在 Microsoft Defender 门户中确定事件的优先级
Microsoft Defender 门户中的统一安全操作平台应用相关分析,并将不同产品的相关警报和自动调查聚合到事件中。 Microsoft Sentinel 和 Defender XDR 还会针对只能识别为恶意的活动触发唯一警报,前提是在整个产品套件的统一平台中具有端到端可见性。 此视图为安全分析师提供了更广泛的攻击案例,帮助他们更好地了解和处理整个组织的复杂威胁。
重要
Microsoft Sentinel 现已在 Microsoft Defender 门户中的Microsoft统一安全操作平台中正式发布。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel。
事件队列
事件队列显示跨设备、用户、邮箱和其他资源创建的事件集合。 它可帮助你对事件进行排序,以便确定优先级并创建明智的网络安全响应决策,此过程称为事件会审。
在快速启动 Microsoft Defender 门户时,可以从事件 & 警报>事件访问事件队列。 下面是一个示例。
选择“ 最近的事件和警报 ”以切换顶部部分的展开,其中显示过去 24 小时内收到的警报数和创建的事件的时间线图。
在此之后,Microsoft Defender 门户中的事件队列显示过去六个月中看到的事件。 可以通过从顶部的下拉列表中选择不同的时间范围。 事件根据对事件进行的最新自动或手动更新进行排列。 可以按 上次更新时间 列排列事件,以便根据进行的最新自动或手动更新查看事件。
事件队列具有可自定义的列,可让你了解事件或受影响实体的不同特征。 此筛选可帮助你在分析事件优先级方面做出明智的决策。 选择“ 自定义列 ”,根据首选视图执行以下自定义:
- 选中/取消选中要在事件队列中看到的列。
- 通过拖动列来排列列的顺序。
事件名称
为了概览更多可见性,Microsoft Defender XDR 会根据警报属性(例如受影响的终结点数、受影响的用户、检测源或类别)自动生成事件名称。 通过此特定命名,可以快速了解事件的范围。
例如: 多个源报告的多个终结点上的多阶段事件。
如果将 Microsoft Sentinel 载入到统一安全操作平台,则来自 Microsoft Sentinel 的任何警报和事件的名称都可能会 (更改,而不管这些警报和事件是在加入) 之前还是之后创建的。
建议避免使用事件名称作为触发 自动化规则的条件。 如果事件名称是条件,并且事件名称发生更改,则不会触发规则。
过滤 器
事件队列还提供了多个筛选选项,应用后,可以广泛扫描环境中的所有现有事件,或决定专注于特定方案或威胁。 在事件队列中应用筛选器可帮助确定需要立即关注的事件。
事件列表上方的 “筛选器 ”列表显示当前应用的筛选器。
在默认事件队列中,可以选择“ 添加筛选器 ”以查看 “添加筛选器 ”下拉列表,从中指定要应用于事件队列的筛选器,以限制显示的事件集。 下面是一个示例。
选择要使用的筛选器,然后选择列表底部的“ 添加 ”,使其可用。
现在,所选的筛选器与现有的应用筛选器一起显示。 选择新筛选器以指定其条件。 例如,如果选择了“服务/检测源”筛选器,请选择该筛选器以选择要筛选列表的源。
还可以通过选择事件列表上方的“筛选器”列表中的任意筛选器来查看“筛选器”窗格。
下表列出了可用的筛选器名称。
筛选器名称 | 说明/条件 |
---|---|
状态 | 选择 “新建”、“ 正在进行”或“ 已解决”。 |
警报严重性 事件严重性 |
警报或事件的严重性表明它可能会对资产产生的影响。 严重性越高,影响就越大,通常需要最直接的关注。 选择“高”、“中”、“低”或“信息”。 |
事件分配 | 选择分配的用户。 |
多个服务源 | 指定筛选器是否适用于多个服务源。 |
服务/检测源 | 指定包含以下一项或多项警报的事件: 其中许多服务都可以在菜单中展开,以显示给定服务中检测源的进一步选择。 |
