分享方式:


在 Microsoft Defender 入口網站中排定事件的優先順序

Microsoft Defender 入口網站中的統一安全性作業平臺會套用相互關聯分析,並將相關警示和自動化調查從不同的產品匯總到事件中。 Microsoft Sentinel 和 Defender XDR 也會針對活動觸發唯一的警示,這些活動只能識別為惡意,因為在整個產品套件的整合平臺中具有端對端可見性。 此檢視可為您的安全性分析師提供更廣泛的攻擊案例,協助他們進一步瞭解及處理整個組織的複雜威脅。

重要事項

Microsoft Sentinel 現在已在 Microsoft Defender 入口網站的Microsoft統一安全性作業平臺內正式推出。 如需詳細資訊, 請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel

事件佇列

事件佇列會顯示跨裝置、使用者、信箱和其他資源建立的事件集合。 它可協助您排序事件,以排定優先順序並建立明智的網路安全性回應決策,也就是稱為事件分級的程式。

您可以在 Microsoft Defender 入口網站快速啟動時,從事件 & 警示>事件進入事件佇列。 以下為範例。

Microsoft Defender 入口網站中事件佇列的螢幕快照。

取 [最近的事件和警示] 以切換頂端區段的擴充,其中顯示過去 24 小時內收到的警示數目和建立事件的時程表圖表。

24小時事件圖表的螢幕快照。

下面,Microsoft Defender 入口網站中的事件佇列會顯示過去六個月內所見的事件。 您可以從頂端的下拉式清單中選取它,以選擇不同的時間範圍。 事件會根據事件的最新自動或手動更新進行排列。 您可以依 上次更新時間 數據行來排列事件,以根據最新的自動或手動更新來檢視事件。

事件佇列具有可自定義的數據行,可讓您瞭解事件或受影響實體的不同特性。 此篩選可協助您針對事件的優先順序做出明智的決策以進行分析。 選 取[自訂資料行] ,以根據您慣用的檢視執行下列自訂:

  • 檢查/取消核取您想要在事件佇列中看到的數據行。
  • 拖曳數據行來排列數據行的順序。

事件頁面篩選和數據行控件的螢幕快照。

事件名稱

如需一目了然,Microsoft Defender XDR 會根據警示屬性自動產生事件名稱,例如受影響的端點數目、受影響的使用者、偵測來源或類別。 此特定命名可讓您快速瞭解事件的範圍。

例如: 多個來源所報告之多個端點上的多階段事件。

如果您已將 Microsoft Sentinel 上線至統一的安全性作業平臺,則來自 Microsoft Sentinel 的任何警示和事件可能會變更其名稱 (無論這些警示和事件是在上線) 之前或之後建立的。

建議您避免使用事件名稱作為觸發 自動化規則的條件。 如果事件名稱是條件,且事件名稱變更,則不會觸發規則。

過濾器

事件佇列也提供多個篩選選項,當套用時,可讓您對環境中的所有現有事件執行廣泛的掃掠,或決定專注於特定案例或威脅。 在事件佇列套用篩選可協助判斷哪個事件需要立即處理。

事件清單上方的 [ 篩選 ] 列表會顯示目前套用的篩選條件。

從預設事件佇列中,您可以選取 [ 新增篩選 ] 以查看 [ 新增篩選 ] 下拉式清單,從中指定要套用至事件佇列的篩選條件,以限制顯示的事件集。 以下為範例。

Microsoft Defender 入口網站中事件佇列的 [篩選] 窗格。

選取您想要使用的篩選條件,然後選取清單底部的 [ 新增 ],使其可供使用。

現在,您選取的篩選條件會與現有套用的篩選一起顯示。 選取新的篩選條件以指定其條件。 例如,如果您選擇「服務/偵測來源」篩選條件,請選取它以選擇要篩選清單的來源。

您也可以在事件清單上方的 [篩選] 列表中選取任何篩選條件,以查看 [篩選] 窗格。

下表列出可用的篩選名稱。

篩選名稱 描述/條件
狀態 選取 [新增]、[ 進行中] 或 [ 已解決]
警示嚴重性
事件嚴重性
警示或事件的嚴重性表示其可能對您的資產造成的影響。 嚴重性越高,影響就越大,通常需要立即注意。 選取 [高]、 [中]、[ ] 或 [ 資訊]
事件指派 選取指派的用戶或使用者。
多個服務來源 指定篩選是否適用於多個服務來源。
服務/偵測來源 指定包含下列一或多個警示的事件:
  • 適用於身分識別的 Microsoft Defender
  • Microsoft 雲端 App 安全性
  • 適用於端點的 Microsoft Defender
  • Microsoft Defender XDR
  • 適用於 Office 365 的 Microsoft Defender
  • 應用程式控管
  • Microsoft Entra ID Protection
  • Microsoft數據外洩防護
  • 適用於雲端的 Microsoft Defender
  • Microsoft Sentinel

