Управление инцидентами в Microsoft Defender

  • Статья
  • Применяется к:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Управление инцидентами имеет решающее значение для обеспечения имен, назначений и тегов инцидентов, чтобы оптимизировать время в рабочем процессе инцидентов и быстрее содержать и устранять угрозы.

Управлять инцидентами можно из раздела Инциденты & оповещения Инциденты > при быстром запуске портала Microsoft Defender (security.microsoft.com). Ниже приведен пример.

Снимок экрана: выделен параметр управления инцидентом в очереди инцидентов и панели быстрого запуска на портале Microsoft Defender.

Ниже приведены способы управления инцидентами.

Вы можете управлять инцидентами из области Управление инцидентом. Ниже приведен пример.

Снимок экрана: панель

Эту панель можно отобразить по ссылке Управление инцидентом на:

  • Страница истории оповещений.
  • Область свойств инцидента в очереди инцидентов.
  • Страница сводки инцидента.
  • Параметр "Управление инцидентом", расположенный в правом верхнем углу страницы "Инцидент".

В случаях, когда требуется переместить оповещения из одного инцидента в другой, это также можно сделать на вкладке Оповещения , создавая тем самым больший или меньший инцидент, включающий все соответствующие оповещения.

Изменение имени инцидента

Microsoft Defender автоматически назначает имя на основе атрибутов оповещений, таких как количество затронутых конечных точек, затронутых пользователей, источников обнаружения или категорий. Имя инцидента позволяет быстро понять масштаб инцидента. Например: многоэтапный инцидент на нескольких конечных точках, сообщаемых несколькими источниками.

Имя инцидента можно изменить в поле Имя инцидента на панели Управление инцидентом .

Примечание.

Инциденты, существовавшие до развертывания функции автоматического именования инцидентов, будут сохранять свое имя.

Назначение или изменение серьезности инцидента

Вы можете назначить или изменить серьезность инцидента из поля Серьезность на панели Управление инцидентом . Серьезность инцидента определяется самой серьезностью связанных с ним оповещений. Серьезность инцидента может быть установлена на высокий, средний, низкий или информационный.

Добавление тегов инцидента

К инциденту можно добавить пользовательские теги, например, чтобы пометить группу инцидентов с общей характеристикой. Впоследствии из очереди инцидентов можно будет выделить все инциденты, которые содержат определенный тег.

После начала ввода появится параметр для выбора из списка ранее использовавшихся и выбранных тегов.

Инцидент может иметь системные теги и (или) пользовательские теги с определенным цветовым фоном. Пользовательские теги используют белый фон, а системные теги обычно используют красный или черный цвет фона. Системные теги определяют следующее в инциденте:

  • Тип атаки, например фишинг учетных данных или мошенничество BEC
  • Автоматические действия, такие как автоматическое исследование и реагирование, а также автоматическое нарушение атак
  • Эксперты Defender , обрабатывая инцидент
  • Критически важные ресурсы , участвующие в инциденте

Совет

Управление уязвимостью безопасности Майкрософт, основанное на предопределенных классификациях, автоматически помечает устройства, удостоверения и облачные ресурсы как критически важный ресурс. Эта возможность обеспечивает защиту ценных и наиболее важных ресурсов организации. Это также помогает группам по обеспечению безопасности определять приоритеты для исследования и исправления. Узнайте больше об управлении критически важными ресурсами.

Назначение инцидента

Можно выбрать поле Назначить и указать учетную запись пользователя для назначения инцидента. Чтобы переназначить инцидент, удалите текущую учетную запись назначения, щелкнув "x" рядом с именем учетной записи, а затем установите флажок Назначить . При назначении владения инцидентом все связанные с ним оповещения назначаются одинаковые права владения.

Список назначенных вам инцидентов можно получить, отфильтровав очередь инцидентов.

  1. В очереди инцидентов выберите Фильтры.
  2. В разделе Назначение инцидента снимите флажок Выбрать все. Выберите Назначено мне, Назначено другому пользователю или Назначено группе пользователей.
  3. Нажмите кнопку Применить, а затем закройте панель Фильтры .

Затем вы можете сохранить полученный URL-адрес в браузере в качестве закладки, чтобы быстро просмотреть список назначенных вам инцидентов.

Разрешение инцидента

Когда инцидент будет исправлен и разрешен, выберите Устранено в раскрывающемся списке Состояние . При разрешении инцидента также разрешаются все связанные и активные оповещения, связанные с инцидентом.

При изменении состояния инцидента на Разрешено сразу после поля Состояние отображается новое поле. Введите в это поле примечание, объясняющее, почему инцидент считается разрешенным. Это примечание отображается в журнале действий инцидента рядом с записью, записывающей разрешение инцидента.

Снимок экрана: панель управления инцидентами с примечанием о разрешении инцидента.

На странице очереди инцидентов и на странице инцидента разрешенного инцидента можно увидеть заметку о разрешении инцидента на боковой панели в разделе Сведения об инциденте .

Снимок экрана: вид заметки о разрешении на панели сведений об инциденте.

При разрешении инцидента также разрешаются все связанные и активные оповещения, связанные с инцидентом. Инцидент, который не разрешен, отображается как активный.

