Prioritera incidenter i Microsoft Defender-portalen
Den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen tillämpar korrelationsanalys och aggregerar relaterade aviseringar och automatiserade undersökningar från olika produkter till en incident. Microsoft Sentinel och Defender XDR utlöser också unika aviseringar om aktiviteter som bara kan identifieras som skadliga med tanke på synligheten från slutpunkt till slutpunkt på den enhetliga plattformen i hela produktpaketet. Den här vyn ger dina säkerhetsanalytiker den bredare attackberättelsen, som hjälper dem att bättre förstå och hantera komplexa hot i hela organisationen.
Viktigt
Microsoft Sentinel är allmänt tillgängligt på Microsofts enhetliga säkerhetsåtgärdsplattform i Microsoft Defender-portalen. För förhandsversion är Microsoft Sentinel tillgängligt i Defender-portalen utan Microsoft Defender XDR eller en E5-licens. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.
Incidentkön visar en samling incidenter som har skapats mellan enheter, användare, postlådor och andra resurser. Det hjälper dig att sortera igenom incidenter för att prioritera och skapa ett välgrundat beslut om cybersäkerhetshantering, en process som kallas incidentsortering.
Du kan komma till incidentkön från Incidenter & aviseringar > Incidenter vid snabbstart av Microsoft Defender-portalen. Här är ett exempel.
Välj De senaste incidenterna och aviseringarna för att växla expansionen av det översta avsnittet, som visar en tidslinjediagram över antalet mottagna aviseringar och incidenter som har skapats under de senaste 24 timmarna.
Under det visar incidentkön i Microsoft Defender-portalen incidenter som setts under de senaste sex månaderna. Du kan välja en annan tidsram genom att välja den i listrutan högst upp. Incidenter ordnas enligt de senaste automatiska eller manuella uppdateringarna av en incident. Du kan ordna incidenterna efter senaste uppdateringstidskolumn för att visa incidenter enligt de senaste automatiska eller manuella uppdateringarna som gjorts.
Incidentkön har anpassningsbara kolumner som ger dig insyn i olika egenskaper för incidenten eller de påverkade entiteterna. Den här filtreringen hjälper dig att fatta ett välgrundat beslut om prioriteringen av incidenter för analys. Välj Anpassa kolumner för att utföra följande anpassningar baserat på önskad vy:
- Kontrollera/avmarkera de kolumner som du vill se i incidentkön.
- Ordna ordningen på kolumnerna genom att dra dem.
Om du vill ha mer insyn i korthet genererar Microsoft Defender XDR incidentnamn automatiskt, baserat på aviseringsattribut, till exempel antalet slutpunkter som påverkas, användare som påverkas, identifieringskällor eller kategorier. Med den här specifika namngivningen kan du snabbt förstå incidentens omfattning.
Exempel: Incident i flera steg på flera slutpunkter som rapporterats av flera källor.
Om du registrerade Microsoft Sentinel till den enhetliga säkerhetsåtgärdsplattformen kommer eventuella aviseringar och incidenter som kommer från Microsoft Sentinel sannolikt att få sina namn ändrade (oavsett om de skapades före eller sedan registreringen).
Vi rekommenderar att du undviker att använda incidentnamnet som ett villkor för att utlösa automatiseringsregler. Om incidentnamnet är ett villkor och incidentnamnet ändras utlöses inte regeln.
Incidentkön innehåller också flera filtreringsalternativ, som när de tillämpas gör att du kan utföra en bred genomsökning av alla befintliga incidenter i din miljö eller välja att fokusera på ett specifikt scenario eller hot. Genom att använda filter i incidentkön kan du avgöra vilken incident som kräver omedelbar uppmärksamhet.
Listan Filter ovanför listan över incidenter visar de filter som används för närvarande.
Från standardincidentkön kan du välja Lägg till filter för att se listrutan Lägg till filter , där du anger filter som ska tillämpas på incidentkön för att begränsa den uppsättning incidenter som visas. Här är ett exempel.
Välj de filter som du vill använda och välj sedan Lägg till längst ned i listan för att göra dem tillgängliga.
Nu visas de filter som du har valt tillsammans med befintliga tillämpade filter. Välj det nya filtret för att ange dess villkor. Om du till exempel väljer filtret "Tjänst/identifieringskällor" väljer du det för att välja de källor som listan ska filtreras efter.
Du kan också se fönstret Filter genom att välja något av filtren i listan Filter ovanför listan över incidenter.
I den här tabellen visas de filternamn som är tillgängliga.
