Undersöka incidenter i Microsoft 365 Defender

Obs!

Vill du uppleva Microsoft 365 Defender? Läs mer om hur du kan utvärdera och pilottesta Microsoft 365 Defender.

Gäller för:

  • Microsoft 365 Defender

Microsoft 365 Defender aggregerar alla relaterade aviseringar, tillgångar, undersökningar och bevis från alla dina enheter, användare och postlådor i en incident för att ge dig en omfattande inblick i hela bredden av en attack.

I en incident analyserar du aviseringarna som påverkar nätverket, förstår vad de innebär och sorterar bevisen så att du kan utforma en effektiv reparationsplan.

Inledande undersökning

Innan du dyker in i detaljerna, ta en titt på egenskaperna och hela attackberättelsen om incidenten.

Du kan börja med att välja incidenten från bockmarkeringskolumnen. Här är ett exempel.

Välja en incident i Microsoft 365 Defender-portalen

När du gör det öppnas ett sammanfattningsfönster med viktig information om incidenten, till exempel allvarlighetsgrad, till vilken den har tilldelats och MITRE ATT&CK-kategorierna™ för incidenten. Här är ett exempel.

Fönstret som visar sammanfattningsinformationen för en incident i Microsoft 365 Defender-portalen.

Härifrån kan du välja Öppna incidentsida. Då öppnas huvudsidan för incidenten där du hittar den fullständiga informationen och flikarna för aviseringar, enheter, användare, undersökningar och bevis.

Du kan också öppna huvudsidan för en incident genom att välja incidentnamnet i incidentkön.

Attackhistoria

Attackberättelser hjälper dig att snabbt granska, undersöka och åtgärda attacker samtidigt som du visar hela historien om attacken på samma flik. Du kan också granska entitetsinformationen och vidta åtgärder, till exempel att ta bort en fil eller isolera en enhet utan att förlora kontexten.

Attackberättelsen om en incident

I attackberättelsen hittar du aviseringssidan och incidentdiagrammet.

Sidan incidentavisering innehåller följande avsnitt:

  • Aviseringsartikel, som omfattar:

    • Vad hände

    • Åtgärder som vidtagits

    • Relaterade händelser

  • Aviseringsegenskaper i den högra rutan (tillstånd, information, beskrivning och andra)

Observera att inte alla aviseringar kommer att ha alla de angivna underavsnitten i avsnittet Aviseringsartikel .

Diagrammet visar hela omfattningen av attacken, hur attacken spred sig genom nätverket över tid, var den startade och hur långt angriparen gick. Den kopplar samman de olika misstänkta entiteter som ingår i attacken med deras relaterade tillgångar, till exempel användare, enheter och postlådor.

Från grafen kan du:

  • Spela upp aviseringarna och noderna i diagrammet när de inträffade över tid för att förstå attackens kronologi.

    Skärmbild som visar uppspelning av aviseringar och noder på sidan med diagram över angreppsberättelser.

  • Öppna ett entitetsfönster så att du kan granska entitetsinformationen och vidta åtgärder, till exempel att ta bort en fil eller isolera en enhet.

    Skärmbild som visar granskningen av entitetsinformationen på sidan med diagram över angreppsberättelser.

  • Markera aviseringarna baserat på den entitet som de är relaterade till.

Använd sidan Sammanfattning för att utvärdera incidentens relativa betydelse och snabbt komma åt associerade aviseringar och påverkade entiteter.

Sammanfattning

På sidan Sammanfattning får du en översikt över de viktigaste sakerna att märka om incidenten.

Skärmbild som visar sammanfattningsinformationen för en incident i Microsoft 365 Defender-portalen.

Informationen ordnas i de här avsnitten.

Avsnitt Beskrivning
Aviseringar och kategorier En visuell och numerisk vy över hur avancerat attacken har gått mot kill-kedjan. Precis som med andra Microsoft-säkerhetsprodukter är Microsoft 365 Defender anpassade till MITRE ATT&CK-ramverket™. Tidslinjen för aviseringar visar den kronologiska ordning i vilken aviseringarna inträffade och för var och en deras status och namn.
Omfattning Visar antalet berörda enheter, användare och postlådor och visar en lista över entiteter efter risknivå och undersökningsprioritet.
Bevis Visar antalet entiteter som påverkas av incidenten.
Incidentinformation Visar egenskaperna för incidenten, till exempel taggar, status och allvarlighetsgrad.

Varningar

På fliken Aviseringar kan du visa aviseringskö för aviseringar relaterade till incidenten och annan information om dem, till exempel:

  • Svårighetsgrad.
  • De entiteter som var inblandade i aviseringen.
  • Källan till aviseringarna (Microsoft Defender for Identity, Microsoft Defender för Endpoint, Microsoft Defender för Office 365, Defender för Cloud Apps och tillägg för appstyrning).
  • Anledningen till att de var sammankopplade.

Här är ett exempel.

