在 Microsoft Defender 中管理事件
事件管理對於確保事件的命名、指派和標記非常重要,以優化事件工作流程中的時間,並更快速地包含和解決威脅。
您可以在快速啟動 Microsoft Defender 入口網站 (security.microsoft.com) 時,從事件 & 警示>事件管理事件。 以下為範例。
![螢幕快照,醒目提示 Microsoft Defender 入口網站中事件佇列和快速啟動窗格內的 [管理事件] 選項。](/zh-tw/defender/media/incidents-queue/fig1-manageincidents.png#lightbox)
以下是您可以管理事件的方式:
- 編輯事件名稱。
- 指派或變更嚴重性。
- 新增事件標籤。
- 將事件指派給用戶帳戶。
- 解決它們。
- 指定其分類。
- 新增批注。
- 評估活動稽核,並在 活動記錄中新增批注。
- 將事件數據匯出至 PDF。
您可以從事件的 [管理事件]窗格管理事件。 以下為範例。
![顯示 Microsoft Defender 入口網站中 [管理事件] 窗格的螢幕快照。](/zh-tw/defender/media/incidents-queue/fig2-new-manageincidents.png#lightbox)
您可以從下列上的 [ 管理事件 ] 連結顯示此窗格:
- 警示劇本 頁面。
- 事件佇列中事件的 [屬性] 窗格。
- 事件的摘要頁面。
- 管理位於 [事件] 頁面右上角的事件選項。
如果您想要將警示從一個事件移到另一個事件,您也可以從 [ 警示] 索 引卷標執行此動作,進而建立包含所有相關警示的較大或較小的事件。
編輯事件名稱
Microsoft Defender 會根據警示屬性自動指派名稱,例如受影響的端點數目、受影響的使用者、偵測來源或類別。 事件名稱可讓您快速瞭解事件的範圍。 例如: 多個來源所報告之多個端點上的多階段事件。
您可以從 [管理事件] 窗格的 [ 事件名稱 ] 字段編輯 事件 名稱。
注意事項
在自動事件命名功能推出之前存在的事件將會保留其名稱。
指派或變更事件嚴重性
您可以從 [管理事件] 窗格的 [ 嚴重性 ] 字段指派或變更 事件 的嚴重性。 事件的嚴重性取決於與其相關聯之警示的最高嚴重性。 事件的嚴重性可以設定為高、中、低或資訊。
新增事件標籤
您可以為事件新增自訂標籤,例如使用常見特性來標記一組事件。 您可以稍後篩選包含特定標籤的所有事件的事件佇列。
開始輸入之後,就會出現從先前使用和選取的標籤清單中選取的選項。
事件可以有具有特定色彩背景的系統標籤和/或自定義標籤。 自定義標記使用白色背景,而系統標記通常使用紅色或黑色背景色彩。 系統標籤會在事件中識別下列專案:
- 一 種攻擊類型,例如認證網路釣魚或 BEC 詐騙
- 自動動作,例如自動調查和回應,以及自動攻擊中斷
- 處理事件的Defender專家
- 事件涉及的重要資產
提示
Microsoft的 安全性暴露風險管理 會根據預先定義的分類,自動將裝置、身分識別和雲端資源標記為重要資產。 此現成功能可確保保護組織重要且最重要的資產。 它也可協助安全性作業小組排定調查和補救的優先順序。 深入瞭解 重要資產管理。
指派事件
您可以選取 [ 指派給] 方塊,並指定要指派事件的用戶帳戶。 若要重新指派事件,請選取帳戶名稱旁邊的 「x」 來移除目前的指派帳戶,然後選取 [ 指派給] 方塊。 指派事件的擁有權會將相同的擁有權指派給與其相關聯的所有警示。
您可以篩選事件佇列,以取得指派給您的事件清單。
- 從事件佇列中,選取 [ 篩選]。
- 在 [ 事件指派] 區段中,清除 [全選]。 選 取 [指派給我]、 [指派給另一個使用者] 或 [ 指派給使用者群組]。
- 選 取 [套用],然後關閉 [ 篩選] 窗格。
然後,您可以將產生的 URL 儲存在瀏覽器中作為書籤,以快速查看指派給您的事件清單。
解決事件
補救並解決事件時,請從 [狀態] 下拉式清單中選取 [已解決]。 解決事件也會解決與事件相關的所有連結和作用中警示。
當您將事件的狀態變更為 [ 已解決] 時,[ 狀態] 字 段後面會立即顯示新的欄位。 在此欄位中輸入注意事項,說明為何您認為事件已解決。 此附注會顯示在事件的活動記錄檔中,靠近記錄事件解決方式的專案。
在事件佇列頁面和已解決事件的事件頁面上,您可以在側邊面板的 [事件 詳細數據 ] 區段中看到事件解決注意事項。
