共用方式為

在 Microsoft Defender 中管理事件

  • 適用於: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

事件管理對於確保事件被命名、指派並標籤,以優化事件工作流程的時間,並更快速地控制與處理威脅至關重要。

要在Microsoft Defender入口網站管理您的事件 (https://security.microsoft.com) ,請使用快速啟動功能,並前往調查 & 回應>事件 & 提醒>事件。

截圖顯示 Microsoft Defender 入口網站中事件佇列和快速啟動窗格。

本文將教你如何執行與事件生命週期不同階段相關的各種事件管理任務。

事件分流:

事件調查與解決:

事件記錄與報告:

提示

Defender Boxed 是一系列卡片,展示您組織在過去六個月/一年中的安全成功、改進及應對行動,於每年一月和七月限時推出。 了解如何分享你的 Defender Boxed 精華片段。

存取 管理事件 面板

大多數這些任務都可以從 事件管理 面板存取。 你可以從多個地點進入這個窗格。

從事件佇列

  1. 在Microsoft Defender入口網站快速啟動時,選擇調查 & 回應>事件 & > 提醒事件。

  2. 從事件佇列中,請以兩種方式之一進入 「管理事件 」面板:

    • 選擇事件的勾選框,並從篩選器上方的工具列選擇 「管理事件 」。 透過選擇多個勾選框,同時管理多個事件。

    • 在不選擇事件名稱) 的情況下,選擇事件 (的一列,使事件詳細面板顯示,然後從事件細節面板中選擇 管理事件

      截圖顯示如何在 Microsoft Defender 入口網站的事件佇列中管理事件。

事件頁面

  1. 在Microsoft Defender入口網站快速啟動時,選擇調查 & 回應>事件 & > 提醒事件。

  2. 從隊列中選擇事件名稱。 或者,在隊列中選擇事件的列,然後從事件細節窗格選擇 開啟事件頁面

  3. 從事件頁面,從頂端面板選擇 「管理事件 」。

    如果「 管理事件 」看不到,請選取右上角 (下方截圖中「管理事件」旁邊的三個點 ) ,然後從出現的選單中選擇它。

    從 Microsoft Defender 入口網站事件頁面管理事件的截圖。

事件分流

以下管理任務與事件分流密切相關,但可隨時執行。

將事件指派給擁有者

預設情況下,新事件會建立且沒有擁有者。 理想狀況下,你的安全運營團隊應該有機制和程序,能自動將事件分配給擁有者。 如果事件升級或原本分配錯誤,你可能需要重新指派。

指派擁有者

若要手動指派新擁有者到事件,請採取以下步驟:

  1. 請依照開頭區段的指示 進入 「管理事件 」面板

  2. 選擇 「指派到 」方框。 會顯示建議的受派對象下拉選單。

  3. 如果你看到想要指派事件的使用者或群組帳號,請選擇它。

    否則,請開始在列表頂端的文字框輸入想要的使用者或群組的姓名或帳號 ID。 清單會動態更新,依你輸入的內容過濾。 當你看到想要的使用者或群組時,選擇它。

  4. 要移除現有的指派,包括你剛新增的任何,請選擇帳號名稱旁的 X 。 然後,如果你想新增另一個指派,請選擇「 指派到 」框。

    事件中只能指派一個使用者或群組帳號。

  5. 選取 [儲存]

指派事件的所有權會讓所有相關的警示擁有相同的所有權。

在 Microsoft Defender 入口網站的「管理事件」面板中,展示如何指派擁有者的截圖。

查看分配給特定車主的事件

要查看分配給特定使用者或群組的事件清單,請篩選事件佇列:

  1. 從事件佇列中,選擇事件 指派 過濾器。 會顯示建議的受派對象下拉選單。

    如果你在篩選條件中沒有看到 事件指派 ,請選擇 新增篩選器,從下拉選單中選擇 事件分配 ,然後選擇 新增

  2. 如果你看到想要顯示的指定事件的使用者帳號,請選擇它。

    否則,請開始在列表頂端的文字框輸入想要的使用者或群組的姓名或帳號 ID。 清單會動態更新,依你輸入的內容過濾。 當你看到想要的使用者或群組時,選擇它。

    與指派事件不同,這裡你可以選擇多個受派人員來篩選清單。 若要新增另一個使用者或群組帳號到篩選器,請在篩選) 中選取現有帳號旁的文字框 (,建議的分配對象清單會再次出現。

  3. 選取 [套用]

    截圖顯示如何在 Microsoft Defender 入口網站事件佇列頁面查看分配給擁有者的事件。

若要儲存已套用目前篩選條件的事件佇列連結,請從事件佇列頁面的工具列選擇 「複製清單」 連結。 在你的收藏或桌面上建立一個捷徑,然後把連結貼上去。

指派或變更事件嚴重性

事件的嚴重性取決於與之相關的警報中最高嚴重性。 事件嚴重度可設定為 資訊性

若要手動指派或更改事件嚴重性,請採取以下步驟:

