Hantera incidenter i Microsoft 365 Defender

Obs!

Vill du uppleva Microsoft 365 Defender? Läs mer om hur du kan utvärdera och pilottesta Microsoft 365 Defender.

Gäller för:

  • Microsoft 365 Defender

Incidenthantering är viktigt för att säkerställa att incidenter namnges, tilldelas och taggas för att optimera tiden i ditt incidentarbetsflöde och snabbare begränsa och åtgärda hot.

Du kan hantera incidenter från Incidenter & aviseringar > Incidenter vid snabbstart av Microsoft 365 Defender-portalen (security.microsoft.com). Här är ett exempel.

Sidan Incidenter i Microsoft 365 Defender-portalen

Här är de sätt som du kan hantera dina incidenter på:

Du kan hantera incidenter från fönstret Hantera incident för en incident. Här är ett exempel.

Fönstret Hantera incident i Microsoft 365 Defender-portalen

Du kan visa det här fönstret från länken Hantera incident på:

  • Sida för aviseringsberättelse .
  • Egenskapsfönstret för en incident i incidentkön.
  • Sammanfattningssida för en incident.

Om du vill flytta aviseringar från en incident till en annan kan du också göra det från fliken Aviseringar , vilket skapar en större eller mindre incident som innehåller alla relevanta aviseringar.

Redigera incidentnamnet

Microsoft 365 Defender tilldelar automatiskt ett namn baserat på aviseringsattribut, till exempel antalet slutpunkter som påverkas, användare som påverkas, identifieringskällor eller kategorier. På så sätt kan du snabbt förstå incidentens omfattning. Exempel: Incident i flera steg på flera slutpunkter som rapporterats av flera källor.

Du kan redigera incidentnamnet från fältet Incidentnamn i fönstret Hantera incident .

Obs!

Incidenter som fanns före distributionen av funktionen för automatisk incidentnamngivning behåller sitt namn.

Lägga till incidenttaggar

Du kan lägga till anpassade taggar i en incident, till exempel för att flagga en grupp incidenter med en gemensam egenskap. Du kan senare filtrera incidentkön för alla incidenter som innehåller en specifik tagg.

När du börjar skriva har du möjlighet att välja från en lista över tidigare använda och valda taggar.

Tilldela en incident

Om en incident ännu inte har tilldelats kan du välja rutan Tilldela till och ange användarkontot. Om du vill tilldela om en incident tar du bort det aktuella tilldelningskontot genom att välja "x" bredvid kontonamnet och sedan välja rutan Tilldela till . När du tilldelar ägarskap för en incident tilldelas samma ägarskap till alla aviseringar som är associerade med den.

Du kan hämta en lista över incidenter som tilldelats dig genom att filtrera incidentkön.

  1. I incidentkön väljer du Filter.
  2. I avsnittet Incidenttilldelning avmarkerar du Välj alla och väljer Tilldelad till mig.
  3. Välj Använd och stäng sedan fönstret Filter .

Du kan sedan spara den resulterande URL:en i webbläsaren som ett bokmärke för att snabbt se listan över incidenter som tilldelats dig.

Lösa en incident

Om incidenten har åtgärdats väljer du Lös incident för att flytta växlingsknappen till höger. Observera att lösningen av en incident även löser alla länkade och aktiva aviseringar som är relaterade till incidenten.

En incident som inte har lösts visas som Aktiv.

Ange klassificeringen

I fältet Klassificering anger du om incidenten är:

  • Inte inställt (standard).
  • Sant positivt med en typ av hot. Använd den här klassificeringen för incidenter som korrekt anger ett verkligt hot. Genom att ange hottypen kan säkerhetsteamet se hotmönster och agera för att skydda din organisation från dem.
  • Information, förväntad aktivitet med en typ av aktivitet. Använd alternativen i den här kategorin för att klassificera incidenter för säkerhetstester, red team-aktivitet och förväntat ovanligt beteende från betrodda appar och användare.
  • Falska positiva identifieringar för typer av incidenter som du fastställer kan ignoreras eftersom de är tekniskt felaktiga eller vilseledande.

Genom att klassificera incidenter och ange deras status och typ kan du finjustera Microsoft 365 Defender för att ge bättre identifieringsbestämning över tid.

Lägg till kommentarer

Du kan lägga till flera kommentarer till en incident med fältet Kommentar . Varje kommentar läggs till i de historiska händelserna i incidenten. Du kan se kommentarer och historik för en incident från länken Kommentarer och historik på sidan Sammanfattning .

Nästa steg

För nya incidenter påbörjar du undersökningen.

Fortsätt undersökningen för pågående incidenter.

Utför en granskning efter incident för lösta incidenter.

Se även