解決事件也會解決與事件相關的所有連結和作用中警示。 未解決的事件會顯示為 [作用中]。
指定分類
從 [ 分類] 欄位中,指定事件是否為:
- 未設定 (預設) 。
- 確判 為威脅類型。 針對精確指出實際威脅的事件,請使用此分類。 指定威脅類型可協助您的安全性小組查看威脅模式,並採取行動以為組織防禦該威脅。
- 具有活動類型的資訊、預期活動。 使用此類別中的選項來分類安全性測試、紅色小組活動的事件,以及信任的應用程式和使用者預期的異常行為。
- 您判斷的事件類型為誤判,可能會因為技術上不正確或誤導而予以忽略。
分類事件並指定事件的狀態和類型,有助於微調 Microsoft Defender 全面偵測回應,以提供一段時間的更佳偵測判斷。
新增註解
您可以使用 [ 批注 ] 字段,將多個批註新增至事件。 批註欄位支援文字和格式設定、連結和影像。 每個批注限制為 30,000 個字元。
所有批注都會新增至事件的歷史事件。 您可以從 [摘要] 頁面上的 [批注和歷程記錄] 連結查看事件的批注和歷程記錄。
活動記錄
活動 記錄 會顯示對事件執行的所有批注和動作清單,稱為 稽核和批注。 無論是由使用者或系統對事件所做的所有變更,都會記錄在活動記錄中。 活動記錄可從事件頁面或事件端窗格上的 [ 活動記錄 ] 選項取得。
您可以依批注和動作篩選記錄檔內的活動。 按兩下 [ 內容:稽核]、[批注], 然後選取要篩選活動的內容類型。 以下為範例。
您也可以使用活動記錄內可用的批注方塊來新增自己的批注。 批注方塊接受文字和格式設定、連結和影像。
將事件數據匯出至 PDF
重要事項
本文中的部分資訊與發行前版本產品有關,在產品正式發行前可能會大幅度修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。
匯出事件數據功能目前可供 Microsoft Defender 全面偵測回應 和Microsoft統一安全性作業中心 (SOC) 具有安全性授權 Microsoft Copilot 的平台客戶使用。
您可以透過將事件匯出 為 PDF 函式,將事件的數據匯出至 PDF,並將其儲存為 PDF 格式。 此函式可讓安全性小組在任何指定時間離線檢閱事件的詳細數據。
匯出的事件資料包含下列資訊:
以下是匯出的 PDF 範例:
如果您有 Copilot for Security 授權,導出的 PDF 會包含下列其他事件數據:
匯出至 PDF 函式也可在 Copilot 側邊面板中取得。 當您在事件報告結果卡片右上角選取 [ 其他動作 ] 省略號 (...) 時,可以選擇 [將 事件匯出為 PDF]。
若要產生 PDF,請執行下列步驟:
開啟事件頁面。 選取右上角的 [ 其他動作 ] 省略號 (...) ,然後選擇 [將 事件匯出為 PDF]。
![醒目提示事件頁面上 [更多動作] 省略號的螢幕快照。](/zh-tw/defender/media/incidents-queue/export-ellipsis-small.png)
在接下來出現的對話框中,確認您想要在 PDF 中包含或排除的事件資訊。 默認會選取所有事件資訊。 選 取 [匯出 PDF ] 繼續進行。
![醒目提示 [將事件匯出至 PDF] 選項的螢幕快照。](/zh-tw/defender/media/incidents-queue/export-options.png)
事件標題下方會出現狀態消息,指出下載的目前狀態。 視事件的複雜度和要匯出的數據量而定,匯出程式可能需要幾分鐘的時間。
另一個對話框隨即出現,指出 PDF 已就緒。 從對話框中選取 [ 下載 ],將 PDF 儲存到您的裝置。 事件標題下方的狀態消息也會更新,以指出下載可供使用。
![醒目提示事件頁面上 [更多動作] 省略號的螢幕快照。](/zh-tw/defender/media/incidents-queue/export-ellipsis.png#lightbox)
報表會快取幾分鐘。 如果您嘗試在短時間內再次匯出相同的事件,系統會提供先前產生的 PDF。 若要產生較新版本的 PDF,請等候幾分鐘讓快取過期。
後續步驟
針對新的事件,請開始 調查。
針對處理中事件,請繼續 調查。
針對已解決的事件,請執行 事件後檢閱。
另請參閱
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。