Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Gäller för:
Information om defender-experter rapporterar finns i den här korta videon.
Tjänsten Microsoft Defender Experts innehåller en interaktiv rapport på begäran som ger en tydlig sammanfattning av det arbete som våra expertanalytiker utför för din räkning, sammanställd information om ditt incidentlandskap och detaljerad information om specifika incidenter. Din säkerhetsleveransexpert (SDX) använder också rapporten för att ge dig mer kontext gällande tjänsten under en månatlig affärsgranskning.
Rapporten är utformad för att ge mer information om de incidenter som våra experter undersökte och löste i din miljö i realtid eller under en viss period. Om du vill visa rapporten i Microsoft Defender-portalen går du till Rapporter och väljer Defender Experts>XDR-rapport. Det är indelat i två avsnitt:
Rapportöversikt: Förstå snabbt de undersökta incidenterna
På fliken Rapportöversikt får du en översikt över de typer av incidenter som vi har löst i din miljö under de senaste 30 dagarna, vilket ger dig insyn i våra åtgärder. Du kan också välja ett anpassat datumintervall i Visa resultat för för att få detaljerad information om incidenter under en viss period.
Lösta incidenter
Det översta avsnittet i rapportöversikten visar procentandelen lösta incidenter. Rapporten visar också följande siffror:
- Undersökta incidenter – Antalet aktiva hot och andra incidenter från din incidentkö som vi har prioriterat, undersökt eller som för närvarande undersöker inom vårt omfång.
- Lösta incidenter – det totala antalet undersökta incidenter som har stängts.
- Löst direkt – Antalet undersökta incidenter som vi stängde direkt för din räkning.
- Löst med din hjälp – Antalet undersökta incidenter som löstes på grund av din åtgärd för en eller flera hanterade svarsuppgifter.
- Berikad från tredje part – Antalet incidenter som berikats med nätverkssignaler från tredje part. Dessa data är tillgängliga när du är registrerad i nätverksberikningen från tredje part.
Genomsnittlig tid för att lösa incidenter
Avsnittet Genomsnittlig tid för att lösa incidenter visar ett stapeldiagram över den genomsnittliga tiden, i minuter, våra experter har ägnat åt att undersöka och stänga incidenter i din miljö och den genomsnittliga tid som du har spenderat på att utföra nödvändiga hanterade svarsåtgärder.
Incidenter efter allvarlighetsgrad, kategori och tjänstkälla
Avsnitten Incidenter efter allvarlighetsgrad, Incidenter efter kategori och Incidenter efter tjänstkälla delar upp lösta incidenter efter allvarlighetsgrad, attackteknik respektive Microsofts säkerhetstjänstkälla. I de här avsnitten kan du identifiera potentiella startpunkter för attacker och typer av hot som har identifierats i din miljö, utvärdera deras inverkan och utveckla strategier för att minimera och förhindra dem. Välj Visa valda incidenter för att få en filtrerad vy över incidentkön baserat på de val du gjorde i vart och ett av avsnitten.
Mest påverkade tillgångar
Avsnittet Mest påverkade tillgångar visar de användare och enheter i din miljö som var inblandade i flest antal incidenter under det valda datumintervallet. Du kan se antalet incidenter som varje tillgång var inblandad i. Välj en tillgång för att få en filtrerad vy över incidentkön baserat på de incidenter som inkluderade den aktuella tillgången.
Incidenter som löses med MITRE-taktik
Avsnittet Incidenter som löses med MITRE-taktik visar det totala antalet undersökta incidenter och lösta sanna positiva incidenter, kategoriserade efter deras associerade hottaktik. Dessa hottaktiker baseras på MITRE ATT-&CK-attackramverk, och de kan hjälpa dig att visualisera vad incidenterna försökte uppnå i varje attackfas så att du kan planera motsvarande åtgärdsåtgärder.
Som standard visar det här avsnittet alla taktikkategorier, oavsett om det finns incidenter som är associerade med dem. Om du bara vill visa taktiker med relaterade incidenter stänger du av knappen Visa alla taktiker .
Incidenter som åtgärdas efter allvarlighetsgrad och kategori
Avsnittet Incidenter som löses efter allvarlighetsgrad och kategori visar ett stapeldiagram som visar det totala antalet lösta incidenter, uppdelat efter motsvarande allvarlighetsgrad och hotkategorier.
Som standard visar det här avsnittet data från alla lösta incidenttyper (sann positiv, falsk positiv och information). Du kan filtrera resultaten efter dessa olika incidenttyper genom att välja motsvarande alternativ i listrutan Välj incidenttyp .
Incidenter som krävde din åtgärd
Avsnittet Incidenter som krävde din åtgärd visar antalet incidenter som våra experter undersökte men som behövde ytterligare åtgärder från ditt team via en eller flera hanterade svarsuppgifter. Den sammanfattar antalet åtgärder som du har slutfört, markerade som väntande, överhoppade eller utförda men misslyckade. Den visar också ett stapeldiagram över dessa incidenter baserat på deras allvarlighetsgrad.
Det här avsnittet visar också en tabell med en lista över incidenttitlar och deras motsvarande allvarlighetsgrad, antalet nödvändiga åtgärder och status för dessa åtgärder. Du kan sortera och filtrera incidenter efter allvarlighetsgrad och åtgärdsstatus för att bättre hantera dem. Om du väljer en incidentrubrik öppnas motsvarande incidentsida, där du sedan kan utföra de hanterade svarsåtgärder som krävs.
Trender: Se incidentmönster och svarseffektivitet för att fatta välgrundade beslut
På fliken Trender i rapporten får du månadsvolymen av undersökta och lösta incidenter under de senaste sex månaderna, visualiserade enligt incidenternas allvarlighetsgrad, MITRE-taktik och hottyp. Avsnittet trender ger dig insikt i hur Defender-experter förbättrar dina säkerhetsåtgärder på ett påtagligt sätt genom att visa viktiga driftsmått månad för månad.
Visualiseringarna visas i avsnitten Incidenter efter allvarlighetsgrad, Incidenter efter MITRE-taktik och Incidenter efter klassificering . För varje avsnitt kan du filtrera data enligt de olika incidenttyperna (sann positiv, falsk positiv och information) genom att välja motsvarande alternativ i listrutan Välj incidenttyp . Avsnitten Incidenter efter allvarlighetsgrad och Incidenter efter MITRE-taktik har också knappen Visa valda incidenter , som du kan välja för att få en filtrerad vy över incidentkön baserat på de val du gjorde i vart och ett av dessa avsnitt.
På fliken Trender finns även widgeten För slutförda hanterade svarsaktiviteter och effektivitet , som visar den månatliga volymen av hanterade svarsuppgifter som ditt team har slutfört varje månad, tillsammans med mediantiden som det tog ditt team att slutföra dessa uppgifter. Den här widgeten hjälper dig att identifiera eventuella toppar i teamets svarseffektivitet och effektivitet, vilket blir allt viktigare när angripare fortsätter att minska tiden mellan inledande åtkomst och lateral förflyttning.
Se även
- Kom igång med Microsoft Defender Experts for XDR
- Hanterad identifiering och svar
- Kommunicera med experter i tjänsten Microsoft Defender Experts
Tips
Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.