Läs på engelska

Dela via


Hantera incidenter i Microsoft Defender

Incidenthantering är viktigt för att säkerställa att incidenter namnges, tilldelas och taggas för att optimera tiden i ditt incidentarbetsflöde och snabbare begränsa och åtgärda hot.

Hantera dina incidenter från &-svarsincidenter > & aviseringar > Incidenter vid snabbstart av Microsoft Defender-portalen (security.microsoft.com). Här är ett exempel.

Skärmbild som visar incidentkön och snabbstartsfönstret i Microsoft Defender-portalen.

Den här artikeln visar hur du utför olika incidenthanteringsuppgifter som är associerade med olika faser i en incident livscykel.

Incidenttriage:

Incidentundersökning och lösning:

Incidentloggning och rapportering:

Öppna fönstret Hantera incident

De flesta av dessa uppgifter är tillgängliga från fönstret Hantera incident för en incident. Du kan nå det här fönstret från någon av flera platser.

Från incidentkön

  1. Välj Undersökning & svar > Incidenter & aviseringar > Incidenter vid snabbstart av Microsoft Defender-portalen.

  2. Öppna fönstret Hantera incident från incidentkön på något av två sätt:

    • Markera kryssrutan för en incident och välj Hantera incidenter i verktygsfältet ovanför filtren. Hantera många incidenter samtidigt genom att markera flera kryssrutor.

    • Välj raden för en incident (utan att välja incidentnamnet), så att fönstret incidentinformation visas och välj Hantera incident i fönstret incidentinformation.

      Skärmbild som visar hur du hanterar incidenter från incidentkön i Microsoft Defender-portalen.

Från incidentsidan

  1. Välj Undersökning & svar > Incidenter & aviseringar > Incidenter vid snabbstart av Microsoft Defender-portalen.

  2. Välj namnet på en incident i kön. Eller välj raden för en incident i kön och välj sedan Öppna incidentsida i fönstret incidentinformation.

  3. På incidentsidan väljer du Hantera incident på den översta panelen.

    Om Hantera incident inte visas väljer du de tre punkterna i det övre högra hörnet (visas på följande skärmbild bredvid "Hantera incident" och väljer den på menyn som visas.

    Skärmbild som visar hur du hanterar en incident från incidentsidan i Microsoft Defender-portalen.

Incidenttriage

Följande hanteringsuppgifter är nära kopplade till incidenttriage, även om de kan utföras när som helst.

Tilldela en incident till en ägare

Som standard skapas nya incidenter utan ägare. Helst bör secops-teamet ha mekanismer och procedurer för att automatiskt tilldela incidenter till ägare. Du kan behöva omtilldela en incident i händelse av eskalering eller felaktig ursprunglig tilldelning.

Tilldela en ägare

Utför följande steg för att manuellt tilldela en ny ägare till en incident:

  1. Följ anvisningarna i det inledande avsnittet för att komma åt fönstret Hantera incident.

  2. Välj rutan Tilldela till . En listruta med föreslagna tilldelningar visas.

  3. Om du ser det användar- eller gruppkonto som du vill tilldela incidenten till väljer du det.

    Annars börjar du skriva namnet eller konto-ID:t för den önskade användaren eller gruppen i textrutan överst i listan. Listan uppdateras dynamiskt och filtreras efter vad du skriver. När du ser den användare eller grupp som du vill använda väljer du den.

  4. Om du vill ta bort en befintlig tilldelning, inklusive alla som du just har lagt till, väljer du X bredvid kontonamnet. Välj sedan rutan Tilldela till om du vill lägga till en annan tilldelning.

    Endast ett användar- eller gruppkonto kan tilldelas till en incident.

  5. Välj Spara.

När du tilldelar ägarskap för en incident tilldelas samma ägarskap till alla aviseringar som är associerade med den.

Skärmbild som visar hur du tilldelar en ägare i fönstret Hantera incident i Microsoft Defender-portalen.

Visa incidenter som tilldelats en viss ägare

Om du vill se listan över incidenter som tilldelats en viss användare eller grupp filtrerar du incidentkön:

  1. I incidentkön väljer du filtret Incidenttilldelning . En listruta med föreslagna tilldelningar visas.

    Om du inte ser incidenttilldelning bland filtren väljer du Lägg till filter, incidenttilldelning i listrutan och väljer Lägg till.

