Läs på engelska

Dela via


Prioritera incidenter i Microsoft Defender-portalen

Den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen tillämpar korrelationsanalys och aggregerar relaterade aviseringar och automatiserade undersökningar från olika produkter till en incident. Microsoft Sentinel och Defender XDR utlöser också unika aviseringar om aktiviteter som bara kan identifieras som skadliga med tanke på synligheten från slutpunkt till slutpunkt på den enhetliga plattformen i hela produktpaketet. Den här vyn ger dina säkerhetsanalytiker den bredare attackberättelsen, som hjälper dem att bättre förstå och hantera komplexa hot i hela organisationen.

Viktigt

Microsoft Sentinel är allmänt tillgängligt på Microsofts enhetliga säkerhetsåtgärdsplattform i Microsoft Defender-portalen. För förhandsversion är Microsoft Sentinel tillgängligt i Defender-portalen utan Microsoft Defender XDR eller en E5-licens. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.

Incidentkö

Incidentkön visar en samling incidenter som har skapats mellan enheter, användare, postlådor och andra resurser. Det hjälper dig att sortera igenom incidenter för att prioritera och skapa ett välgrundat beslut om cybersäkerhetshantering, en process som kallas incidentsortering.

Du kan komma till incidentkön från Incidenter & aviseringar > Incidenter vid snabbstart av Microsoft Defender-portalen. Här är ett exempel.

Skärmbild av kön Incidenter i Microsoft Defender-portalen.

Välj De senaste incidenterna och aviseringarna för att växla expansionen av det översta avsnittet, som visar en tidslinjediagram över antalet mottagna aviseringar och incidenter som har skapats under de senaste 24 timmarna.

Skärmbild av 24-timmars incidentdiagram.

Under det visar incidentkön i Microsoft Defender-portalen incidenter som setts under de senaste sex månaderna. Du kan välja en annan tidsram genom att välja den i listrutan högst upp. Incidenter ordnas enligt de senaste automatiska eller manuella uppdateringarna av en incident. Du kan ordna incidenterna efter senaste uppdateringstidskolumn för att visa incidenter enligt de senaste automatiska eller manuella uppdateringarna som gjorts.

Incidentkön har anpassningsbara kolumner som ger dig insyn i olika egenskaper för incidenten eller de påverkade entiteterna. Den här filtreringen hjälper dig att fatta ett välgrundat beslut om prioriteringen av incidenter för analys. Välj Anpassa kolumner för att utföra följande anpassningar baserat på önskad vy:

  • Kontrollera/avmarkera de kolumner som du vill se i incidentkön.
  • Ordna ordningen på kolumnerna genom att dra dem.

Skärmbild av filter- och kolumnkontroller för incidentsidan.

Incidentnamn

Om du vill ha mer insyn i korthet genererar Microsoft Defender XDR incidentnamn automatiskt, baserat på aviseringsattribut, till exempel antalet slutpunkter som påverkas, användare som påverkas, identifieringskällor eller kategorier. Med den här specifika namngivningen kan du snabbt förstå incidentens omfattning.

Exempel: Incident i flera steg på flera slutpunkter som rapporterats av flera källor.

Om du registrerade Microsoft Sentinel till den enhetliga säkerhetsåtgärdsplattformen kommer eventuella aviseringar och incidenter som kommer från Microsoft Sentinel sannolikt att få sina namn ändrade (oavsett om de skapades före eller sedan registreringen).

Vi rekommenderar att du undviker att använda incidentnamnet som ett villkor för att utlösa automatiseringsregler. Om incidentnamnet är ett villkor och incidentnamnet ändras utlöses inte regeln.

Filter

Incidentkön innehåller också flera filtreringsalternativ, som när de tillämpas gör att du kan utföra en bred genomsökning av alla befintliga incidenter i din miljö eller välja att fokusera på ett specifikt scenario eller hot. Genom att använda filter i incidentkön kan du avgöra vilken incident som kräver omedelbar uppmärksamhet.

Listan Filter ovanför listan över incidenter visar de filter som används för närvarande.

Från standardincidentkön kan du välja Lägg till filter för att se listrutan Lägg till filter , där du anger filter som ska tillämpas på incidentkön för att begränsa den uppsättning incidenter som visas. Här är ett exempel.

Fönstret Filter för incidentkön i Microsoft Defender-portalen.

Välj de filter som du vill använda och välj sedan Lägg till längst ned i listan för att göra dem tillgängliga.

Nu visas de filter som du har valt tillsammans med befintliga tillämpade filter. Välj det nya filtret för att ange dess villkor. Om du till exempel väljer filtret "Tjänst/identifieringskällor" väljer du det för att välja de källor som listan ska filtreras efter.

Du kan också se fönstret Filter genom att välja något av filtren i listan Filter ovanför listan över incidenter.

I den här tabellen visas de filternamn som är tillgängliga.