    您可以在功能表中展開其中許多服務,以顯示指定服務內偵測來源的進一步選擇。
  • 標記 從清單中選取一或多個標籤名稱。
    多個類別 指定篩選是否適用於多個類別。
    Categories 選擇類別以專注於特定的策略、技巧或攻擊元件。
    Entities 指定資產的名稱,例如使用者、裝置、信箱或應用程式名稱。
    資料敏感度 某些攻擊鎖定外洩機密敏感性資料或重要資料。 藉由套用特定敏感度標籤的篩選,您可以快速判斷敏感性資訊是否可能遭到入侵,並優先處理這些事件。

    只有當您已 套用 Purview 資訊保護Microsoft敏感度標籤時,此篩選才會顯示資訊。
    裝置群組 指定 裝置組 名。
    作業系統平台 指定裝置作業系統。
    分類 指定相關警示的分類集。
    自動化調查狀態 指定自動化調查的狀態。
    相關聯的威脅 指定具名威脅。
    警示原則 指定警示原則標題。
    警示訂用帳戶標識碼 根據訂用帳戶標識元指定警示。

    默認篩選條件是顯示狀態為 [新增 ] 和 [ 進行中 ] 且嚴重性為 [高]、[ 中] 或 [ ] 的所有警示和事件。

    您可以在 [篩選] 列表中選取篩選名稱中的 X ,以快速移除 篩選

    您也可以選取 [儲存的篩選查詢>][建立篩選集],在事件頁面內建立篩選集。 如果尚未建立任何篩選集,請選取 [ 儲存 ] 來建立篩選集。

    建立篩選器會在 Microsoft Defender 入口網站中設定事件佇列的選項。

    注意事項

    Microsoft Defender XDR 客戶現在可以透過適用於 IoT 的 Microsoft Defender 和適用於端點的 Microsoft Defender 的裝置探索整合,來篩選遭入侵裝置與操作技術通訊的事件, (OT) 裝置連線到企業網路。 若要篩選這些事件,請選取 [服務/偵測來源] 中的 [ 任何 ],然後在 [產品名稱] 中選 取 [適用於 IoT 的 Microsoft Defender ],或參閱在 Defender 入口網站 中調查適用於 IoT 的 Microsoft Defender 中的事件和警示。 您也可以使用裝置群組來篩選網站特定警示。 如需適用於IoT的Defender必要條件的詳細資訊,請 參閱在 Microsoft Defender XDR 中開始使用企業IoT監視

    將自訂篩選儲存為 URL

    在事件佇列中設定有用的篩選之後,您可以將瀏覽器索引標籤的 URL 設定為書籤,或將它儲存為網頁、Word 檔或您選擇的位置上的連結。 書籤可讓您按兩下即可存取事件佇列的重要檢視,例如:

    • 新事件
    • 高嚴重性事件
    • 未指派的事件
    • 高嚴重性、未指派的事件
    • 指派給我的事件
    • 指派給我和適用於 Microsoft Defender for Endpoint 的事件
    • 具有特定標籤或標籤的事件
    • 具有特定威脅類別的事件
    • 具有特定相關威脅的事件
    • 具有特定動作專案的事件

    編譯並儲存有用的篩選檢視清單作為 URL 之後,請使用它來快速處理並排定佇列中事件的優先順序,並 管理 這些事件以進行後續指派和分析。

    從事件清單上方的 [搜尋名稱或標識 符] 方塊中,您可以透過數種方式搜尋事件,以快速找出您要尋找的專案。

    依事件名稱或標識子搜尋

    輸入事件標識碼或事件名稱,直接搜尋事件。 當您從搜尋結果清單中選取事件時,Microsoft Defender 入口網站會開啟具有事件屬性的新索引標籤,您可以從中開始 調查

    依受影響的資產進行搜尋

    您可以為資產命名,例如使用者、裝置、信箱、應用程式名稱或雲端資源,並尋找與該資產相關的所有事件。

    指定時間範圍

    事件的預設清單適用於過去六個月內發生的事件。 您可以選取下拉式方塊,從行事歷圖示旁的下拉式方塊指定新的時間範圍:

    • 一天
    • 三天
    • 一星期
    • 30 天
    • 30 天
    • 六個月
    • 您可以在其中指定日期和時間的自訂範圍

    後續步驟

    在您判斷哪一個事件需要最高優先順序之後,請選取它,然後:

    • 管理 事件的屬性,以取得標記、指派、誤判事件的立即解決方式,以及批註。
    • 開始 您的調查

    另請參閱

    提示

    想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群