  2. Om du ser det användarkonto vars tilldelade incidenter du vill visa väljer du det.

    Annars börjar du skriva namnet eller konto-ID:t för den önskade användaren eller gruppen i textrutan överst i listan. Listan uppdateras dynamiskt och filtreras efter vad du skriver. När du ser den användare eller grupp som du vill använda väljer du den.

    Till skillnad från att tilldela incidenter kan du här välja fler än en tilldelad att filtrera listan efter. Om du vill lägga till ett annat användar- eller gruppkonto i filtret markerar du textrutan (bredvid det befintliga kontot i filtret) och listan över föreslagna tilldelningar visas igen.

  3. Välj Använd.

    Skärmbild som visar hur du visar incidenter som tilldelats en ägare i incidentkösidan i Microsoft Defender-portalen.

Om du vill spara en länk till incidentkön med de aktuella filtren tillämpade väljer du Länken Kopiera lista i verktygsfältet på sidan för incidentkö. Skapa en genväg i dina favoriter eller på skrivbordet och klistra in länken i den.

Tilldela eller ändra allvarlighetsgrad för incidenter

Allvarlighetsgraden för en incident bestäms av den högsta allvarlighetsgraden för de aviseringar som är associerade med den. Allvarlighetsgraden för en incident kan vara hög, medel, låg eller informationsbaserad.

Utför följande steg för att manuellt tilldela eller ändra allvarlighetsgraden för en incident:

  1. Följ anvisningarna i det inledande avsnittet för att komma åt fönstret Hantera incident.

  2. Välj det allvarlighetsgradsvärde som du vill använda i listrutan Allvarlighetsgrad i fönstret Hantera incident .

  3. Välj Spara.

Lägga till incidenttaggar

Anpassade taggar lägger till information för att låna ut kontext till en incident. En tagg kan till exempel märka en grupp incidenter med en gemensam egenskap. Taggar är ett villkor för filtrering, så du kan senare filtrera incidentkön för alla incidenter som innehåller en specifik tagg. Så här tillämpar du en tagg på en incident:

  1. Följ anvisningarna i det inledande avsnittet för att komma åt fönstret Hantera incident.

  2. I fältet Incidenttaggar börjar du skriva namnet på taggen som du vill använda. När du skriver visas en lista över tidigare använda och valda taggar. Om du ser taggen som du vill använda i listan väljer du den.

    Skärmbild som visar hur du skapar en incidenttagg i fönstret Hantera incidenter.

    Om du har skrivit ett taggnamn som inte har använts tidigare väljer du den sista posten i listan, vilket är den text som du skrev följt av "(Skapa ny)."

    Skärmbild som visar hur du väljer en tagg som ska tillämpas på en incident i fönstret Hantera incidenter.

    Taggen visas sedan som en etikett i fältet Incidenttaggar. Upprepa det här steget om du vill lägga till fler taggar.

    Skärmbild som visar hur en markerad tagg visas i fältet Incidenttaggar.

  3. Välj Spara.

En incident kan ha systemtaggar och/eller anpassade taggar med vissa färgbakgrunder. Anpassade taggar använder den vita bakgrunden medan systemtaggar vanligtvis använder röda eller svarta bakgrundsfärger. Systemtaggar identifierar följande i en incident:

  • En typ av attack, till exempel nätfiske av autentiseringsuppgifter eller BEC-bedrägeri
  • Automatiska åtgärder, till exempel automatisk undersökning och svar och automatisk attackstörning
  • Defender-experter som hanterar en incident
  • Kritiska tillgångar som är inblandade i incidenten

Tips

Microsofts Security Exposure Management, baserat på fördefinierade klassificeringar, taggar automatiskt enheter, identiteter och molnresurser som en kritisk tillgång. Den här färdiga funktionen säkerställer skyddet av en organisations värdefulla och viktigaste tillgångar. Det hjälper också säkerhetsåtgärdsteam att prioritera undersökning och reparation. Läs mer om kritisk tillgångshantering.

Ändra incidentstatus

Incidenter börjar livet med statusen Aktiv. När du arbetar med en incident ändrar du Status till Pågår.

