在 Microsoft Defender入口網站中排定事件的優先順序

Microsoft Defender 入口網站中的統一安全性作業平臺會套用相互關聯分析,並將相關警示和自動化調查從不同的產品匯總到事件中。 Microsoft Sentinel 和 Defender 全面偵測回應 也會觸發活動的唯一警示,這些活動只有在整合平臺中整個產品套件的端對端可見性時,才能識別為惡意。 此檢視可為您的安全性分析師提供更廣泛的攻擊案例,協助他們進一步瞭解及處理整個組織的複雜威脅。

重要

Microsoft Sentinel Microsoft Defender 入口網站中Microsoft統一安全性作業平臺內正式推出。 如需預覽,Microsoft Sentinel 可在Defender入口網站中取得,而不需要 Microsoft Defender 全面偵測回應 或E5授權。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel

事件佇列

事件佇列會顯示跨裝置、使用者、信箱和其他資源建立的事件集合。 它可協助您排序事件,以排定優先順序並建立明智的網路安全性回應決策,也就是稱為事件分級的程式。

您可以在 Microsoft Defender 入口網站快速啟動時,從事件 & 警示>事件進入事件佇列。 以下為範例。

Microsoft Defender 入口網站中事件佇列的螢幕快照。

取 [最近的事件和警示] 以切換頂端區段的擴充,其中顯示過去 24 小時內收到的警示數目和建立事件的時程表圖表。

24小時事件圖表的螢幕快照。

下面,Microsoft Defender 入口網站中的事件佇列會顯示過去六個月內所見的事件。 您可以從頂端的下拉式清單中選取它,以選擇不同的時間範圍。 事件會根據事件的最新自動或手動更新進行排列。 您可以依 上次更新時間 數據行來排列事件,以根據最新的自動或手動更新來檢視事件。

事件佇列具有可自定義的數據行,可讓您瞭解事件或受影響實體的不同特性。 此篩選可協助您針對事件的優先順序做出明智的決策以進行分析。 選 取[自訂資料行] ,以根據您慣用的檢視執行下列自訂:

  • 檢查/取消核取您想要在事件佇列中看到的數據行。
  • 拖曳數據行來排列數據行的順序。

事件頁面篩選和數據行控件的螢幕快照。

事件名稱

如需一目了然,Microsoft Defender 全面偵測回應 會根據警示屬性自動產生事件名稱,例如受影響的端點數目、受影響的使用者、偵測來源或類別。 此特定命名可讓您快速瞭解事件的範圍。

例如: 多個來源所報告之多個端點上的多階段事件。

如果您已將 Microsoft Sentinel 上線至統一安全性作業平臺,則來自 Microsoft Sentinel的任何警示和事件可能會變更其名稱 (不論這些警示和事件是在上線) 之前或之後建立的。

建議您避免使用事件名稱作為觸發 自動化規則的條件。 如果事件名稱是條件,且事件名稱變更,則不會觸發規則。

過濾器

事件佇列也提供多個篩選選項,當套用時,可讓您對環境中的所有現有事件執行廣泛的掃掠,或決定專注於特定案例或威脅。 在事件佇列套用篩選可協助判斷哪個事件需要立即處理。

事件清單上方的 [ 篩選 ] 列表會顯示目前套用的篩選條件。

從預設事件佇列中,您可以選取 [ 新增篩選 ] 以查看 [ 新增篩選 ] 下拉式清單,從中指定要套用至事件佇列的篩選條件,以限制顯示的事件集。 以下為範例。

Microsoft Defender 入口網站中事件佇列的 [篩選] 窗格。

選取您想要使用的篩選條件,然後選取清單底部的 [ 新增 ],使其可供使用。

現在,您選取的篩選條件會與現有套用的篩選一起顯示。 選取新的篩選條件以指定其條件。 例如,如果您選擇「服務/偵測來源」篩選條件,請選取它以選擇要篩選清單的來源。

您也可以在事件清單上方的 [篩選] 列表中選取任何篩選條件,以查看 [篩選] 窗格。

下表列出可用的篩選名稱。

篩選名稱 描述/條件
狀態 選取 [新增]、[ 進行中] 或 [ 已解決]
警示嚴重性
事件嚴重性
警示或事件的嚴重性表示其可能對您的資產造成的影響。 嚴重性越高,影響就越大,通常需要立即注意。 選取 [高]、 [中]、[ ] 或 [ 資訊]
事件指派 選取指派的用戶或使用者。
多個服務來源 指定篩選是否適用於多個服務來源。
服務/偵測來源 指定包含下列一或多個警示的事件:
  • 適用於身分識別的 Microsoft Defender
  • Microsoft 雲端 App 安全性
  • 適用於端點的 Microsoft Defender
  • Microsoft Defender XDR
  • 適用於 Office 365 的 Microsoft Defender
  • 應用程式控管
  • Microsoft Entra ID Protection
  • Microsoft數據外洩防護
  • 適用於雲端的 Microsoft Defender
  • Microsoft Sentinel

