訓練
認證
Microsoft Certified: Security Operations Analyst Associate - Certifications
使用 Microsoft Sentinel、適用於雲端的 Microsoft Defender 和 Microsoft 365 Defender 調查、搜尋及降低威脅。
Microsoft Defender 入口網站中的統一安全性作業平臺會套用相互關聯分析,並將相關警示和自動化調查從不同的產品匯總到事件中。 Microsoft Sentinel 和 Defender 全面偵測回應 也會觸發活動的唯一警示,這些活動只有在整合平臺中整個產品套件的端對端可見性時,才能識別為惡意。 此檢視可為您的安全性分析師提供更廣泛的攻擊案例,協助他們進一步瞭解及處理整個組織的複雜威脅。
重要
Microsoft Sentinel Microsoft Defender 入口網站中Microsoft統一安全性作業平臺內正式推出。 如需預覽,Microsoft Sentinel 可在Defender入口網站中取得,而不需要 Microsoft Defender 全面偵測回應 或E5授權。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
事件佇列會顯示跨裝置、使用者、信箱和其他資源建立的事件集合。 它可協助您排序事件,以排定優先順序並建立明智的網路安全性回應決策,也就是稱為事件分級的程式。
您可以在 Microsoft Defender 入口網站快速啟動時,從事件 & 警示>事件進入事件佇列。 以下為範例。
選 取 [最近的事件和警示] 以切換頂端區段的擴充,其中顯示過去 24 小時內收到的警示數目和建立事件的時程表圖表。
下面,Microsoft Defender 入口網站中的事件佇列會顯示過去六個月內所見的事件。 您可以從頂端的下拉式清單中選取它,以選擇不同的時間範圍。 事件會根據事件的最新自動或手動更新進行排列。 您可以依 上次更新時間 數據行來排列事件,以根據最新的自動或手動更新來檢視事件。
事件佇列具有可自定義的數據行,可讓您瞭解事件或受影響實體的不同特性。 此篩選可協助您針對事件的優先順序做出明智的決策以進行分析。 選 取[自訂資料行] ,以根據您慣用的檢視執行下列自訂:
如需一目了然,Microsoft Defender 全面偵測回應 會根據警示屬性自動產生事件名稱,例如受影響的端點數目、受影響的使用者、偵測來源或類別。 此特定命名可讓您快速瞭解事件的範圍。
例如: 多個來源所報告之多個端點上的多階段事件。
如果您已將 Microsoft Sentinel 上線至統一安全性作業平臺,則來自 Microsoft Sentinel的任何警示和事件可能會變更其名稱 (不論這些警示和事件是在上線) 之前或之後建立的。
建議您避免使用事件名稱作為觸發 自動化規則的條件。 如果事件名稱是條件,且事件名稱變更,則不會觸發規則。
事件佇列也提供多個篩選選項,當套用時,可讓您對環境中的所有現有事件執行廣泛的掃掠,或決定專注於特定案例或威脅。 在事件佇列套用篩選可協助判斷哪個事件需要立即處理。
事件清單上方的 [ 篩選 ] 列表會顯示目前套用的篩選條件。
從預設事件佇列中,您可以選取 [ 新增篩選 ] 以查看 [ 新增篩選 ] 下拉式清單,從中指定要套用至事件佇列的篩選條件,以限制顯示的事件集。 以下為範例。
選取您想要使用的篩選條件,然後選取清單底部的 [ 新增 ],使其可供使用。
現在,您選取的篩選條件會與現有套用的篩選一起顯示。 選取新的篩選條件以指定其條件。 例如,如果您選擇「服務/偵測來源」篩選條件,請選取它以選擇要篩選清單的來源。
您也可以在事件清單上方的 [篩選] 列表中選取任何篩選條件,以查看 [篩選] 窗格。
下表列出可用的篩選名稱。
篩選名稱 | 描述/條件 |
---|---|
狀態 | 選取 [新增]、[ 進行中] 或 [ 已解決]。 |
警示嚴重性 事件嚴重性 |