Incidentundersökning och lösning

Följande hanteringsuppgifter är nära kopplade till incidentundersökning och lösning, även om de kan utföras när som helst.

Lösa en incident

När en incident har åtgärdats och lösts vidtar du följande åtgärder för att registrera lösningen:

  1. Följ anvisningarna i det inledande avsnittet för att komma åt fönstret Hantera incident.

  2. Ändra status. Välj Löst i listrutan Status . När du ändrar status för en incident till Löst visas ett nytt fält direkt efter fältet Status .

  3. Ange en anteckning i det här fältet som förklarar varför du anser att incidenten har lösts. Den här anteckningen visas i aktivitetsloggen för incidenten, nära posten som registrerar incidentens lösning.

    Skärmbild av incidenthanteringspanelen med incidentlösningsanteckning.

    Lösningsanteckningen visas också i panelen Incidentinformation på både incidentkösidan och incidentsidan för en löst incident.

    Skärmbild av utseendet på lösningsanteckningen i panelen incidentinformation.

  4. Välj Spara.

Att lösa en incident löser också alla länkade och aktiva aviseringar som är relaterade till incidenten. En incident som inte har lösts visas som Aktiv.

Ange incidentens klassificering

När du löser en incident, eller när som helst i en incident utredning, så snart du blir medveten om hur incidenten ska klassificeras, anger du klassificeringsfältet i enlighet med detta.

  1. Följ anvisningarna i det inledande avsnittet för att komma åt fönstret Hantera incident.

  2. Välj lämpligt värde i listrutan Klassificering :

    • Inte inställt (standard).
    • Sant positivt med en typ av hot. Använd den här klassificeringen för incidenter som korrekt anger ett verkligt hot. Genom att ange hottypen kan säkerhetsteamet se hotmönster och agera för att skydda din organisation från dem.
    • Information, förväntad aktivitet med en typ av aktivitet. Använd alternativen i den här kategorin för att klassificera incidenter för säkerhetstester, red team-aktivitet och förväntat ovanligt beteende från betrodda appar och användare.
    • Falska positiva identifieringar för typer av incidenter som du fastställer kan ignoreras eftersom de är tekniskt felaktiga eller vilseledande.

    Se tillgängliga typer av aktiviteter och hot för var och en av dessa klassificeringar i följande skärmbild.

  3. Välj Spara.

    Skärmbild som visar klassificeringsalternativen för incidenter.

Genom att klassificera incidenter och ange deras status och typ kan du finjustera Microsoft Defender för att ge bättre identifieringsbestämning över tid.

Lägga till kommentarer till en incident

Under utredning och incident lägger du till kommentarer för att registrera aktiviteter, insikter och slutsatser.

  1. Öppna incidentens aktivitetslogg. På incidentsidan, eller i panelen incidentinformation på sidan incidentkö, väljer du de tre punkterna i det övre högra hörnet och väljer Aktivitetslogg på den resulterande menyn.

    Skärmbild som visar hur du kommer åt en incident aktivitetslogg.

  2. Skriv kommentaren i textfältet. Kommentarsfältet stöder text och formatering, länkar och bilder. Varje kommentar är begränsad till 30 000 tecken.

    Skärmbild som visar hur du lägger till en kommentar i en incident.

  3. Välj Spara.

Alla kommentarer läggs till i de historiska händelserna i incidenten. Du kan se kommentarer och historik för en incident från länken Kommentarer och historik på sidan Sammanfattning .

Incidentloggning och rapportering

Följande hanteringsuppgifter kan associeras med granskning och rapportering av incidentundersökningar, även om de kan utföras när som helst.

Redigera incidentnamnet

Microsoft Defender tilldelar automatiskt ett namn baserat på aviseringsattribut, till exempel antalet slutpunkter som påverkas, användare som påverkas, identifieringskällor eller kategorier. Med incidentnamnet kan du snabbt förstå incidentens omfattning. Exempel: Incident i flera steg på flera slutpunkter som rapporterats av flera källor.

Utför följande steg för att redigera incidentnamnet:

  1. Följ anvisningarna i det inledande avsnittet för att komma åt fönstret Hantera incident.

  2. Ange ett nytt namn i fältet Incidentnamn i fönstret Hantera incident .

  3. Välj Spara.

Anteckning

  • Incidenter som fanns före distributionen av funktionen för automatisk incidentnamngivning behåller sina namn.

