分享方式:


在 Microsoft Defender 中管理事件

事件管理對於確保事件的命名、指派和標記非常重要,以優化事件工作流程中的時間,並更快速地包含和解決威脅。

您可以在快速啟動 Microsoft Defender 入口網站 (security.microsoft.com) 時,從事件 & 警示>事件管理事件。 以下為範例。

螢幕快照,醒目提示 Microsoft Defender 入口網站中事件佇列和快速啟動窗格內的 [管理事件] 選項。

以下是您可以管理事件的方式:

您可以從事件的 [管理事件]窗格管理事件。 以下為範例。

顯示 Microsoft Defender 入口網站中 [管理事件] 窗格的螢幕快照。

您可以從下列上的 [ 管理事件 ] 連結顯示此窗格:

  • 警示劇本 頁面。
  • 事件佇列中事件的 [屬性] 窗格。
  • 事件的摘要頁面。
  • 管理位於 [事件] 頁面右上角的事件選項。

如果您想要將警示從一個事件移到另一個事件,您也可以從 [ 警示] 索 引卷標執行此動作,進而建立包含所有相關警示的較大或較小的事件。

編輯事件名稱

Microsoft Defender 會根據警示屬性自動指派名稱,例如受影響的端點數目、受影響的使用者、偵測來源或類別。 事件名稱可讓您快速瞭解事件的範圍。 例如: 多個來源所報告之多個端點上的多階段事件。

您可以從 [管理事件] 窗格的 [ 事件名稱 ] 字段編輯 事件 名稱。

注意事項

在自動事件命名功能推出之前存在的事件將會保留其名稱。

指派或變更事件嚴重性

您可以從 [管理事件] 窗格的 [ 嚴重性 ] 字段指派或變更 事件 的嚴重性。 事件的嚴重性取決於與其相關聯之警示的最高嚴重性。 事件的嚴重性可以設定為資訊。

新增事件標籤

您可以為事件新增自訂標籤,例如使用常見特性來標記一組事件。 您可以稍後篩選包含特定標籤的所有事件的事件佇列。

開始輸入之後,就會出現從先前使用和選取的標籤清單中選取的選項。

事件可以有具有特定色彩背景的系統標籤和/或自定義標籤。 自定義標記使用白色背景,而系統標記通常使用紅色或黑色背景色彩。 系統標籤會在事件中識別下列專案:

  • 種攻擊類型,例如認證網路釣魚或 BEC 詐騙
  • 自動動作,例如自動調查和回應,以及自動攻擊中斷
  • 處理事件的Defender專家
  • 事件涉及的重要資產

提示

Microsoft的 安全性暴露風險管理 會根據預先定義的分類,自動將裝置、身分識別和雲端資源標記為重要資產。 此現成功能可確保保護組織重要且最重要的資產。 它也可協助安全性作業小組排定調查和補救的優先順序。 深入瞭解 重要資產管理

指派事件

您可以選取 [ 指派給] 方塊,並指定要指派事件的用戶帳戶。 若要重新指派事件,請選取帳戶名稱旁邊的 「x」 來移除目前的指派帳戶,然後選取 [ 指派給] 方塊。 指派事件的擁有權會將相同的擁有權指派給與其相關聯的所有警示。

您可以篩選事件佇列,以取得指派給您的事件清單。

  1. 從事件佇列中,選取 [ 篩選]
  2. 在 [ 事件指派] 區段中,清除 [全選]。 選 取 [指派給我][指派給另一個使用者] 或 [ 指派給使用者群組]
  3. 取 [套用],然後關閉 [ 篩選] 窗格。

然後,您可以將產生的 URL 儲存在瀏覽器中作為書籤,以快速查看指派給您的事件清單。

解決事件

補救並解決事件時,請從 [狀態] 下拉式清單中選取 [解決]。 解決事件也會解決與事件相關的所有連結和作用中警示。

當您將事件的狀態變更為 [ 已解決] 時,[ 狀態] 字 段後面會立即顯示新的欄位。 在此欄位中輸入注意事項,說明為何您認為事件已解決。 此附注會顯示在事件的活動記錄檔中,靠近記錄事件解決方式的專案。

事件管理面板的螢幕快照,其中包含事件解決注意事項。

在事件佇列頁面和已解決事件的事件頁面上,您可以在側邊面板的 [事件 詳細數據 ] 區段中看到事件解決注意事項。

事件詳細數據面板中解決方案附註外觀的螢幕快照。

解決事件也會解決與事件相關的所有連結和作用中警示。 未解決的事件會顯示為 [作用中]

