Zarządzanie zdarzeniami w Microsoft Defender

  • Artykuł
  • Dotyczy:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Zarządzanie zdarzeniami ma kluczowe znaczenie dla zapewnienia, że zdarzenia są nazwane, przypisane i oznakowane, aby zoptymalizować czas w przepływie pracy zdarzenia oraz szybciej ograniczać zagrożenia i rozwiązywać je.

Zdarzeniami można zarządzać z poziomu zdarzeń & alertów > Zdarzenia na szybkim uruchomieniu portalu Microsoft Defender (security.microsoft.com). Oto przykład.

Zrzut ekranu przedstawiający opcję zarządzania zdarzeniem w kolejce zdarzeń i okienko szybkiego uruchamiania w portalu Microsoft Defender.

Oto sposoby zarządzania zdarzeniami:

Zdarzeniami można zarządzać w okienku Zarządzanie zdarzeniami dla zdarzenia. Oto przykład.

Zrzut ekranu przedstawiający okienko Zarządzanie incydentami w portalu Microsoft Defender.

To okienko można wyświetlić za pomocą linku Zarządzaj zdarzeniem na stronie:

  • Strona historii alertu.
  • Okienko właściwości zdarzenia w kolejce zdarzeń.
  • Strona podsumowania zdarzenia.
  • Zarządzaj opcją zdarzenia znajdującą się w prawym górnym rogu strony Zdarzenia.

W przypadkach, gdy chcesz przenieść alerty z jednego zdarzenia do innego, możesz to zrobić również na karcie Alerty , tworząc w ten sposób większe lub mniejsze zdarzenie, które obejmuje wszystkie odpowiednie alerty.

Edytowanie nazwy zdarzenia

Microsoft Defender automatycznie przypisuje nazwę na podstawie atrybutów alertów, takich jak liczba punktów końcowych, których dotyczy problem, użytkowników, których dotyczy problem, źródła wykrywania lub kategorie. Nazwa zdarzenia pozwala szybko zrozumieć zakres zdarzenia. Na przykład: Zdarzenie wieloetapowe w wielu punktach końcowych zgłaszanych przez wiele źródeł.

Nazwę zdarzenia można edytować z pola Nazwa zdarzenia w okienku Zarządzanie zdarzeniem .

Uwaga

Zdarzenia, które istniały przed wdrożeniem funkcji automatycznego nazewnictwa zdarzeń, zachowają swoją nazwę.

Przypisywanie lub zmienianie ważności zdarzenia

Ważność zdarzenia można przypisać lub zmienić z pola Ważność w okienku Zarządzanie zdarzeniem . Ważność zdarzenia zależy od najwyższej ważności skojarzonych z nim alertów. Ważność zdarzenia można ustawić na wysoką, średnią, niską lub informacyjną.

Dodawanie tagów zdarzeń

Możesz dodać tagi niestandardowe do zdarzenia, na przykład w celu oznaczania grupy zdarzeń o wspólnej cechie. Później można filtrować kolejkę zdarzeń pod kątem wszystkich zdarzeń, które zawierają określony tag.

Opcja wyboru z listy wcześniej używanych i wybranych tagów jest wyświetlana po rozpoczęciu wpisywania.

Zdarzenie może mieć tagi systemowe i/lub tagi niestandardowe z określonymi kolorami tła. Tagi niestandardowe używają białego tła, podczas gdy tagi systemowe zwykle używają kolorów czerwonego lub czarnego tła. Tagi systemowe identyfikują następujące elementy w zdarzeniu:

  • Rodzaj ataku, taki jak wyłudzanie poświadczeń lub oszustwo BEC
  • Automatyczne akcje, takie jak automatyczne badanie i reagowanie na ataki oraz automatyczne zakłócenia ataku
  • Eksperci usługi Defender zajmujący się zdarzeniem
  • Krytyczne zasoby biorące udział w zdarzeniu

Porada

Zarządzanie stopniem zagrożenia bezpieczeństwa firmy Microsoft na podstawie wstępnie zdefiniowanych klasyfikacji automatycznie oznacza urządzenia, tożsamości i zasoby w chmurze jako element zawartości o krytycznym znaczeniu. Ta wbudowana funkcja zapewnia ochronę cennych i najważniejszych zasobów organizacji. Pomaga również zespołom ds. operacji zabezpieczeń w ustalaniu priorytetów badania i korygowania. Dowiedz się więcej o krytycznym zarządzaniu zasobami.