Указание классификации

В поле Классификация укажите, является ли инцидент следующим:

  • Не задано (значение по умолчанию).
  • Истинно положительный результат с типом угрозы. Используйте эту классификацию для инцидентов, которые точно указывают на реальную угрозу. Указание типа угрозы помогает команде безопасности обнаруживать шаблоны угроз и защищать организацию от них.
  • Информационное ожидаемое действие с типом действия. Используйте параметры в этой категории, чтобы классифицировать инциденты для тестов безопасности, действий красной команды и ожидаемого необычного поведения от доверенных приложений и пользователей.
  • Ложноположительный результат для типов инцидентов, которые, по определению, можно игнорировать, так как они технически неточные или вводят в заблуждение.

Классификация инцидентов и указание их состояния и типа помогает настроить XDR в Microsoft Defender, чтобы обеспечить более точное определение обнаружения с течением времени.

Добавление примечаний

В поле Комментарий можно добавить несколько комментариев к инциденту. Поле комментария поддерживает текст и форматирование, ссылки и изображения. Каждый комментарий ограничен 30 000 символами.

Все комментарии добавляются к историческим событиям инцидента. Примечания и журнал инцидента можно просмотреть по ссылке Примечания и журнал на странице Сводка .

Журнал действий

В журнале действий отображается список всех комментариев и действий, выполненных в инциденте, известных как аудиты и комментарии. Все изменения, внесенные в инцидент, будь то пользователь или система, записываются в журнал действий. Журнал действий доступен в параметре Журнал действий на странице инцидента или на боковой панели инцидента.

Снимок экрана: выделен параметр журнала действий на странице инцидента на портале Microsoft Defender.

Действия в журнале можно фильтровать по комментариям и действиям. Щелкните Содержимое: Аудиты, Примечания, а затем выберите тип контента для фильтрации действий. Ниже приведен пример.

Снимок экрана: параметры фильтра в области журнала действий на странице инцидента на портале Microsoft Defender.

Вы также можете добавить собственные примечания с помощью поля примечания, доступного в журнале действий. Поле примечания принимает текст и форматирование, ссылки и изображения.

Снимок экрана: выделено поле комментария на странице инцидента на портале Microsoft Defender.

Экспорт данных об инцидентах в PDF-файл

Важно!

Некоторые сведения в этой статье относятся к предварительно выпущенному продукту, который может быть существенно изменен перед выпуском. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.

Функция экспорта данных об инцидентах в настоящее время доступна для клиентов microsoft Defender XDR и платформы единого центра управления безопасностью (SOC) Майкрософт с лицензией Microsoft Copilot для безопасности.

Данные инцидента можно экспортировать в PDF с помощью функции Экспорт инцидента в формате PDF и сохранить их в формате PDF. Эта функция позволяет группам безопасности просматривать сведения об инциденте в автономном режиме в любой момент времени.

Экспортированные данные об инцидентах содержат следующие сведения:

Ниже приведен пример экспортированного PDF-файла:

Снимок экрана: первая страница экспортированного PDF-файла.

Если у вас есть лицензия Copilot for Security , экспортируемый PDF-файл содержит следующие дополнительные данные об инцидентах:

Функция экспорта в PDF также доступна на боковой панели Copilot. Щелкнув многоточие "Дополнительные действия " (...) в правом верхнем углу карточки результатов отчета об инциденте, можно выбрать Пункт Экспорт инцидента в формате PDF.

Снимок экрана: дополнительные действия в карточке результатов отчета об инциденте.

Чтобы создать PDF-файл, выполните следующие действия.

  1. Откройте страницу инцидента. Щелкните многоточие других действий (...) в правом верхнем углу и выберите Экспорт инцидента в формате PDF.

    Снимок экрана с выделенным параметром экспорта в PDF-файл.

  2. В появившемся диалоговом окне подтвердите сведения об инциденте, которые нужно включить или исключить в PDF-файл. Все сведения об инциденте выбраны по умолчанию. Выберите Экспорт PDF , чтобы продолжить.

    Снимок экрана с выделенным параметром экспорта в PDF-файл.

  3. Под заголовком инцидента отображается сообщение о состоянии, указывающее текущее состояние загрузки. Процесс экспорта может занять несколько минут в зависимости от сложности инцидента и объема экспортируемых данных.

    Снимок экрана: выделенное сообщение об экспорте и состояние перед загрузкой.

  4. Появится другое диалоговое окно, указывающее, что PDF-файл готов. Выберите Скачать в диалоговом окне, чтобы сохранить PDF-файл на устройстве. Сообщение о состоянии под заголовком инцидента также обновляется, чтобы указать, что скачивание доступно.

    Снимок экрана: выделенное сообщение об экспорте и состояние при доступной загрузке.

Отчет кэшируется в течение нескольких минут. Система предоставляет ранее созданный PDF-файл, если вы попытаетесь экспортировать тот же инцидент еще раз в течение короткого промежутка времени. Чтобы создать более новую версию PDF-файла, подождите несколько минут, пока срок действия кэша не истечет.

Дальнейшие действия

Для новых инцидентов начните расследование.

Для внутрипроцессных инцидентов продолжайте расследование.

Для разрешенных инцидентов выполните проверку после инцидента.

См. также

Совет

Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.