在 Microsoft Defender入口網站中排定事件的優先順序
Microsoft Defender 入口網站中的統一安全性作業平臺會套用相互關聯分析,並將相關警示和自動化調查從不同的產品匯總到事件中。 Microsoft Sentinel 和 Defender 全面偵測回應 也會觸發活動的唯一警示,這些活動只有在整合平臺中整個產品套件的端對端可見性時,才能識別為惡意。 此檢視可為您的安全性分析師提供更廣泛的攻擊案例,協助他們進一步瞭解及處理整個組織的複雜威脅。
重要事項
Microsoft Sentinel 可作為 Microsoft Defender 入口網站中統一安全性作業平臺公開預覽的一部分。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
事件佇列
事件佇列會顯示跨裝置、使用者、信箱和其他資源建立的事件集合。 它可協助您排序事件,以排定優先順序並建立明智的網路安全性回應決策,也就是稱為事件分級的程式。
提示
在 2024 年 1 月的有限時間內,當您流覽 [事件 ] 頁面時,會出現 Defender Boxed。 Defender Boxed 強調貴組織在 2023 年的安全性成功、改進和響應動作。 若要重新開啟 Defender Boxed,請在 Microsoft Defender 入口網站中移至 [事件],然後選取 [您的 Defender Boxed]。
您可以在 Microsoft Defender 入口網站快速啟動時,從事件 & 警示>事件進入事件佇列。 以下為範例。
選 取 [最近的事件和警示] 以切換頂端區段的擴充,其中顯示過去 24 小時內收到的警示數目和建立事件的時程表圖表。
下面,Microsoft Defender 入口網站中的事件佇列會顯示過去六個月內所見的事件。 最新的事件位於清單頂端,因此您可以先看到它。 您可以從頂端的下拉式清單中選取它,以選擇不同的時間範圍。
事件佇列具有可自定義的數據行 (選取 [ 自定義 數據行) 可讓您查看事件的不同特性或受影響的實體。 此篩選可協助您針對事件的優先順序做出明智的決策以進行分析。
事件名稱
如需一目了然,Microsoft Defender 全面偵測回應 會根據警示屬性自動產生事件名稱,例如受影響的端點數目、受影響的使用者、偵測來源或類別。 此特定命名可讓您快速瞭解事件的範圍。
例如: 多個來源所報告之多個端點上的多階段事件。
如果您將 Microsoft Sentinel 上線至統一的安全性作業平臺,則來自 Microsoft Sentinel 的任何警示和事件可能會變更其名稱 (無論這些警示和事件是在上架) 之前或之後建立的。
建議您避免使用事件名稱作為觸發 自動化規則的條件。 如果事件名稱是條件,且事件名稱變更,則不會觸發規則。
過濾器
事件佇列也提供多個篩選選項,當套用時,可讓您對環境中的所有現有事件執行廣泛的掃掠,或決定專注於特定案例或威脅。 在事件佇列套用篩選可協助判斷哪個事件需要立即處理。
事件清單上方的 [ 篩選 ] 列表會顯示目前套用的篩選條件。
從預設事件佇列中,您可以選取 [ 新增篩選 ] 以查看 [ 新增篩選 ] 下拉式清單,從中指定要套用至事件佇列的篩選條件,以限制顯示的事件集。 以下為範例。
![Microsoft Defender 入口網站中事件佇列的 [篩選] 窗格。](/zh-tw/defender/media/incidents-queue/fig1-newfilters.png)
選取您想要使用的篩選條件,然後選取清單底部的 [ 新增 ],使其可供使用。
現在,您選取的篩選條件會與現有套用的篩選一起顯示。 選取新的篩選條件以指定其條件。 例如,如果您選擇「服務/偵測來源」篩選條件,請選取它以選擇要篩選清單的來源。
您也可以在事件清單上方的 [篩選] 列表中選取任何篩選條件,以查看 [篩選] 窗格。
下表列出可用的篩選名稱。