Przypisywanie zdarzenia

Możesz wybrać pole Przypisz do i określić konto użytkownika, aby przypisać zdarzenie. Aby ponownie przypisać zdarzenie, usuń bieżące konto przypisania, wybierając znak "x" obok nazwy konta, a następnie zaznacz pole Przypisz do . Przypisanie własności zdarzenia przypisuje tę samą własność do wszystkich alertów z nim skojarzonych.

Listę zdarzeń przypisanych do Ciebie można uzyskać, filtrując kolejkę zdarzeń.

  1. W kolejce zdarzeń wybierz pozycję Filtry.
  2. W sekcji Przypisanie zdarzeniawyczyść pozycję Wybierz wszystko. Wybierz pozycję Przypisano do mnie, Przypisano do innego użytkownika lub Przypisano do grupy użytkowników.
  3. Wybierz pozycję Zastosuj, a następnie zamknij okienko Filtry .

Następnie możesz zapisać wynikowy adres URL w przeglądarce jako zakładkę, aby szybko wyświetlić listę przypisanych do Ciebie zdarzeń.

Rozwiązywanie zdarzenia

Po skorygowaniu i rozwiązaniu zdarzenia wybierz pozycję Rozwiązano z listy rozwijanej Stan . Rozwiązanie zdarzenia rozwiązuje również wszystkie połączone i aktywne alerty związane ze zdarzeniem.

Po zmianie stanu zdarzenia na Rozwiązano zostanie wyświetlone nowe pole bezpośrednio po polu Stan . Wprowadź w tym polu notatkę, która wyjaśnia, dlaczego uważasz, że zdarzenie zostało rozwiązane. Ta notatka jest widoczna w dzienniku aktywności zdarzenia, w pobliżu wpisu rejestrującego rozwiązanie zdarzenia.

Zrzut ekranu panelu zarządzania zdarzeniami z notatką dotyczącą rozwiązywania zdarzeń.

Zarówno na stronie kolejki zdarzeń, jak i na stronie zdarzenia rozpoznanego zdarzenia można zobaczyć notatkę dotyczącą rozwiązania zdarzenia w panelu bocznym w sekcji Szczegóły zdarzenia .

Zrzut ekranu przedstawiający wygląd notatki dotyczącej rozwiązania w panelu szczegółów zdarzenia.

Rozwiązanie zdarzenia rozwiązuje również wszystkie połączone i aktywne alerty związane ze zdarzeniem. Zdarzenie, które nie zostało rozwiązane, jest wyświetlane jako Aktywne.

Określanie klasyfikacji

W polu Klasyfikacja określasz, czy zdarzenie jest następujące:

  • Nie ustawiono (wartość domyślna).
  • Wartość prawdziwie dodatnia z typem zagrożenia. Użyj tej klasyfikacji w przypadku zdarzeń, które dokładnie wskazują rzeczywiste zagrożenie. Określenie typu zagrożenia ułatwia zespołowi ds. zabezpieczeń wyświetlanie wzorców zagrożeń i działanie w celu ochrony organizacji przed nimi.
  • Działanie informacyjne, oczekiwane z typem działania. Użyj opcji w tej kategorii, aby sklasyfikować zdarzenia na potrzeby testów zabezpieczeń, działania czerwonego zespołu i oczekiwanego nietypowego zachowania zaufanych aplikacji i użytkowników.
  • Wyniki fałszywie dodatnie dla typów zdarzeń, które można określić, mogą być ignorowane, ponieważ są technicznie niedokładne lub wprowadzające w błąd.

Klasyfikowanie zdarzeń oraz określanie ich stanu i typu pomaga dostroić Microsoft Defender XDR w celu zapewnienia lepszego wykrywania w czasie.

Dodawanie komentarzy

Możesz dodać wiele komentarzy do zdarzenia za pomocą pola Komentarz . Pole komentarza obsługuje tekst i formatowanie, linki i obrazy. Każdy komentarz jest ograniczony do 30 000 znaków.

Wszystkie komentarze są dodawane do zdarzeń historycznych zdarzenia. Komentarze i historia zdarzenia można wyświetlić za pomocą linku Komentarze i historia na stronie Podsumowanie .

Dziennik aktywności

Dziennik aktywności zawiera listę wszystkich komentarzy i akcji wykonanych w zdarzeniu, nazywanych inspekcjami i komentarzami. Wszystkie zmiany wprowadzone w zdarzeniu, czy to przez użytkownika, czy przez system, są rejestrowane w dzienniku aktywności. Dziennik aktywności jest dostępny z poziomu opcji Dziennik aktywności na stronie zdarzenia lub w okienku po stronie zdarzenia.

Zrzut ekranu przedstawiający opcję dziennika aktywności na stronie zdarzenia w portalu Microsoft Defender.

