Hantera incidenter i Microsoft Defender
Incidenthantering är viktigt för att säkerställa att incidenter namnges, tilldelas och taggas för att optimera tiden i ditt incidentarbetsflöde och snabbare begränsa och åtgärda hot.
Hantera dina incidenter från &-svarsincidenter > & aviseringar > Incidenter vid snabbstart av Microsoft Defender-portalen (security.microsoft.com). Här är ett exempel.
Den här artikeln visar hur du utför olika incidenthanteringsuppgifter som är associerade med olika faser i en incident livscykel.
- Tilldela incidenten till en ägare.
- Tilldela eller ändra allvarlighetsgrad.
- Lägg till incidenttaggar.
- Ändra incidentstatus.
Incidentundersökning och lösning:
Incidentloggning och rapportering:
- Redigera incidentnamnet.
- Utvärdera aktivitetsgranskningen och lägg till kommentarer i aktivitetsloggen.
- Exportera incidentdata till PDF.
De flesta av dessa uppgifter är tillgängliga från fönstret Hantera incident för en incident. Du kan nå det här fönstret från någon av flera platser.
Välj Undersökning & svar > Incidenter & aviseringar > Incidenter vid snabbstart av Microsoft Defender-portalen.
Öppna fönstret Hantera incident från incidentkön på något av två sätt:
Markera kryssrutan för en incident och välj Hantera incidenter i verktygsfältet ovanför filtren. Hantera många incidenter samtidigt genom att markera flera kryssrutor.
Välj raden för en incident (utan att välja incidentnamnet), så att fönstret incidentinformation visas och välj Hantera incident i fönstret incidentinformation.
Välj Undersökning & svar > Incidenter & aviseringar > Incidenter vid snabbstart av Microsoft Defender-portalen.
Välj namnet på en incident i kön. Eller välj raden för en incident i kön och välj sedan Öppna incidentsida i fönstret incidentinformation.
På incidentsidan väljer du Hantera incident på den översta panelen.
Om Hantera incident inte visas väljer du de tre punkterna i det övre högra hörnet (visas på följande skärmbild bredvid "Hantera incident" och väljer den på menyn som visas.
Följande hanteringsuppgifter är nära kopplade till incidenttriage, även om de kan utföras när som helst.
- Tilldela incidenten till en ägare.
- Tilldela eller ändra allvarlighetsgrad.
- Lägg till incidenttaggar.
- Ändra incidentstatus.
Som standard skapas nya incidenter utan ägare. Helst bör secops-teamet ha mekanismer och procedurer för att automatiskt tilldela incidenter till ägare. Du kan behöva omtilldela en incident i händelse av eskalering eller felaktig ursprunglig tilldelning.
Utför följande steg för att manuellt tilldela en ny ägare till en incident:
Följ anvisningarna i det inledande avsnittet för att komma åt fönstret Hantera incident.
Välj rutan Tilldela till . En listruta med föreslagna tilldelningar visas.
Om du ser det användar- eller gruppkonto som du vill tilldela incidenten till väljer du det.
Annars börjar du skriva namnet eller konto-ID:t för den önskade användaren eller gruppen i textrutan överst i listan. Listan uppdateras dynamiskt och filtreras efter vad du skriver. När du ser den användare eller grupp som du vill använda väljer du den.
Om du vill ta bort en befintlig tilldelning, inklusive alla som du just har lagt till, väljer du X bredvid kontonamnet. Välj sedan rutan Tilldela till om du vill lägga till en annan tilldelning.
Endast ett användar- eller gruppkonto kan tilldelas till en incident.
Välj Spara.
När du tilldelar ägarskap för en incident tilldelas samma ägarskap till alla aviseringar som är associerade med den.
Om du vill se listan över incidenter som tilldelats en viss användare eller grupp filtrerar du incidentkön:
I incidentkön väljer du filtret Incidenttilldelning . En listruta med föreslagna tilldelningar visas.
Om du inte ser incidenttilldelning bland filtren väljer du Lägg till filter, incidenttilldelning i listrutan och väljer Lägg till.
Om du ser det användarkonto vars tilldelade incidenter du vill visa väljer du det.
Annars börjar du skriva namnet eller konto-ID:t för den önskade användaren eller gruppen i textrutan överst i listan. Listan uppdateras dynamiskt och filtreras efter vad du skriver. När du ser den användare eller grupp som du vill använda väljer du den.
Till skillnad från att tilldela incidenter kan du här välja fler än en tilldelad att filtrera listan efter. Om du vill lägga till ett annat användar- eller gruppkonto i filtret markerar du textrutan (bredvid det befintliga kontot i filtret) och listan över föreslagna tilldelningar visas igen.
Välj Använd.
Om du vill spara en länk till incidentkön med de aktuella filtren tillämpade väljer du Länken Kopiera lista i verktygsfältet på sidan för incidentkö. Skapa en genväg i dina favoriter eller på skrivbordet och klistra in länken i den.
