать контекст инциденту. Например, тег может помечать группу инцидентов общей характеристикой. Теги — это критерий для фильтрации, поэтому позже вы сможете фильтровать очередь инцидентов по всем инцидентам, содержащим определенный тег. Чтобы применить тег к инциденту, выполните указанные действия.
Следуйте инструкциям в открываемом разделе, чтобы получить доступ к панели "Управление инцидентами".
В поле Теги инцидента начните вводить имя тега, который требуется применить. По мере ввода отображается список ранее использованных и выбранных тегов. Если в списке отображается тег, который нужно применить, выберите его.
Если вы ввели имя тега, которое ранее не использовалось, выберите последнюю запись в списке, которая является текстом, который вы ввели, а затем "(Создать)."
Затем тег отображается в виде метки в поле Теги инцидента. Повторите этот шаг, чтобы добавить дополнительные теги по мере необходимости.
Выберите Сохранить.
Инцидент может иметь системные теги и (или) пользовательские теги с определенным цветовым фоном. Пользовательские теги используют белый фон, а системные теги обычно используют красный или черный цвет фона. Системные теги определяют следующее в инциденте:
- Тип атаки, например фишинг учетных данных или мошенничество BEC
- Автоматические действия, такие как автоматическое исследование и реагирование, а также автоматическое нарушение атак
- Эксперты Defender , обрабатывая инцидент
- Критически важные ресурсы , участвующие в инциденте
Совет
Управление рисками Майкрософт, основанные на предопределенных классификациях, автоматически помечают устройства, удостоверения и облачные ресурсы как критически важный ресурс. Эта возможность обеспечивает защиту ценных и наиболее важных ресурсов организации. Это также помогает группам по обеспечению безопасности определять приоритеты для исследования и исправления. Узнайте больше об управлении критически важными ресурсами.
Инциденты начинаются с состояния "Активный". При работе с инцидентом измените состояние на Выполняется.
Следующие задачи управления тесно связаны с исследованием и разрешением инцидентов, хотя их можно выполнять в любое время.
При исправлении и разрешении инцидента выполните следующие действия, чтобы записать решение.
Следуйте инструкциям в открываемом разделе, чтобы получить доступ к панели "Управление инцидентами".
Измените состояние. Выберите Разрешено в раскрывающемся списке Состояние . При изменении состояния инцидента на Разрешено сразу после поля Состояние отображается новое поле.
Введите в это поле примечание, объясняющее, почему инцидент считается разрешенным. Это примечание отображается в журнале действий инцидента рядом с записью, записывающей разрешение инцидента.
Примечание о разрешении также отображается на панели Сведений об инциденте как на странице очереди инцидентов, так и на странице инцидента разрешенного инцидента.
Выберите Сохранить.
При разрешении инцидента также разрешаются все связанные и активные оповещения, связанные с инцидентом. Инцидент, который не разрешен, отображается как активный.
При разрешении инцидента или на любом этапе расследования инцидента, как только вы узнаете, как следует классифицировать инцидент, задайте соответствующее поле Классификация .
Следуйте инструкциям в открываемом разделе, чтобы получить доступ к панели "Управление инцидентами".
Выберите соответствующее значение в раскрывающемся списке Классификация :
- Не задано (значение по умолчанию).
- Истинно положительный результат с типом угрозы. Используйте эту классификацию для инцидентов, которые точно указывают на реальную угрозу. Указание типа угрозы помогает команде безопасности обнаруживать шаблоны угроз и защищать организацию от них.
- Информационное ожидаемое действие с типом действия. Используйте параметры в этой категории, чтобы классифицировать инциденты для тестов безопасности, действий красной команды и ожидаемого необычного поведения от доверенных приложений и пользователей.
- Ложноположительный результат для типов инцидентов, которые, по определению, можно игнорировать, так как они технически неточные или вводят в заблуждение.
См. доступные типы действий и угроз для каждой из этих классификаций на следующем снимке экрана.
Выберите Сохранить.
Классификация инцидентов и указание их состояния и типа помогает настроить Microsoft Defender, чтобы обеспечить более точное определение обнаружения с течением времени.
В ходе расследования и инцидента добавьте комментарии для записи действий, аналитических сведений и выводов.
Откройте журнал действий инцидента. На странице инцидента или на панели сведений об инциденте на странице очереди инцидентов выберите три точки в правом верхнем углу и в открывающемся меню выберите Журнал действий.
Введите комментарий в текстовое поле. Поле комментария поддерживает текст и форматирование, ссылки и изображения. Каждый комментарий ограничен 30 000 символами.
Выберите Сохранить.