  1. 請依照開頭區段的指示 進入 「管理事件 」面板

  2. 「管理事件」面板的嚴重性下拉選單中選擇你想套用的嚴重性值。

  3. 選取 [儲存]

新增事件標籤

自訂標籤則能為事件提供資訊,賦予事件背景。 例如,標籤可以標示一組具有共同特徵的事件。 標籤是篩選的標準,之後你可以在事件佇列中篩選包含特定標籤的所有事件。 要對事件套用標籤:

  1. 請依照開頭區段的指示 進入 「管理事件 」面板

  2. 事件標籤 欄位開始輸入你想套用的標籤名稱。 當你輸入時,會出現一份先前使用及已選取的標籤清單。 如果你在清單中看到想要套用的標籤,請選擇它。

    截圖顯示如何在「管理事件」欄目中建立事件標籤。

    如果你輸入的標籤名稱是之前沒用過的,請選擇列表中最後一個條目,也就是你輸入的文字,接著加上「 (建立新) 」。

    截圖顯示如何在「管理事件」欄目中選擇標籤套用到事件上。

    標籤隨後會以標籤形式出現在事件標籤欄位中。 重複這個步驟,可以根據你的需求新增更多標籤。

    截圖顯示選取標籤在事件標籤欄位中如何出現。

  3. 選取 [儲存]

事件可以有系統標籤和/或具有特定顏色背景的自訂標籤。 自訂標籤使用白色背景,而系統標籤則通常使用紅色或黑色背景色。 系統標籤在事件中識別以下內容:

  • 一種 攻擊方式,例如憑證釣魚或BEC詐騙
  • 自動行動,如自動調查與回應,以及自動攻擊中斷
  • Defender Experts 處理事件
  • 事件中關鍵資產

提示

Microsoft 的安全性暴露風險管理基於預先定義的分類,會自動將裝置、身份及雲端資源標記為關鍵資產。 這種開箱即用的功能確保組織珍貴且最重要的資產得到保護。 同時也協助資安營運團隊優先調查與修復。 了解更多 關於關鍵資產管理的知識。

變更事件狀態

事件一開始就處於 活躍狀態。 當你正在處理事件時,將 狀態 改為 進行中。

事件調查與解決

以下管理任務與事件調查與解決密切相關,但可隨時執行。

解決事件

當事件被修復並解決後,請採取以下步驟來記錄該解決:

  1. 請依照開頭區段的指示 進入 「管理事件 」面板

  2. 更改狀態。 從狀態下拉選單選擇「已解決」。 當你將事件狀態改為已 解決時,緊接著「 狀態 」欄位後會顯示一個新欄位。

  3. 在此欄位輸入註解說明為何您認為事件已解決。 這則備註可見於事件活動日誌中,靠近事件解決紀錄的條目。

    事件管理面板的截圖及事件解決說明。

    解決備註也會在事件排隊頁面及已解決事件事件的事件頁面的事件 細節 面板中看到。

    事件細節面板中解決筆記出現的截圖。

  4. 選取 [儲存]

解決事件同時也會解決所有與該事件相關的連結及有效警報。 未解決的事件會顯示為 「活躍」。

請指定事件的分類

當你解決事件,或在調查的任何階段,一旦知道該事件應該如何分類,請依此設定分類欄位。

  1. 請依照開頭區段的指示 進入 「管理事件 」面板

  2. 分類下拉 選單中選擇適當的值:

    • 沒有設定 (預設) 。
    • 真陽性 ,帶有一種威脅。 此分類適用於準確顯示真實威脅的事件。 指定威脅類型可協助您的安全性小組查看威脅模式,並採取行動以為組織防禦該威脅。
    • 資訊性、預期的活動 ,並帶有一種活動類型。 使用此類別中的選項,將事件分類為安全測試、紅隊活動,以及可信應用程式和使用者預期的異常行為。
    • 對於你判斷某些事件類型,因為技術上不準確或誤導性,可以忽略的誤判

    以下截圖中可查看每種分類可用的活動類型與威脅。

  3. 選取 [儲存]

    截圖顯示事件分類選項。

對事件進行分類並指定其狀態與類型,有助於調整 Microsoft Defender,使其隨時間提供更佳的偵測判斷。

對事件新增評論

在調查與事件過程中,加入評論以記錄你的行動、見解與結論。

  1. 打開事件的活動日誌:從事件頁面或事件隊列頁面的事件詳情面板,選擇右上角的三個點,然後在結果選單中選擇 活動

    截圖顯示如何存取事件活動日誌。

  2. 在活動欄最上方選擇 新增留言 。 請在文字欄輸入你的留言。 留言區支援文字與格式、連結及圖片。 每則留言限制為30,000字元。

    截圖示範如何在事件中添加留言。

  3. 選取 [儲存]