Tags | 从列表中选择一个或多个标记名称。 |
多个类别 | 指定筛选器是否适用于多个类别。 |
Categories | 选择类别以关注看到的特定策略、技术或攻击组件。 |
Entities | 指定资产的名称,例如用户、设备、邮箱或应用程序名称。 |
数据敏感性 | 某些攻击主要针对容易泄露或有价值的数据。 通过对特定敏感度标签应用筛选器,可以快速确定敏感信息是否可能遭到入侵,并优先处理这些事件。 仅当应用了 Microsoft Purview 信息保护中的敏感度标签时,此筛选器才会显示信息。 |
设备组 | 指定 设备组 名称。 |
OS 平台 | 指定设备操作系统。 |
分类 | 指定相关警报的分类集。 |
自动调查状态 | 指定自动调查的状态。 |
关联的威胁 | 指定命名威胁。 |
警报策略 | 指定警报策略标题。 |
警报订阅 ID | 根据订阅 ID 指定警报。 |
默认筛选器显示状态为 “新建 ”和“ 正在进行” 且严重性为 “高”、“ 中”或“ 低”的所有警报和事件。
可以通过在筛选器列表中的筛选器名称中选择 X 来快速删除 筛选器 。
还可以通过选择“保存的筛选器查询>”“创建筛选器集”,在“事件”页中创建筛选器集。 如果未创建筛选器集,请选择“ 保存” 以创建一个筛选器集。
注意
Microsoft Defender XDR 客户现在可以使用警报来筛选事件,这些警报:通过 Microsoft Defender for IoT 和 Microsoft Defender for Endpoint 的设备发现集成, (OT) 连接到企业网络的设备通信。 若要筛选这些事件,请在服务/检测源中选择“ 任何 ”,然后在“产品名称”中选择 “Microsoft Defender for IoT ”,或者在 Defender 门户中查看“调查 Microsoft Defender for IoT 中的事件和警报”。 还可以使用设备组筛选特定于站点的警报。 有关 Defender for IoT 先决条件的详细信息,请参阅 Microsoft Defender XDR 中的企业 IoT 监视入门。
将自定义筛选器另存为 URL
在事件队列中配置了有用的筛选器后,可以将浏览器选项卡的 URL 加入书签,或者将其另存为网页、Word 文档或所选位置上的链接。 使用书签可以单击一次访问事件队列的关键视图,例如:
- 新事件
- 高严重性事件
- 未分配的事件
- 高严重性、未分配的事件
- 分配给我的事件
- 分配给我和 Microsoft Defender for Endpoint 的事件
- 具有特定标记的事件
- 具有特定威胁类别的事件
- 具有特定关联威胁的事件
- 具有特定参与者的事件
将有用的筛选器视图列表编译并存储为 URL 后,请使用它快速处理队列中的事件并设置其优先级,并 对其进行管理 以供后续分配和分析。
搜索
在事件列表上方的 “搜索名称或 ID ”框中,可以通过多种方式搜索事件,以快速找到要查找的内容。
按事件名称或 ID 搜索
通过键入事件 ID 或事件名称直接搜索事件。 从搜索结果列表中选择事件时,Microsoft Defender 门户将打开一个新选项卡,其中包含事件属性,可从中开始 调查。
按受影响的资产搜索
可以命名资产(例如用户、设备、邮箱、应用程序名称或云资源),并查找与该资产相关的所有事件。
指定时间范围
默认的事件列表适用于过去六个月内发生的事件。 可以通过选择日历图标旁边的下拉框中指定新的时间范围:
- 一天
- 三天
- 一周
- 30 天
- 30 天
- 6 个月
- 可在其中指定日期和时间的自定义范围
后续步骤
确定哪个事件需要最高优先级后,选择它并:
另请参阅
提示
想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区。