Все комментарии добавляются к историческим событиям инцидента. Примечания и журнал инцидента можно просмотреть по ссылке Примечания и журнал на странице Сводка .
Следующие задачи управления могут быть связаны с аудитом и отчетностью по расследованиям инцидентов, хотя они могут выполняться в любое время.
- Измените имя инцидента.
- Оцените аудит действий и добавьте комментарии в журнал действий.
- Экспорт данных об инцидентах в PDF-файл.
Microsoft Defender автоматически назначает имя на основе атрибутов оповещений, таких как количество затронутых конечных точек, затронутых пользователей, источников обнаружения или категорий. Имя инцидента позволяет быстро понять область инцидента. Например: многоэтапный инцидент на нескольких конечных точках, сообщаемых несколькими источниками.
Чтобы изменить имя инцидента, выполните следующие действия.
Следуйте инструкциям в открываемом разделе, чтобы получить доступ к панели "Управление инцидентами".
Введите новое имя в поле Имя инцидента на панели Управление инцидентом .
Выберите Сохранить.
Примечание
Инциденты, существовавшие до развертывания функции автоматического именования инцидентов, сохраняют свои имена.
Если другой инцидент объединяется в переименованный инцидент, Defender присваивает инциденту новое имя, перезаписав любое пользовательское имя, присвоенное ему заранее.
При выполнении посмертного анализа инцидента просмотрите журнал действий инцидента, чтобы просмотреть журнал действий, выполненных с инцидентом (называется "Аудиты"), и все записанные комментарии. Все изменения, внесенные в инцидент, будь то пользователь или система, записываются в журнал действий.
Откройте журнал действий инцидента. На странице инцидента или на панели сведений об инциденте на странице очереди инцидентов выберите три точки в правом верхнем углу и в открывающемся меню выберите Журнал действий.
Отфильтруйте действия в журнале по комментариям и действиям. Выберите Содержимое: Аудиты, Комментарии, а затем выберите тип контента для фильтрации действий. Ниже приведен пример.
Нажмите Применить.
Вы также можете добавить собственные примечания с помощью поля примечания, доступного в журнале действий. Поле примечания принимает текст и форматирование, ссылки и изображения.
Важно!
Некоторые сведения в этой статье относятся к предварительно выпущенному продукту, который может быть существенно изменен перед выпуском. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.
Данные инцидента можно экспортировать в PDF с помощью функции Экспорт инцидента в формате PDF и сохранить их в формате PDF. Эта функция позволяет группам безопасности просматривать сведения об инциденте в автономном режиме в любой момент времени.
Экспортированные данные об инцидентах содержат следующие сведения:
- Обзор, содержащий сведения об инциденте
- Граф истории атак и категории угроз
- Затронутые ресурсы, охватывающие до 10 ресурсов для каждого типа активов
- Список доказательств, охватывающий до 100 элементов
- Вспомогательные данные, включая все связанные оповещения и действия, записанные в журнале действий
Ниже приведен пример экспортированного PDF-файла:
Если у вас есть лицензия Copilot for Security , экспортируемый PDF-файл содержит следующие дополнительные данные об инцидентах:
Функция экспорта в PDF также доступна на боковой панели Copilot. Щелкнув многоточие Дополнительных действий (...) в правом верхнем углу результатов отчета об инциденте карта, можно выбрать Пункт Экспорт инцидента в формате PDF.
Чтобы создать PDF-файл, выполните следующие действия.
Откройте страницу инцидента. Щелкните многоточие других действий (...) в правом верхнем углу и выберите Экспорт инцидента в формате PDF.
В появившемся диалоговом окне подтвердите сведения об инциденте, которые нужно включить или исключить в PDF-файл. Все сведения об инциденте выбраны по умолчанию. Выберите Экспорт PDF , чтобы продолжить.
Под заголовком инцидента отображается сообщение о состоянии, указывающее текущее состояние загрузки. Процесс экспорта может занять несколько минут в зависимости от сложности инцидента и объема экспортируемых данных.
Появится другое диалоговое окно, указывающее, что PDF-файл готов. Выберите Скачать в диалоговом окне, чтобы сохранить PDF-файл на устройстве. Сообщение о состоянии под заголовком инцидента также обновляется, чтобы указать, что скачивание доступно.
Отчет кэшируется в течение нескольких минут. Система предоставляет ранее созданный PDF-файл, если вы попытаетесь экспортировать тот же инцидент еще раз в течение короткого промежутка времени. Чтобы создать более новую версию PDF-файла, подождите несколько минут, пока срок действия кэша не истечет.
Для новых и внутрипроцессных инцидентов продолжайте расследование инцидентов.
Для разрешенных инцидентов выполните проверку после инцидента.
Совет
Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.