Hantera Microsoft Defender för Endpoint incidenter
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft Defender XDR
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Att hantera incidenter är en viktig del av varje cybersäkerhetsåtgärd. Du kan hantera incidenter genom att välja en incident från incidentkön eller fönstret Incidenthantering.
Tips
Under en begränsad tid under januari 2024, när du besöker sidan Incidenter , visas Defender Boxed. Defender Boxed visar organisationens säkerhetsframgångar, förbättringar och svarsåtgärder under 2023. Öppna Defender Boxed igen genom att gå till Incidenter i Microsoft Defender-portalen och sedan välja Din Defender Boxed.
Om du väljer en incident i incidentkön öppnas fönstret Incidenthantering där du kan öppna incidentsidan för mer information.
Du kan tilldela incidenter till dig själv, ändra status och klassificering, byta namn på eller kommentera dem för att hålla reda på förloppet.
Tips
Incidentnamn genereras automatiskt baserat på aviseringsattribut, till exempel antalet slutpunkter som påverkas, användare som påverkas, identifieringskällor eller kategorier för att få ytterligare synlighet i korthet. På så sätt kan du snabbt förstå incidentens omfattning.
Exempel: Incident i flera steg på flera slutpunkter som rapporterats av flera källor.
Incidenter som fanns före distributionen av automatisk incidentnamngivning behåller sina namn.
Tilldela incidenter
Om en incident inte har tilldelats ännu kan du välja Tilldela till mig för att tilldela incidenten till dig själv. Detta förutsätter ägarskap för inte bara incidenten, utan även alla aviseringar som är associerade med den.
Ange status och klassificering
Incidentstatus
Du kan kategorisera incidenter (som aktiva eller lösta) genom att ändra deras status under undersökningens gång. På så sätt kan du organisera och hantera hur ditt team kan reagera på incidenter.
Soc-analytikern kan till exempel granska de brådskande aktiva incidenterna för dagen och välja att tilldela dem till sig själv för undersökning.
Alternativt kan SOC-analytikern ange incidenten som Löst om incidenten har åtgärdats.
Klassificering
Du kan välja att inte ange en klassificering eller ange om en incident är sann eller falsk. Det hjälper teamet att se mönster och lära sig av dem.
Lägg till kommentarer
Du kan lägga till kommentarer och visa historiska händelser om en incident för att se tidigare ändringar som gjorts i den.
När en ändring eller kommentar görs i en avisering registreras den i avsnittet Kommentarer och historik.
Kommentarer som lagts till visas direkt i fönstret.
Relaterade ämnen
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.