Allvarlighetsgraden för en incident bestäms av den högsta allvarlighetsgraden för de aviseringar som är associerade med den. Allvarlighetsgraden för en incident kan vara hög, medel, låg eller informationsbaserad.
Utför följande steg för att manuellt tilldela eller ändra allvarlighetsgraden för en incident:
Följ anvisningarna i det inledande avsnittet för att komma åt fönstret Hantera incident.
Välj det allvarlighetsgradsvärde som du vill använda i listrutan Allvarlighetsgrad i fönstret Hantera incident .
Välj Spara.
Anpassade taggar lägger till information för att låna ut kontext till en incident. En tagg kan till exempel märka en grupp incidenter med en gemensam egenskap. Taggar är ett villkor för filtrering, så du kan senare filtrera incidentkön för alla incidenter som innehåller en specifik tagg. Så här tillämpar du en tagg på en incident:
Följ anvisningarna i det inledande avsnittet för att komma åt fönstret Hantera incident.
I fältet Incidenttaggar börjar du skriva namnet på taggen som du vill använda. När du skriver visas en lista över tidigare använda och valda taggar. Om du ser taggen som du vill använda i listan väljer du den.
Om du har skrivit ett taggnamn som inte har använts tidigare väljer du den sista posten i listan, vilket är den text som du skrev följt av "(Skapa ny)."
Taggen visas sedan som en etikett i fältet Incidenttaggar. Upprepa det här steget om du vill lägga till fler taggar.
Välj Spara.
En incident kan ha systemtaggar och/eller anpassade taggar med vissa färgbakgrunder. Anpassade taggar använder den vita bakgrunden medan systemtaggar vanligtvis använder röda eller svarta bakgrundsfärger. Systemtaggar identifierar följande i en incident:
- En typ av attack, till exempel nätfiske av autentiseringsuppgifter eller BEC-bedrägeri
- Automatiska åtgärder, till exempel automatisk undersökning och svar och automatisk attackstörning
- Defender-experter som hanterar en incident
- Kritiska tillgångar som är inblandade i incidenten
Tips
Microsofts Security Exposure Management, baserat på fördefinierade klassificeringar, taggar automatiskt enheter, identiteter och molnresurser som en kritisk tillgång. Den här färdiga funktionen säkerställer skyddet av en organisations värdefulla och viktigaste tillgångar. Det hjälper också säkerhetsåtgärdsteam att prioritera undersökning och reparation. Läs mer om kritisk tillgångshantering.
Incidenter börjar livet med statusen Aktiv. När du arbetar med en incident ändrar du Status till Pågår.
Följande hanteringsuppgifter är nära kopplade till incidentundersökning och lösning, även om de kan utföras när som helst.
När en incident har åtgärdats och lösts vidtar du följande åtgärder för att registrera lösningen:
Följ anvisningarna i det inledande avsnittet för att komma åt fönstret Hantera incident.
Ändra status. Välj Löst i listrutan Status . När du ändrar status för en incident till Löst visas ett nytt fält direkt efter fältet Status .
Ange en anteckning i det här fältet som förklarar varför du anser att incidenten har lösts. Den här anteckningen visas i aktivitetsloggen för incidenten, nära posten som registrerar incidentens lösning.
Lösningsanteckningen visas också i panelen Incidentinformation på både incidentkösidan och incidentsidan för en löst incident.
Välj Spara.
Att lösa en incident löser också alla länkade och aktiva aviseringar som är relaterade till incidenten. En incident som inte har lösts visas som Aktiv.
När du löser en incident, eller när som helst i en incident utredning, så snart du blir medveten om hur incidenten ska klassificeras, anger du klassificeringsfältet i enlighet med detta.
Följ anvisningarna i det inledande avsnittet för att komma åt fönstret Hantera incident.
Välj lämpligt värde i listrutan Klassificering :
- Inte inställt (standard).
- Sant positivt med en typ av hot. Använd den här klassificeringen för incidenter som korrekt anger ett verkligt hot. Genom att ange hottypen kan säkerhetsteamet se hotmönster och agera för att skydda din organisation från dem.
- Information, förväntad aktivitet med en typ av aktivitet. Använd alternativen i den här kategorin för att klassificera incidenter för säkerhetstester, red team-aktivitet och förväntat ovanligt beteende från betrodda appar och användare.
- Falska positiva identifieringar för typer av incidenter som du fastställer kan ignoreras eftersom de är tekniskt felaktiga eller vilseledande.
Se tillgängliga typer av aktiviteter och hot för var och en av dessa klassificeringar i följande skärmbild.
Välj Spara.
Genom att klassificera incidenter och ange deras status och typ kan du finjustera Microsoft Defender för att ge bättre identifieringsbestämning över tid.
Under utredning och incident lägger du till kommentarer för att registrera aktiviteter, insikter och slutsatser.
Öppna incidentens aktivitetslogg. På incidentsidan, eller i panelen incidentinformation på sidan incidentkö, väljer du de tre punkterna i det övre högra hörnet och väljer Aktivitetslogg på den resulterande menyn.