  • Om en annan incident slås samman till en omdöpt incident ger Defender incidenten ett nytt namn och skriver över alla anpassade namn som du gav den i förväg.

Visa aktivitetsloggen för en incident

När du gör en postmortem av en incident kan du visa incidentens aktivitetslogg för att se historiken för åtgärder som utförts på incidenten (kallas "granskningar") och eventuella kommentarer som registrerats. Alla ändringar som görs i incidenten, antingen av en användare eller av systemet, registreras i aktivitetsloggen.

  1. Öppna incidentens aktivitetslogg. På incidentsidan, eller i panelen incidentinformation på sidan incidentkö, väljer du de tre punkterna i det övre högra hörnet och väljer Aktivitetslogg på den resulterande menyn.

    Skärmbild som visar alternativet aktivitetslogg från incidentsidan i Microsoft Defender-portalen.

  2. Filtrera aktiviteterna i loggen efter kommentarer och åtgärder. Välj Innehåll: Granskningar, Kommentarer och välj sedan innehållstyp för att filtrera aktiviteter. Här är ett exempel.

    Skärmbild som visar filteralternativen i aktivitetsloggfönstret från incidentsidan i Microsoft Defender-portalen.

  3. Välj Använd.

Du kan också lägga till egna kommentarer med hjälp av kommentarsrutan som är tillgänglig i aktivitetsloggen. Kommentarsrutan accepterar text och formatering, länkar och bilder.

Viktigt

Viss information i den här artikeln gäller produkter som inte har släppts ännu och kan ändras avsevärt innan produkten släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.

Exportera incidentdata till PDF

Du kan exportera en incident data till PDF via funktionen Exportera incident som PDF och spara dem i PDF-format. Med den här funktionen kan säkerhetsteam granska en incidentinformation offline vid en viss tidpunkt.

Incidentdata som exporteras innehåller följande information:

Här är ett exempel på den exporterade PDF-filen:

Skärmbild av den exporterade PDF-filens första sida.

Om du har Copilot for Security-licensen innehåller den exporterade PDF-filen följande ytterligare incidentdata:

Funktionen exportera till PDF finns också i Copilot-sidopanelen. När du väljer ellipsen Fler åtgärder (...) i det övre högra hörnet på resultatkortet för incidentrapporten kan du välja Exportera incident som PDF.

Skärmbild av fler åtgärder på resultatkortet för incidentrapporten.

Utför följande steg för att generera PDF-filen:

  1. Öppna en incidentsida. Välj ellipsen Fler åtgärder (...) i det övre högra hörnet och välj Exportera incident som PDF.

    Skärmbild som visar ellipsen Fler åtgärder på incidentsidan.

  2. I dialogrutan som visas härnäst bekräftar du incidentinformationen som du vill inkludera eller exkludera i PDF-filen. All incidentinformation är markerad som standard. Välj Exportera PDF för att fortsätta.

    Skärmbild som visar exportincidenten till PDF-alternativet.

  3. Ett statusmeddelande som anger nedladdningens aktuella tillstånd visas under incidentrubriken. Exportprocessen kan ta några minuter beroende på incidentens komplexitet och mängden data som ska exporteras.

    Skärmbild som visar exportmeddelande och status före nedladdning.

  4. En annan dialogruta visas som anger att PDF-filen är klar. Välj Ladda ned i dialogrutan för att spara PDF-filen på enheten. Statusmeddelandet under incidentrubriken uppdateras också för att indikera att nedladdningen är tillgänglig.

    Skärmbild som visar exportmeddelande och status när nedladdning är tillgänglig.

Rapporten cachelagras i ett par minuter. Systemet tillhandahåller den tidigare genererade PDF-filen om du försöker exportera samma incident igen inom en kort tidsperiod. Om du vill generera en nyare version av PDF-filen väntar du några minuter tills cacheminnet upphör att gälla.

Nästa steg

Fortsätt din incidentundersökning för nya och pågående incidenter.

Utför en granskning efter incident för lösta incidenter.

Se även

Tips

Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.