Visa och hantera incidenter i Microsoft Defender för företag
När hot identifieras och aviseringar utlöses, skapas incidenter. Företagets säkerhetsteam kan visa och hantera incidenter i Microsoft Defender-portalen. Du måste ha rätt behörigheter för att utföra uppgifterna i den här artikeln. Se Säkerhetsroller och behörigheter i Microsoft Defender för företag.
Den här artikeln innehåller:
Övervaka dina incidenter & aviseringar
I Microsoft Defender-portalen (https://security.microsoft.com) i navigeringsfönstret går du till Incidenter & aviseringar och väljer sedan Incidenter. Alla incidenter som har skapats visas på sidan.
Viktigt
Om du ser en incident taggad med
Attack disruption
innebär det att en avancerad attack har identifierats. Se Automatisk attackstörning.Välj en avisering för att öppna den utfällbara rutan, där du kan läsa mer om aviseringen.
I den utfällbara rutan kan du se aviseringsrubriken, visa en lista över tillgångar (till exempel enheter eller användarkonton) som har påverkats, vidta tillgängliga åtgärder och använda länkar för att visa mer information och även öppna informationssidan för den valda aviseringen.
Tips
Defender för företag är utformat för att hjälpa dig att hantera identifierade hot genom att rekommendera åtgärder som du kan vidta. När du visar en avisering letar du upp de här förslagen. Observera också allvarlighetsgraden för aviseringen, som bestäms inte bara på grundval av det identifierade hotets allvarlighetsgrad, utan även på risknivån för ditt företag.
Allvarlighetsgrad för aviseringar
När ett hot identifieras tilldelas en allvarlighetsgrad till varje avisering som genereras.
- Microsoft Defender Antivirus tilldelar en varning allvarlighetsgrad baserat på den absoluta allvarlighetsgraden för ett identifierat hot (till exempel skadlig kod) och den potentiella risken för en enskild enhet (om den är infekterad).
- Defender för företag tilldelar en allvarlighetsgrad för aviseringar baserat på allvarlighetsgraden för det identifierade beteendet, den faktiska risken för en enhet och ännu viktigare, den potentiella risken för ditt företag.
I följande tabell visas några exempel på aviseringar och deras allvarlighetsgrad:
Scenario | Allvarlighetsgrad och orsak för aviseringar |
---|---|
Automatisk attackavbrott identifierar en avancerad attack och innehåller enheter eller användarkonton för att förhindra att attacken fortsätter. | Högt. Funktioner för attackstörningar hjälper till att begränsa en attack så att IT-/säkerhetsteamet kan åtgärda det. |
Microsoft Defender Antivirus identifierar och stoppar ett hot innan det gör någon skada. | Information. Hotet stoppades innan någon skada gjordes. |
Microsoft Defender Antivirus identifierar skadlig kod som kördes inom företaget. Den skadliga koden stoppas och åtgärdas. | Låg. Även om en del skador kan ha gjorts på en enskild enhet utgör den skadliga koden nu inget hot mot ditt företag. |
Skadlig kod som körs identifieras av Defender för företag. Den skadliga koden blockeras nästan omedelbart. | Medel ellerhög. Den skadliga koden utgör ett hot mot enskilda enheter och mot ditt företag. |
Misstänkt beteende har identifierats men inga åtgärder har vidtagits ännu. | Låg, medel eller hög. Allvarlighetsgraden beror på i vilken grad beteendet utgör ett hot mot ditt företag. |