回應您在 Microsoft Defender 全面偵測回應 中的第一個事件

適用於：

• Microsoft Defender XDR

本指南列出 Microsoft 資源，讓新 Microsoft Defender 全面偵測回應 使用者在使用入口網站時，安心地執行日常事件回應工作。 使用本指南的預期結果如下：

• 您將快速瞭解如何使用 Microsoft Defender 全面偵測回應 來回應事件和警示。
• 您將探索入口網站的功能，以透過影片和教學課程協助事件調查和補救。

Microsoft Defender 全面偵測回應 可讓您查看所有資產之間的相關威脅事件， (裝置、身分識別、信箱、雲端應用程式等) 。 入口網站會合併來自 Defender 保護套件、 Microsoft Sentinel 和其他 整合式安全性資訊和事件管理的訊號， (SIEM) 解決方案。 將攻擊資訊與單一視窗中的完整內容相互關聯，可讓您成功防禦及保護您的組織。

本指南有三個主要章節：

• 瞭解事件：在入口網站中存取、分級和管理事件
• 分析攻擊：影片集合，以及如何使用入口網站功能調查特定攻擊的教學課程。
• 補救攻擊：列出入口網站內可用來補救威脅的自動化和手動動作。 本節包含影片和教學課程的連結。

瞭解事件

事件是建立的進程、命令和可能未一致的動作鏈結。 事件提供可疑或惡意活動的整體圖片和內容。 單一事件可提供攻擊的完整內容，而不是從多個服務分級數百個警示。

提示

在 2024 年 1 月的有限時間內，當您流覽 [事件 ] 頁面時，會出現 Defender Boxed。 Defender Boxed 強調貴組織在 2023 年的安全性成功、改進和響應動作。 若要重新開啟 Defender Boxed，請在 Microsoft Defender 入口網站中移至 [事件]，然後選取 [您的 Defender Boxed]。

Microsoft Defender 全面偵測回應 有許多功能可用來回應事件。 您可以在 [首頁] 頁面的 [使用中事件] 卡片中選取 [ 檢視所有事件 ]，或透過左側瀏覽窗格上的 [事件 & 警示 ]，來巡覽事件。

。Microsoft Defender 全面偵測回應 首頁上的使用中事件卡片

Figure 2 中的事件佇列。事件佇列

每個事件都包含來自不同偵測來源的自動相互關聯警示，而且可能涉及各種端點、身分識別或雲端應用程式。

事件分級

每個回應者、安全性小組和組織的事件優先順序各不相同。 事件回應計劃 和安全性小組的方向可以強制執行事件優先順序。

Microsoft Defender 全面偵測回應 具有各種指標，例如事件嚴重性、使用者類型或威脅類型，以分級和排定事件的優先順序。 您可以使用這些指標的任何組合，這些指標可透過 事件佇列 篩選器立即取得。

判斷事件優先順序的範例是結合事件的下列因素：

• 事件具有高嚴重性。
• 自動化調查狀態失敗。
• 有 5 個受影響的資產，其中有兩個資產標記了高度機密的數據敏感度。
• 事件狀態是新的。
• 事件未指派給任何小組成員進行調查。

您可以使用上述資訊，將高優先順序指派給事件。 一旦決定優先順序，您就可以開始事件調查。

注意事項

Microsoft Defender 全面偵測回應 會自動決定嚴重性、調查狀態、受影響的資產和事件狀態等篩選條件。 此資訊是以貴組織的網路活動為基礎，這些活動是以威脅情報摘要和所套用的自動化補救動作為內容。

管理事件

您可以在事件和警示中提供基本資訊，以提升 事件管理 效率。 當您在分級和分析每個事件時，將資訊新增至下列篩選條件時，您會提供其他回應者可以利用該事件的進一步內容：

• 分類事件和警示
• 命名事件
• 新增標籤
• 提供批注

瞭解如何透過這段影片分類事件和警示：

後續步驟

• 分析您的第一個事件
• 補救您的第一個事件
• 觀看 Microsoft Defender 全面偵測回應 Virtual Ninja Training 中的示範和入口網站的新開發

另請參閱

• 將 Microsoft Defender 全面偵測回應 整合到您的安全性作業
• 使用事件回應劇本回應常見攻擊
• 透過 Microsoft Defender 全面偵測回應 Ninja 訓練來瞭解入口網站的功能

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群：Microsoft Defender 全面偵測回應 技術社群。