指定分類

從 [ 分類] 欄位中,指定事件是否為:

  • 未設定 (預設) 。
  • 確判 為威脅類型。 針對精確指出實際威脅的事件,請使用此分類。 指定威脅類型可協助您的安全性小組查看威脅模式,並採取行動以為組織防禦該威脅。
  • 具有活動類型的資訊、預期活動。 使用此類別中的選項來分類安全性測試、紅色小組活動的事件,以及信任的應用程式和使用者預期的異常行為。
  • 您判斷的事件類型為判,可能會因為技術上不正確或誤導而予以忽略。

分類事件並指定事件的狀態和類型,有助於微調 Microsoft Defender 全面偵測回應,以提供一段時間的更佳偵測判斷。

新增註解

您可以使用 [ 批注 ] 字段,將多個批註新增至事件。 批註欄位支援文字和格式設定、連結和影像。 每個批注限制為 30,000 個字元。

所有批注都會新增至事件的歷史事件。 您可以從 [摘要] 頁面上的 [批注和歷程記錄] 連結查看事件的批注和歷程記錄。

活動記錄

活動 記錄 會顯示對事件執行的所有批注和動作清單,稱為 稽核和批注。 無論是由使用者或系統對事件所做的所有變更,都會記錄在活動記錄中。 活動記錄可從事件頁面或事件端窗格上的 [ 活動記錄 ] 選項取得。

螢幕快照,醒目提示 Microsoft Defender 入口網站中事件頁面的活動記錄選項。

您可以依批注和動作篩選記錄檔內的活動。 按兩下 [ 內容:稽核]、[批注], 然後選取要篩選活動的內容類型。 以下為範例。

螢幕快照,醒目提示 Microsoft Defender 入口網站中事件頁面中活動記錄窗格內的篩選選項。

您也可以使用活動記錄內可用的批注方塊來新增自己的批注。 批注方塊接受文字和格式設定、連結和影像。

螢幕快照,醒目提示 Microsoft Defender 入口網站中事件頁面的批注方塊。

將事件數據匯出至 PDF

重要事項

本文中的部分資訊與發行前版本產品有關,在產品正式發行前可能會大幅度修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。

匯出事件數據功能目前可供 Microsoft Defender 全面偵測回應 和Microsoft統一安全性作業中心 (SOC) 具有安全性授權 Microsoft Copilot 的平台客戶使用。

您可以透過將事件匯出 為 PDF 函式,將事件的數據匯出至 PDF,並將其儲存為 PDF 格式。 此函式可讓安全性小組在任何指定時間離線檢閱事件的詳細數據。

匯出的事件資料包含下列資訊:

以下是匯出的 PDF 範例:

匯出 PDF 第一頁的螢幕快照。

如果您有 Copilot for Security 授權,導出的 PDF 會包含下列其他事件數據:

匯出至 PDF 函式也可在 Copilot 側邊面板中取得。 當您在事件報告結果卡片右上角選取 [ 其他動作 ] 省略號 (...) 時,可以選擇 [將 事件匯出為 PDF]

事件報告結果卡片中其他動作的螢幕擷取畫面。

若要產生 PDF,請執行下列步驟:

  1. 開啟事件頁面。 選取右上角的 [ 其他動作 ] 省略號 (...) ,然後選擇 [將 事件匯出為 PDF]

    醒目提示事件頁面上 [更多動作] 省略號的螢幕快照。

  2. 在接下來出現的對話框中,確認您想要在 PDF 中包含或排除的事件資訊。 默認會選取所有事件資訊。 選 取 [匯出 PDF ] 繼續進行。

    醒目提示 [將事件匯出至 PDF] 選項的螢幕快照。

  3. 事件標題下方會出現狀態消息,指出下載的目前狀態。 視事件的複雜度和要匯出的數據量而定,匯出程式可能需要幾分鐘的時間。

    醒目提示下載前匯出訊息和狀態的螢幕快照。

  4. 另一個對話框隨即出現,指出 PDF 已就緒。 從對話框中選取 [ 下載 ],將 PDF 儲存到您的裝置。 事件標題下方的狀態消息也會更新,以指出下載可供使用。

    螢幕快照,醒目提示可下載時的導出訊息和狀態。

報表會快取幾分鐘。 如果您嘗試在短時間內再次匯出相同的事件,系統會提供先前產生的 PDF。 若要產生較新版本的 PDF,請等候幾分鐘讓快取過期。

後續步驟

針對新的事件,請開始 調查

針對處理中事件,請繼續 調查

針對已解決的事件,請執行 事件後檢閱

另請參閱

提示

想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群