    您可以在功能表中展開其中許多服務,以顯示指定服務內偵測來源的進一步選擇。
  • 標記 從清單中選取一或多個標籤名稱。
    多個類別 指定篩選是否適用於多個類別。
    Categories 選擇類別以專注於特定的策略、技巧或攻擊元件。
    Entities 指定資產的名稱,例如使用者、裝置、信箱或應用程式名稱。
    資料敏感度 某些攻擊鎖定外洩機密敏感性資料或重要資料。 藉由套用特定敏感度標籤的篩選,您可以快速判斷敏感性資訊是否可能遭到入侵,並優先處理這些事件。

    只有當您已從 Microsoft Purview 資訊保護 套用敏感度標籤時,此篩選才會顯示資訊。
    裝置群組 指定 裝置組 名。
    作業系統平台 指定裝置作業系統。
    分類 指定相關警示的分類集。
    自動化調查狀態 指定自動化調查的狀態。
    相關聯的威脅 指定具名威脅。
    警示原則 指定警示原則標題。
    警示訂用帳戶標識碼 根據訂用帳戶標識元指定警示。

    默認篩選條件是顯示狀態為 [新增 ] 和 [ 進行中 ] 且嚴重性為 [高]、[ 中] 或 [ ] 的所有警示和事件。

    您可以在 [篩選] 列表中選取篩選名稱中的 X ,以快速移除 篩選

    您也可以選取 [儲存的篩選查詢>][建立篩選集],在事件頁面內建立篩選集。 如果尚未建立任何篩選集,請選取 [ 儲存 ] 來建立篩選集。

    Microsoft Defender 入口網站中事件佇列的 [建立篩選器設定] 選項。

    注意

    Microsoft Defender 全面偵測回應 客戶現在可以透過IoT Microsoft Defender的裝置探索整合,來篩選遭入侵裝置與操作技術通訊的事件, (OT) 連線到企業網路的裝置,以及適用於端點的 Microsoft Defender。 若要篩選這些事件,請選取 [服務/偵測來源] 中的 [任何],然後在 [產品名稱] 中選取 [IoT 的 Microsoft Defender],或參閱在 Defender 入口網站中調查 IoT Microsoft Defender 中的事件和警示。 您也可以使用裝置群組來篩選網站特定警示。 如需適用於IoT的Defender必要條件的詳細資訊,請參閱在 Microsoft Defender 全面偵測回應中開始使用企業IoT監視

    將自訂篩選儲存為 URL

    在事件佇列中設定有用的篩選之後,您可以將瀏覽器索引標籤的 URL 設定為書籤,或將它儲存為網頁、Word 檔或您選擇的位置上的連結。 書籤可讓您按兩下即可存取事件佇列的重要檢視,例如:

    • 新事件
    • 高嚴重性事件
    • 未指派的事件
    • 高嚴重性、未指派的事件
    • 指派給我的事件
    • 指派給我和用於 適用於端點的 Microsoft Defender 的事件
    • 具有特定標籤或標籤的事件
    • 具有特定威脅類別的事件
    • 具有特定相關威脅的事件
    • 具有特定動作專案的事件

    編譯並儲存有用的篩選檢視清單作為 URL 之後,請使用它來快速處理並排定佇列中事件的優先順序,並 管理 這些事件以進行後續指派和分析。

    從事件清單上方的 [搜尋名稱或標識 符] 方塊中,您可以透過數種方式搜尋事件,以快速找出您要尋找的專案。

    依事件名稱或標識子搜尋

    輸入事件標識碼或事件名稱,直接搜尋事件。 當您從搜尋結果清單中選取事件時,Microsoft Defender 入口網站會開啟具有事件屬性的新索引標籤,您可以從中開始調查

    依受影響的資產進行搜尋

    您可以為資產命名,例如使用者、裝置、信箱、應用程式名稱或雲端資源,並尋找與該資產相關的所有事件。

    指定時間範圍

    事件的預設清單適用於過去六個月內發生的事件。 您可以選取下拉式方塊,從行事歷圖示旁的下拉式方塊指定新的時間範圍:

    • 一天
    • 三天
    • 一星期
    • 30 天
    • 30 天
    • 六個月
    • 您可以在其中指定日期和時間的自訂範圍

    後續步驟

    在您判斷哪一個事件需要最高優先順序之後,請選取它,然後:

    • 管理 事件的屬性,以取得標記、指派、誤判事件的立即解決方式,以及批註。
    • 開始 您的調查

    另請參閱

    提示

    想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群