Skriv kommentaren i textfältet. Kommentarsfältet stöder text och formatering, länkar och bilder. Varje kommentar är begränsad till 30 000 tecken.
Välj Spara.
Alla kommentarer läggs till i de historiska händelserna i incidenten. Du kan se kommentarer och historik för en incident från länken Kommentarer och historik på sidan Sammanfattning .
Följande hanteringsuppgifter kan associeras med granskning och rapportering av incidentundersökningar, även om de kan utföras när som helst.
- Redigera incidentnamnet.
- Utvärdera aktivitetsgranskningen och lägg till kommentarer i aktivitetsloggen.
- Exportera incidentdata till PDF.
Microsoft Defender tilldelar automatiskt ett namn baserat på aviseringsattribut, till exempel antalet slutpunkter som påverkas, användare som påverkas, identifieringskällor eller kategorier. Med incidentnamnet kan du snabbt förstå incidentens omfattning. Exempel: Incident i flera steg på flera slutpunkter som rapporterats av flera källor.
Utför följande steg för att redigera incidentnamnet:
Följ anvisningarna i det inledande avsnittet för att komma åt fönstret Hantera incident.
Ange ett nytt namn i fältet Incidentnamn i fönstret Hantera incident .
Välj Spara.
Anteckning
Incidenter som fanns före distributionen av funktionen för automatisk incidentnamngivning behåller sina namn.
Om en annan incident slås samman till en omdöpt incident ger Defender incidenten ett nytt namn och skriver över alla anpassade namn som du gav den i förväg.
När du gör en postmortem av en incident kan du visa incidentens aktivitetslogg för att se historiken för åtgärder som utförts på incidenten (kallas "granskningar") och eventuella kommentarer som registrerats. Alla ändringar som görs i incidenten, antingen av en användare eller av systemet, registreras i aktivitetsloggen.
Öppna incidentens aktivitetslogg. På incidentsidan, eller i panelen incidentinformation på sidan incidentkö, väljer du de tre punkterna i det övre högra hörnet och väljer Aktivitetslogg på den resulterande menyn.
Filtrera aktiviteterna i loggen efter kommentarer och åtgärder. Välj Innehåll: Granskningar, Kommentarer och välj sedan innehållstyp för att filtrera aktiviteter. Här är ett exempel.
Välj Använd.
Du kan också lägga till egna kommentarer med hjälp av kommentarsrutan som är tillgänglig i aktivitetsloggen. Kommentarsrutan accepterar text och formatering, länkar och bilder.
Viktigt
Viss information i den här artikeln gäller produkter som inte har släppts ännu och kan ändras avsevärt innan produkten släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.
Du kan exportera en incident data till PDF via funktionen Exportera incident som PDF och spara dem i PDF-format. Med den här funktionen kan säkerhetsteam granska en incidentinformation offline vid en viss tidpunkt.
Incidentdata som exporteras innehåller följande information:
- En översikt som innehåller incidentinformationen
- Diagram över angreppsberättelser och hotkategorier
- De påverkade tillgångarna täcker upp till 10 tillgångar för varje tillgångstyp
- Bevislistan omfattar upp till 100 punkter
- Stöddata, inklusive alla relaterade aviseringar och aktiviteter som registrerats i aktivitetsloggen
Här är ett exempel på den exporterade PDF-filen:
Om du har Copilot for Security-licensen innehåller den exporterade PDF-filen följande ytterligare incidentdata:
Funktionen exportera till PDF finns också i Copilot-sidopanelen. När du väljer ellipsen Fler åtgärder (...) i det övre högra hörnet på resultatkortet för incidentrapporten kan du välja Exportera incident som PDF.
Utför följande steg för att generera PDF-filen:
Öppna en incidentsida. Välj ellipsen Fler åtgärder (...) i det övre högra hörnet och välj Exportera incident som PDF.
I dialogrutan som visas härnäst bekräftar du incidentinformationen som du vill inkludera eller exkludera i PDF-filen. All incidentinformation är markerad som standard. Välj Exportera PDF för att fortsätta.
Ett statusmeddelande som anger nedladdningens aktuella tillstånd visas under incidentrubriken. Exportprocessen kan ta några minuter beroende på incidentens komplexitet och mängden data som ska exporteras.
En annan dialogruta visas som anger att PDF-filen är klar. Välj Ladda ned i dialogrutan för att spara PDF-filen på enheten. Statusmeddelandet under incidentrubriken uppdateras också för att indikera att nedladdningen är tillgänglig.
Rapporten cachelagras i ett par minuter. Systemet tillhandahåller den tidigare genererade PDF-filen om du försöker exportera samma incident igen inom en kort tidsperiod. Om du vill generera en nyare version av PDF-filen väntar du några minuter tills cacheminnet upphör att gälla.
Fortsätt din incidentundersökning för nya och pågående incidenter.
Utför en granskning efter incident för lösta incidenter.
Tips
Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.