警示或事件的嚴重性表示其可能對您的資產造成的影響。 嚴重性越高,影響就越大,通常需要立即注意。 選取 [高]、 [中]、[ 低] 或 [ 資訊]。 |
事件指派 | 選取指派的用戶或使用者。 |
多個服務來源 | 指定篩選是否適用於多個服務來源。 |
服務/偵測來源 | 指定包含下列一或多個警示的事件: 您可以在功能表中展開其中許多服務,以顯示指定服務內偵測來源的進一步選擇。 |
標記 | 從清單中選取一或多個標籤名稱。 |
多個類別 | 指定篩選是否適用於多個類別。 |
Categories | 選擇類別以專注於特定的策略、技巧或攻擊元件。 |
Entities | 指定資產的名稱,例如使用者、裝置、信箱或應用程式名稱。 |
資料敏感度 | 某些攻擊鎖定外洩機密敏感性資料或重要資料。 藉由套用特定敏感度標籤的篩選,您可以快速判斷敏感性資訊是否可能遭到入侵,並優先處理這些事件。 只有當您已從 Microsoft Purview 資訊保護 套用敏感度標籤時,此篩選才會顯示資訊。 |
裝置群組 | 指定 裝置組 名。 |
作業系統平台 | 指定裝置作業系統。 |
分類 | 指定相關警示的分類集。 |
自動化調查狀態 | 指定自動化調查的狀態。 |
相關聯的威脅 | 指定具名威脅。 |
警示原則 | 指定警示原則標題。 |
警示訂用帳戶標識碼 | 根據訂用帳戶標識元指定警示。 |
默認篩選條件是顯示狀態為 [新增 ] 和 [ 進行中 ] 且嚴重性為 [高]、[ 中] 或 [ 低] 的所有警示和事件。
您可以在 [篩選] 列表中選取篩選名稱中的 X ,以快速移除 篩選 。
您也可以選取 [儲存的篩選查詢>][建立篩選集],在事件頁面內建立篩選集。 如果尚未建立任何篩選集,請選取 [ 儲存 ] 來建立篩選集。
注意
Microsoft Defender 全面偵測回應 客戶現在可以透過IoT Microsoft Defender的裝置探索整合,來篩選遭入侵裝置與操作技術通訊的事件, (OT) 連線到企業網路的裝置,以及適用於端點的 Microsoft Defender。 若要篩選這些事件,請選取 [服務/偵測來源] 中的 [任何],然後在 [產品名稱] 中選取 [IoT 的 Microsoft Defender],或參閱在 Defender 入口網站中調查 IoT Microsoft Defender 中的事件和警示。 您也可以使用裝置群組來篩選網站特定警示。 如需適用於IoT的Defender必要條件的詳細資訊,請參閱在 Microsoft Defender 全面偵測回應中開始使用企業IoT監視。
在事件佇列中設定有用的篩選之後,您可以將瀏覽器索引標籤的 URL 設定為書籤,或將它儲存為網頁、Word 檔或您選擇的位置上的連結。 書籤可讓您按兩下即可存取事件佇列的重要檢視,例如:
編譯並儲存有用的篩選檢視清單作為 URL 之後,請使用它來快速處理並排定佇列中事件的優先順序,並 管理 這些事件以進行後續指派和分析。
從事件清單上方的 [搜尋名稱或標識 符] 方塊中,您可以透過數種方式搜尋事件,以快速找出您要尋找的專案。
輸入事件標識碼或事件名稱,直接搜尋事件。 當您從搜尋結果清單中選取事件時,Microsoft Defender 入口網站會開啟具有事件屬性的新索引標籤,您可以從中開始調查。
您可以為資產命名,例如使用者、裝置、信箱、應用程式名稱或雲端資源,並尋找與該資產相關的所有事件。
事件的預設清單適用於過去六個月內發生的事件。 您可以選取下拉式方塊,從行事歷圖示旁的下拉式方塊指定新的時間範圍:
在您判斷哪一個事件需要最高優先順序之後,請選取它,然後:
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。
訓練
認證
Microsoft Certified: Security Operations Analyst Associate - Certifications
使用 Microsoft Sentinel、適用於雲端的 Microsoft Defender 和 Microsoft 365 Defender 調查、搜尋及降低威脅。