所有評論均為事件的歷史事件所補充。 你可以從摘要頁面的評論與歷史連結中看到事件的評論與歷史。

事件記錄與通報

以下管理任務可與稽核及事件調查報告相關,但可隨時執行。

編輯事件名稱

Microsoft Defender 會根據警報屬性自動分配名稱,例如受影響的端點數量、受影響的使用者、偵測來源或類別。 事件名稱能讓你快速了解事件的範圍。 例如:多個 端點的多階段事件,由多個來源回報。

要編輯事件名稱,請採取以下步驟:

  1. 請依照開頭區段的指示 進入 「管理事件 」面板

  2. 管理事件面板的事件名稱欄位輸入新名稱。

  3. 選取 [儲存]

注意事項

  • 在自動事件命名功能推出前存在的事件仍保留其名稱。

  • 如果有其他事件合併到重新命名的事件中,Defender 會給該事件一個新名稱,覆蓋你先前設定的任何自訂名稱。

查看事件活動日誌

在對事件進行事後檢討時,請查看該事件的 活動日誌 ,查看該事件所執行的行動歷史 (稱為「稽核」) 以及任何記錄的評論。 無論是使用者還是系統對事件所做的所有變更,都會記錄在活動日誌中。 若要更詳細地查看所有活動,請從活動日誌底部的活動 標籤 存取。

開啟事件活動日誌

  1. 從事件頁面,或事件佇列頁面的事件詳情面板,選擇右上角的三個點,然後從選單中選擇 活動

    截圖顯示,從 Microsoft Defender 入口網站事件頁面的三點選單中選取活動選項。

  2. 你可以依來源、類別、提供者、觸發器、活動狀態、政策狀態、類型、目標名稱、目標類型或執行者來篩選活動日誌中的活動。 前往 新增篩選器,選擇你想要的篩選條件,然後選擇 新增

    截圖,重點顯示 Microsoft Defender 入口網站事件頁面活動日誌窗格中的篩選選項。

  3. 到每個篩選器的下拉選單,選擇篩選條件,然後選擇 套用

    選擇篩選器下拉選單、選擇條件並套用的範例。

你也可以在活動面板頂端選擇新增留言加入你自己的留言。 留言框接受文字與格式、連結及圖片。

重要事項

本文中的部分資訊與發行前版本產品有關,在產品正式發行前可能會大幅度修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。

將事故資料匯出為 PDF

您可以透過 「匯出事件為 PDF 」功能,將事件資料匯出成 PDF,並儲存為 PDF 格式。 此功能讓資安團隊能隨時離線檢視事件細節。

匯出的事件資料包含以下資訊:

以下是匯出後的 PDF 範例:

匯出後 PDF 首頁的截圖。

如果您持有 Copilot for Security 執照,匯出後的 PDF 包含以下額外的事故資料:

副駕駛側邊面板也有匯出成 PDF 的功能。 當您在事件報告結果卡右上角選擇 「更多行動 」省略號 (...) 時,您可以選擇 「將事件匯出為 PDF」。

事件報告結果卡片中其他動作的螢幕擷取畫面。

要產生 PDF,請執行以下步驟:

  1. 開啟事件頁面。 在右上角選擇 「更多動作 」省略號 (...) ,並選擇 「匯出事件為 PDF」。

    事件頁面上標示「更多行動」省略號的截圖。

  2. 在接下來出現的對話框中,確認你想在 PDF 中包含或排除的事件資訊。 所有事件資訊皆預設為選擇。 選擇 匯出 PDF 以繼續。

    截圖標示出匯出事件轉成 PDF 選項。

  3. 事件標題下方會顯示下載狀態的狀態訊息。 匯出過程可能需幾分鐘,視事件複雜度及資料量而定。

    下載前截圖,標示匯出訊息和狀態。

  4. 另一個對話框顯示 PDF 已準備好。 從對話框中選擇 下載 ,將 PDF 儲存到您的裝置。 事件標題下方的狀態訊息也會更新,表示下載已可下載。

    下載可用時,截圖標示匯出訊息和狀態。

報告會快取幾分鐘。 系統會提供先前產生的 PDF,若你在短時間內再次匯出相同事件。 要產生較新的 PDF 版本,請等待快取過期幾分鐘。

設定事件的電子郵件通知

您可以設置 Microsoft Defender 入口網站,透過電子郵件通知員工有關新事件或現有事件更新。 您可以選擇根據以下方式接收通知:

  • 警示嚴重性
  • 警示來源
  • 裝置群組

要設定事件的電子郵件通知,請參見 「接收事件的電子郵件通知」。

後續步驟

對於新的及正在進行中的事件,請繼續 調查

對於已解決的事件,請進行 事後檢討

另請參閱

提示

想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群

  • Last updated on