Fönstret Aviseringar för en incident i Microsoft 365 Defender-portalen

Som standard sorteras aviseringarna kronologiskt så att du kan se hur attacken utspelade sig över tid. När du väljer en avisering i en incident visar Microsoft 365 Defender aviseringsinformationen som är specifik för kontexten för den övergripande incidenten.

Du kan se händelserna i aviseringen, som andra utlösta aviseringar orsakade den aktuella aviseringen och alla berörda entiteter och aktiviteter som är inblandade i attacken, inklusive enheter, filer, användare och postlådor.

Här är ett exempel.

Information om en avisering i en incident i Microsoft 365 Defender-portalen.

Lär dig hur du använder aviseringskö- och aviseringssidorna i undersöka aviseringar.

Enheter

På fliken Enheter visas alla enheter som är relaterade till incidenten. Här är ett exempel.

Sidan Enheter för en incident i Microsoft 365 Defender-portalen

Du kan markera bockmarkeringen för en enhet om du vill se information om enheten, katalogdata, aktiva aviseringar och inloggade användare. Välj namnet på enheten för att se enhetsinformation i enhetsinventeringen för Defender för Endpoint. Här är ett exempel.

Sidan Med alternativ för enhetsinventering i Microsoft Defender för Endpoint.

På enhetssidan kan du samla in ytterligare information om enheten, till exempel alla dess aviseringar, en tidslinje och säkerhetsrekommendationer. På fliken Tidslinje kan du till exempel bläddra igenom datorns tidslinje och visa alla händelser och beteenden som observerats på datorn i kronologisk ordning, varvat med aviseringarna.

Tips

Du kan göra genomsökningar på begäran på en enhetssida. I Microsoft 365 Defender-portalen väljer du Slutpunkter > Enhetsinventering. Välj en enhet som har aviseringar och kör sedan en antivirusgenomsökning. Åtgärder, till exempel antivirusgenomsökningar, spåras och visas på sidan Enhetsinventering . Mer information finns i Run Microsoft Defender Antivirus scan on devices (Kör Microsoft Defender Antivirus-genomsökning på enheter).

Användare

På fliken Användare visas alla användare som har identifierats vara en del av eller relaterade till incidenten. Här är ett exempel.

Sidan Användare i Microsoft 365 Defender-portalen.

Du kan markera kryssmarkeringen för en användare om du vill se information om hot, exponering och kontaktinformation för användarkontot. Välj användarnamnet om du vill se ytterligare information om användarkontot.

Lär dig hur du visar ytterligare användarinformation och hanterar användare av en incident i undersöka användare.

Postlådor

På fliken Postlådor visas alla postlådor som har identifierats vara en del av eller relaterade till incidenten. Här är ett exempel.

Sidan Postlådor för en incident i Microsoft 365 Defender-portalen.

Du kan markera bockmarkeringen för en postlåda för att se en lista över aktiva aviseringar. Välj postlådenamnet om du vill se ytterligare postlådeinformation på sidan Utforskaren för Defender för Office 365.

Utredningar

På fliken Undersökningar visas alla automatiserade undersökningar som utlöses av aviseringar i den här incidenten. Automatiserade undersökningar utför reparationsåtgärder eller väntar på analytikernas godkännande av åtgärder, beroende på hur du har konfigurerat dina automatiserade undersökningar så att de körs i Defender för Endpoint och Defender för Office 365.

Sidan Undersökningar för en incident i Microsoft 365 Defender-portalen

Välj en undersökning för att gå till informationssidan för fullständig information om undersöknings- och reparationsstatus. Om det finns åtgärder som väntar på godkännande som en del av undersökningen visas de på fliken Historik för väntande åtgärder . Vidta åtgärder som en del av incidentreparationen.

Det finns också en undersökningsdiagramflik som visar:

  • Anslutningen av aviseringar till de tillgångar som påverkas i din organisation.
  • Vilka entiteter är relaterade till vilka aviseringar och hur de är en del av historien om attacken.
  • Aviseringarna för incidenten.

Undersökningsdiagrammet hjälper dig att snabbt förstå hela omfattningen av attacken genom att ansluta de olika misstänkta entiteterna som ingår i attacken med deras relaterade tillgångar, till exempel användare, enheter och postlådor.

Mer information finns i Automatiserad undersökning och svar i Microsoft 365 Defender.

Bevis och svar

Fliken Bevis och svar visar alla händelser som stöds och misstänkta entiteter i aviseringarna i incidenten. Här är ett exempel.

Sidan Bevis och svar för en incident i Microsoft 365 Defender-portalen

Microsoft 365 Defender undersöker automatiskt alla incidenters händelser som stöds och misstänkta entiteter i aviseringarna, vilket ger dig information om viktiga e-postmeddelanden, filer, processer, tjänster, IP-adresser med mera. På så sätt kan du snabbt identifiera och blockera potentiella hot i incidenten.

Var och en av de analyserade entiteterna markeras med en bedömning (skadlig, misstänkt, ren) och en reparationsstatus. Detta hjälper dig att förstå reparationsstatusen för hela incidenten och vilka nästa steg som kan vidtas.

Nästa steg

Efter behov:

Se även