Działania w dzienniku można filtrować według komentarzy i akcji. Kliknij pozycję Zawartość: Inspekcje, Komentarze, a następnie wybierz typ zawartości do filtrowania działań. Oto przykład.

Zrzut ekranu przedstawiający opcje filtru w okienku dziennika aktywności ze strony zdarzenia w portalu Microsoft Defender.

Możesz również dodać własne komentarze przy użyciu pola komentarza dostępnego w dzienniku aktywności. Pole komentarza akceptuje tekst i formatowanie, linki i obrazy.

Zrzut ekranu przedstawiający pole komentarza ze strony zdarzenia w portalu Microsoft Defender.

Eksportowanie danych zdarzeń do formatu PDF

Ważna

Niektóre informacje zawarte w tym artykule odnoszą się do wersji wstępnej produktu, który może zostać znacznie zmodyfikowany do czasu wydania wersji komercyjnej. Firma Microsoft nie udziela żadnych gwarancji, wyraźnych ani dorozumianych, w odniesieniu do podanych tutaj informacji.

Funkcja eksportowania danych zdarzeń jest obecnie dostępna dla klientów platformy Microsoft Defender XDR i ujednoliconej platformy Centrum operacji zabezpieczeń (SOC) firmy Microsoft z Microsoft Copilot licencji zabezpieczeń.

Dane zdarzenia można wyeksportować do pliku PDF za pośrednictwem funkcji Eksportuj zdarzenie jako plik PDF i zapisać je w formacie PDF. Ta funkcja umożliwia zespołom ds. zabezpieczeń przeglądanie szczegółów zdarzenia w trybie offline w dowolnym momencie.

Wyeksportowane dane zdarzenia zawierają następujące informacje:

Oto przykład wyeksportowanego pliku PDF:

Zrzut ekranu przedstawiający pierwszą stronę wyeksportowanego pliku PDF.

Jeśli masz licencję Copilot for Security , wyeksportowany plik PDF zawiera następujące dodatkowe dane zdarzenia:

Funkcja eksportowania do formatu PDF jest również dostępna w panelu bocznym Copilot. Po wybraniu wielokropka Więcej akcji (...) w prawym górnym rogu karty wyników raportu zdarzeń możesz wybrać pozycję Eksportuj zdarzenie jako plik PDF.

Zrzut ekranu przedstawiający dodatkowe akcje na karcie wyników raportu o zdarzeniu.

Aby wygenerować plik PDF, wykonaj następujące kroki:

  1. Otwórz stronę zdarzenia. Wybierz wielokropek Więcej akcji (...) w prawym górnym rogu i wybierz pozycję Eksportuj zdarzenie jako plik PDF.

    Zrzut ekranu przedstawiający wielokropek Więcej akcji na stronie zdarzenia.

  2. W wyświetlonym oknie dialogowym potwierdź informacje o zdarzeniu, które chcesz uwzględnić lub wykluczyć w pliku PDF. Wszystkie informacje o zdarzeniu są domyślnie wybierane. Wybierz pozycję Eksportuj plik PDF , aby kontynuować.

    Zrzut ekranu przedstawiający opcję eksportowania zdarzenia do pliku PDF.

  3. Pod tytułem zdarzenia zostanie wyświetlony komunikat o stanie wskazujący bieżący stan pobierania. Proces eksportowania może potrwać kilka minut w zależności od złożoności zdarzenia i ilości danych do wyeksportowania.

    Zrzut ekranu z wyróżnionym komunikatem eksportowania i stanem przed pobraniem.

  4. Zostanie wyświetlone inne okno dialogowe wskazujące, że plik PDF jest gotowy. Wybierz pozycję Pobierz w oknie dialogowym, aby zapisać plik PDF na urządzeniu. Komunikat o stanie pod tytułem zdarzenia jest również aktualizowany, aby wskazać, że pobieranie jest dostępne.

    Zrzut ekranu z wyróżnionym komunikatem eksportowania i stanem, gdy jest dostępne pobieranie.

Raport jest buforowany przez kilka minut. System udostępnia wcześniej wygenerowany plik PDF, jeśli spróbujesz ponownie wyeksportować to samo zdarzenie w krótkim czasie. Aby wygenerować nowszą wersję pliku PDF, poczekaj kilka minut, aż pamięć podręczna wygaśnie.

Następne kroki

W przypadku nowych zdarzeń rozpocznij badanie.

W przypadku zdarzeń w procesie kontynuuj badanie.

W przypadku rozwiązanych zdarzeń wykonaj przegląd po zdarzeniu.

Zobacz też

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.