Undersöka incidenter i Microsoft Defender för Endpoint

  • Artikel

Gäller för:

Undersök incidenter som påverkar ditt nätverk, förstå vad de innebär och samla in bevis för att lösa dem.

När du undersöker en incident ser du:

  • Incidentinformation
  • Incidentkommentar och åtgärder
  • Flikar (aviseringar, enheter, undersökningar, bevis, graf)

Analysera incidentinformation

Tips

Under en begränsad tid under januari 2024, när du besöker sidan Incidenter , visas Defender Boxed. Defender Boxed visar organisationens säkerhetsframgångar, förbättringar och svarsåtgärder under 2023. Öppna Defender Boxed igen genom att gå till Incidenter i Microsoft Defender-portalen och sedan välja Din Defender Boxed.

Klicka på en incident för att se fönstret Incident. Välj Sidan Öppna incident för att se incidentinformation och relaterad information (aviseringar, enheter, undersökningar, bevis, graf).

Information om en incident

Varningar

Du kan undersöka aviseringarna och se hur de länkades ihop i en incident. Aviseringar grupperas i incidenter baserat på följande orsaker:

  • Automatiserad undersökning – Den automatiserade undersökningen utlöste den länkade aviseringen när den ursprungliga aviseringen undersöktes
  • Filegenskaper – De filer som är associerade med aviseringen har liknande egenskaper
  • Manuell association – En användare länkade aviseringarna manuellt
  • Proximat tid – Aviseringarna utlöstes på samma enhet inom en viss tidsram
  • Samma fil – Filerna som är associerade med aviseringen är exakt samma
  • Samma URL – URL:en som utlöste aviseringen är exakt densamma

Fliken Aviseringar med incidentinformationssidan som visar orsakerna till att aviseringarna länkades ihop i incidenten

Du kan också hantera en avisering och se aviseringsmetadata tillsammans med annan information. Mer information finns i Undersöka aviseringar.

Enheter

Du kan också undersöka de enheter som ingår i eller är relaterade till en viss incident. Mer information finns i Undersöka enheter.

Fliken Enheter på sidan incidentinformation

Utredningar

Välj Undersökningar för att se alla automatiska undersökningar som startas av systemet som svar på incidentaviseringar.

Fliken Undersökningar på sidan med incidentinformation

Gå igenom bevisen

Microsoft Defender för Endpoint undersöker automatiskt alla händelser som stöds av incidenter och misstänkta entiteter i aviseringarna, vilket ger dig automatiskt svar och information om viktiga filer, processer, tjänster med mera.

Var och en av de analyserade entiteterna markeras som infekterade, reparerade eller misstänkta.

Fliken Bevis på sidan incidentinformation

Visualisera associerade cybersäkerhetshot

Microsoft Defender för Endpoint aggregerar hotinformationen i en incident så att du kan se mönster och korrelationer som kommer in från olika datapunkter. Du kan visa sådan korrelation via incidentdiagrammet.

Incidentdiagram

Grafen berättar historien om cybersäkerhetsattacken. Den visar till exempel vad som var startpunkten, vilken indikator för kompromiss eller aktivitet som observerades på vilken enhet. Etc.

Incidentdiagrammet

Du kan klicka på cirklarna i incidentdiagrammet för att visa information om skadliga filer, associerade filidentifieringar, hur många instanser som har funnits över hela världen, om det har observerats i din organisation, i så fall hur många instanser.

Sidan med incidentinformation

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.