在 Microsoft Defender XDR 中触发警报时,自动调查和响应 (AIR) 开始并跨组织的订阅进行搜寻,确定威胁的影响和范围,并将信息整理到单个事件中,以便管理员不必管理多个事件。
所需内容
- Microsoft Defender for Office 365计划 2 或更高版本
- 足够的权限 (安全读取者、安全操作或安全管理员,以及 搜索和清除 角色)
设置 & 管理事件的优先级
导航到安全门户“事件”页 https://security.microsoft.com/incidents。
加载“事件”页时,可以通过单击列对操作进行排序或按筛选器来应用数据源、标记或状态等筛选器,从而筛选和设置优先级。
现在,你已获得事件优先级列表,可以通过“ 管理事件 ”按钮选择重命名、分配、分类、标记、更改状态或添加注释。
使用筛选器确保包含Microsoft Defender for Office 365项。
如果要查找特定警报,请使用事件搜索功能 (搜索 名称或 ID) ,或者考虑对特定警报使用警报队列筛选。
调查 & 响应事件
确定事件队列的优先级后,选择要调查的事件以加载事件“概述”页。 你将看到有用的信息,例如 MITRE ATT&观察到的 CK 技术以及攻击时间线。
事件页面顶部的选项卡可用于浏览更多详细信息,例如受影响的用户、邮箱、终结点等。
“ 证据和响应 ”选项卡显示通过调查确定为与原始警报相关的项。
在证据和响应中显示为 “挂起操作” 的任何项正在等待管理员的批准。 建议按 “所有证据” 视图中的修正状态列排序,然后单击实体或群集以加载浮出控件菜单,然后可以根据需要批准操作。
如果需要进一步了解所涉及的项,可以使用事件图查看相关证据和实体的可视链接。 或者,可以查看基础调查,其中显示了安全事件中涉及的更多实体和项。
后续步骤
如果想要专注于 AIR 需要审批的操作项,则可以开始使用 操作中心 处理组织中所有事件的挂起操作项。
更多信息
在 Microsoft Defender XDR 中管理事件 |Microsoft Docs。