Filternamn Beskrivning/villkor
Status Välj Ny, Pågår eller Löst.
Allvarlighetsgrad för aviseringar
Allvarlighetsgrad för incidenter
Allvarlighetsgraden för en avisering eller incident är ett tecken på hur den kan påverka dina tillgångar. Ju högre allvarlighetsgrad, desto större påverkan och kräver vanligtvis den mest omedelbara uppmärksamheten. Välj Hög, Medel, Låg eller Informationsbaserad.
Incidenttilldelning Välj den tilldelade användaren eller användarna.
Flera tjänstkällor Ange om filtret är för mer än en tjänstkälla.
Tjänst-/identifieringskällor Ange incidenter som innehåller aviseringar från en eller flera av följande:
  • Microsoft Defender for Identity
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender för Endpoint
  • Microsoft Defender XDR
  • Microsoft Defender för Office 365
  • Appstyrning
  • Microsoft Entra ID Protection
  • Microsoft Data Loss Prevention
  • Microsoft Defender for Molnet
  • Microsoft Sentinel

    Många av dessa tjänster kan utökas på menyn för att visa ytterligare alternativ för identifieringskällor inom en viss tjänst.
  • Taggar Välj ett eller flera taggnamn i listan.
    Flera kategorier Ange om filtret gäller för mer än en kategori.
    Kategorier Välj kategorier för att fokusera på specifika taktiker, tekniker eller attackkomponenter som visas.
    Enheter Ange namnet på en tillgång, till exempel en användare, enhet, postlåda eller programnamn.
    Datakänslighet Vissa attacker fokuserar på att rikta in sig på exfiltrering av känsliga eller värdefulla data. Genom att använda ett filter för specifika känslighetsetiketter kan du snabbt avgöra om känslig information potentiellt har komprometterats och prioritera hanteringen av dessa incidenter.

    Det här filtret visar endast information när du har tillämpat känslighetsetiketter från Microsoft Purview Information Protection.
    Enhetsgrupper Ange ett enhetsgruppsnamn .
    OS-plattform Ange enhetens operativsystem.
    Klassificering Ange uppsättningen med klassificeringar för relaterade aviseringar.
    Automatiserat undersökningstillstånd Ange status för automatiserad undersökning.
    Associerat hot Ange ett namngivet hot.
    Aviseringsprinciper Ange en rubrik för en aviseringsprincip.
    Aviseringsprenumerations-ID:t Ange en avisering baserat på ett prenumerations-ID.

    Standardfiltret är att visa alla aviseringar och incidenter med statusen Ny och Pågår och med allvarlighetsgraden Hög, Medel eller Låg.

    Du kan snabbt ta bort ett filter genom att välja X i namnet på ett filter i listan Filter .

    Du kan också skapa filteruppsättningar på incidentsidan genom att välja Sparade filterfrågor > Skapa filteruppsättning. Om inga filteruppsättningar har skapats väljer du Spara för att skapa en.

    Alternativet skapa filteruppsättningar för incidentkön i Microsoft Defender-portalen.

    Anteckning

    Microsoft Defender XDR kunder kan nu filtrera incidenter med aviseringar där en komprometterad enhet kommunicerade med enheter med driftteknik (OT) som är anslutna till företagsnätverket via integrering av enhetsidentifiering av Microsoft Defender för IoT och Microsoft Defender för Endpoint. Om du vill filtrera dessa incidenter väljer du Alla i tjänst-/identifieringskällorna och väljer sedan Microsoft Defender för IoT i Produktnamn eller i Undersöka incidenter och aviseringar i Microsoft Defender för IoT i Defender-portalen. Du kan också använda enhetsgrupper för att filtrera efter platsspecifika aviseringar. Mer information om kraven för Defender för IoT finns i Kom igång med IoT-övervakning för företag i Microsoft Defender XDR.

    Spara anpassade filter som URL:er

    När du har konfigurerat ett användbart filter i incidentkön kan du bokmärka URL:en för webbläsarfliken eller på annat sätt spara den som en länk på en webbsida, ett Word dokument eller en valfri plats. Bokmärken ger dig enkelklicksåtkomst till viktiga vyer i incidentkön, till exempel:

    • Nya incidenter
    • Incidenter med hög allvarlighetsgrad
    • Otilldelade incidenter
    • Incidenter med hög allvarlighetsgrad och otilldelade
    • Incidenter som tilldelats mig
    • Incidenter som tilldelats mig och för Microsoft Defender för Endpoint
    • Incidenter med en specifik tagg eller taggar
    • Incidenter med en specifik hotkategori
    • Incidenter med ett specifikt associerat hot
    • Incidenter med en specifik aktör

    När du har kompilerat och lagrat listan över användbara filtervyer som URL:er använder du den för att snabbt bearbeta och prioritera incidenterna i kön och hantera dem för efterföljande tilldelning och analys.

    I rutan Sök efter namn eller ID ovanför listan över incidenter kan du söka efter incidenter på flera olika sätt för att snabbt hitta det du letar efter.

    Sök efter incidentnamn eller ID

    Sök direkt efter en incident genom att skriva incident-ID:t eller incidentnamnet. När du väljer en incident i listan över sökresultat öppnar Microsoft Defender-portalen en ny flik med egenskaperna för incidenten, där du kan starta undersökningen.

    Sök efter påverkade tillgångar

    Du kan namnge en tillgång, till exempel en användare, enhet, postlåda, programnamn eller molnresurs, och hitta alla incidenter som är relaterade till tillgången.

    Ange ett tidsintervall

    Standardlistan över incidenter är för dem som har inträffat under de senaste sex månaderna. Du kan ange ett nytt tidsintervall från listrutan bredvid kalenderikonen genom att välja:

    • En dag
    • Tre dagar
    • En vecka
    • 30 dagar
    • 30 dagar
    • Sex månader
    • Ett anpassat intervall där du kan ange både datum och tider

    Nästa steg

    När du har fastställt vilken incident som kräver högsta prioritet väljer du den och:

    • Hantera egenskaperna för incidenten för taggar, tilldelning, omedelbar lösning för falska positiva incidenter och kommentarer.
    • Påbörja dina undersökningar.

    Se även

    Tips

    Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.