| 篩選名稱 | 描述/條件 |
|---|---|
| 狀態 | 選取 [新增]、[ 進行中] 或 [ 已解決]。 |
| 警示嚴重性 事件嚴重性 |
警示或事件的嚴重性表示其可能對您的資產造成的影響。 嚴重性越高,影響就越大,通常需要立即注意。 選取 [高]、 [中]、[ 低] 或 [ 資訊]。 |
| 事件指派 | 選取指派的用戶或使用者。 |
| 多個服務來源 | 指定篩選是否適用於多個服務來源。 |
| 服務/偵測來源 | 指定包含下列一或多個警示的事件: 您可以在功能表中展開其中許多服務,以顯示指定服務內偵測來源的進一步選擇。 |
| 標記 | 從清單中選取一或多個標籤名稱。 |
| 多個類別 | 指定篩選是否適用於多個類別。 |
| Categories | 選擇類別以專注於特定的策略、技巧或攻擊元件。 |
| Entities | 指定資產的名稱,例如使用者、裝置、信箱或應用程式名稱。 |
| 資料敏感度 | 某些攻擊鎖定外洩機密敏感性資料或重要資料。 藉由套用特定敏感度標籤的篩選,您可以快速判斷敏感性資訊是否可能遭到入侵,並優先處理這些事件。 只有當您已從 Microsoft Purview 資訊保護 套用敏感度標籤時,此篩選才會顯示資訊。 |
| 裝置群組 | 指定 裝置組 名。 |
| 作業系統平台 | 指定裝置作業系統。 |
| 分類 | 指定相關警示的分類集。 |
| 自動化調查狀態 | 指定自動化調查的狀態。 |
| 相關聯的威脅 | 指定具名威脅。 |
| 警示原則 | 指定警示原則標題。 |
默認篩選條件是顯示狀態為 [新增 ] 和 [ 進行中 ] 且嚴重性為 [高]、[ 中] 或 [ 低] 的所有警示和事件。
您可以在 [篩選] 列表中選取篩選名稱中的 X ,以快速移除 篩選 。
您也可以選取 [已儲存的篩選查詢>] Create 篩選集,在事件頁面內建立篩選集。 如果尚未建立任何篩選集,請選取 [ 儲存 ] 來建立篩選集。
將自訂篩選儲存為 URL
在事件佇列中設定有用的篩選后,您可以將瀏覽器索引標籤的 URL 設定為書籤,或將它儲存為網頁、Word 檔或您選擇的位置上的連結。 書籤可讓您按兩下即可存取事件佇列的重要檢視,例如:
- 新事件
- 高嚴重性事件
- 未指派的事件
- 高嚴重性、未指派的事件
- 指派給我的事件
- 指派給我和用於 適用於端點的 Microsoft Defender 的事件
- 具有特定標籤或標籤的事件
- 具有特定威脅類別的事件
- 具有特定相關威脅的事件
- 具有特定動作專案的事件
編譯並儲存有用的篩選檢視清單作為 URL 之後,請使用它來快速處理並排定佇列中事件的優先順序,並 管理 這些事件以進行後續指派和分析。
搜尋
從事件清單上方的 [名稱或標識符] 方塊 搜尋,您可以透過數種方式搜尋事件,以快速找出您要尋找的專案。
依事件名稱或標識碼 搜尋
輸入事件識別碼或事件名稱,直接 搜尋 事件。 當您從搜尋結果清單中選取事件時,Microsoft Defender 入口網站會開啟具有事件屬性的新索引標籤,您可以從中開始調查。
受影響資產的 搜尋
您可以為資產命名,例如使用者、裝置、信箱、應用程式名稱或雲端資源,並尋找與該資產相關的所有事件。
指定時間範圍
事件的預設清單適用於過去六個月內發生的事件。 您可以選取下拉式方塊,從行事歷圖示旁的下拉式方塊指定新的時間範圍:
- 一天
- 三天
- 一星期
- 30 天
- 30 天
- 六個月
- 您可以在其中指定日期和時間的自訂範圍
後續步驟
在您判斷哪一個事件需要最高優先順序之後,請選取它,然後:
另請參閱
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:Microsoft Defender 全面偵測回應 技術社群。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應