Filternamn | Beskrivning/villkor |
---|---|
Status | Välj Ny, Pågår eller Löst. |
Allvarlighetsgrad för aviseringar Allvarlighetsgrad för incidenter |
Allvarlighetsgraden för en avisering eller incident är ett tecken på hur den kan påverka dina tillgångar. Ju högre allvarlighetsgrad, desto större påverkan och kräver vanligtvis den mest omedelbara uppmärksamheten. Välj Hög, Medel, Låg eller Informationsbaserad. |
Incidenttilldelning | Välj den tilldelade användaren eller användarna. |
Flera tjänstkällor | Ange om filtret är för mer än en tjänstkälla. |
Tjänst-/identifieringskällor | Ange incidenter som innehåller aviseringar från en eller flera av följande: Många av dessa tjänster kan utökas på menyn för att visa ytterligare alternativ för identifieringskällor inom en viss tjänst. |
Taggar | Välj ett eller flera taggnamn i listan. |
Flera kategorier | Ange om filtret gäller för mer än en kategori. |
Kategorier | Välj kategorier för att fokusera på specifika taktiker, tekniker eller attackkomponenter som visas. |
Enheter | Ange namnet på en tillgång, till exempel en användare, enhet, postlåda eller programnamn. |
Datakänslighet | Vissa attacker fokuserar på att rikta in sig på exfiltrering av känsliga eller värdefulla data. Genom att använda ett filter för specifika känslighetsetiketter kan du snabbt avgöra om känslig information potentiellt har komprometterats och prioritera hanteringen av dessa incidenter. Det här filtret visar endast information när du har tillämpat känslighetsetiketter från Microsoft Purview Information Protection. |
Enhetsgrupper | Ange ett enhetsgruppsnamn . |
OS-plattform | Ange enhetens operativsystem. |
Klassificering | Ange uppsättningen med klassificeringar för relaterade aviseringar. |
Automatiserat undersökningstillstånd | Ange status för automatiserad undersökning. |
Associerat hot | Ange ett namngivet hot. |
Aviseringsprinciper | Ange en rubrik för en aviseringsprincip. |
Aviseringsprenumerations-ID:t | Ange en avisering baserat på ett prenumerations-ID. |
Standardfiltret är att visa alla aviseringar och incidenter med statusen Ny och Pågår och med allvarlighetsgraden Hög, Medel eller Låg.
Du kan snabbt ta bort ett filter genom att välja X i namnet på ett filter i listan Filter .
Du kan också skapa filteruppsättningar på incidentsidan genom att välja Sparade filterfrågor > Skapa filteruppsättning. Om inga filteruppsättningar har skapats väljer du Spara för att skapa en.
Anteckning
Microsoft Defender XDR kunder kan nu filtrera incidenter med aviseringar där en komprometterad enhet kommunicerade med enheter med driftteknik (OT) som är anslutna till företagsnätverket via integrering av enhetsidentifiering av Microsoft Defender för IoT och Microsoft Defender för Endpoint. Om du vill filtrera dessa incidenter väljer du Alla i tjänst-/identifieringskällorna och väljer sedan Microsoft Defender för IoT i Produktnamn eller i Undersöka incidenter och aviseringar i Microsoft Defender för IoT i Defender-portalen. Du kan också använda enhetsgrupper för att filtrera efter platsspecifika aviseringar. Mer information om kraven för Defender för IoT finns i Kom igång med IoT-övervakning för företag i Microsoft Defender XDR.
När du har konfigurerat ett användbart filter i incidentkön kan du bokmärka URL:en för webbläsarfliken eller på annat sätt spara den som en länk på en webbsida, ett Word dokument eller en valfri plats. Bokmärken ger dig enkelklicksåtkomst till viktiga vyer i incidentkön, till exempel:
- Nya incidenter
- Incidenter med hög allvarlighetsgrad
- Otilldelade incidenter
- Incidenter med hög allvarlighetsgrad och otilldelade
- Incidenter som tilldelats mig
- Incidenter som tilldelats mig och för Microsoft Defender för Endpoint
- Incidenter med en specifik tagg eller taggar
- Incidenter med en specifik hotkategori
- Incidenter med ett specifikt associerat hot
- Incidenter med en specifik aktör
När du har kompilerat och lagrat listan över användbara filtervyer som URL:er använder du den för att snabbt bearbeta och prioritera incidenterna i kön och hantera dem för efterföljande tilldelning och analys.
I rutan Sök efter namn eller ID ovanför listan över incidenter kan du söka efter incidenter på flera olika sätt för att snabbt hitta det du letar efter.
Sök direkt efter en incident genom att skriva incident-ID:t eller incidentnamnet. När du väljer en incident i listan över sökresultat öppnar Microsoft Defender-portalen en ny flik med egenskaperna för incidenten, där du kan starta undersökningen.
Du kan namnge en tillgång, till exempel en användare, enhet, postlåda, programnamn eller molnresurs, och hitta alla incidenter som är relaterade till tillgången.
Standardlistan över incidenter är för dem som har inträffat under de senaste sex månaderna. Du kan ange ett nytt tidsintervall från listrutan bredvid kalenderikonen genom att välja:
- En dag
- Tre dagar
- En vecka
- 30 dagar
- 30 dagar
- Sex månader
- Ett anpassat intervall där du kan ange både datum och tider
När du har fastställt vilken incident som kräver högsta prioritet väljer du den och:
- Hantera egenskaperna för incidenten för taggar, tilldelning, omedelbar lösning för falska positiva incidenter och kommentarer.
- Påbörja dina undersökningar.
Tips
Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.