Hantera incidenter i Microsoft Defender

Incidenthantering är viktigt för att säkerställa att incidenter namnges, tilldelas och taggas för att optimera tiden i ditt incidentarbetsflöde och snabbare begränsa och åtgärda hot.

Du kan hantera incidenter från incidenter & aviseringar > Incidenter vid snabbstart av Microsoft Defender-portalen (security.microsoft.com). Här är ett exempel.

Skärmbild som visar alternativet Hantera incident i incidentkön och snabbstartsfönstret i Microsoft Defender-portalen.

Här är de sätt som du kan hantera dina incidenter på:

Du kan hantera incidenter från fönstret Hantera incident för en incident. Här är ett exempel.

Skärmbild som visar fönstret Hantera incident i Microsoft Defender-portalen.

Du kan visa det här fönstret från länken Hantera incident på:

  • Sida för aviseringsberättelse .
  • Egenskapsfönstret för en incident i incidentkön.
  • Sammanfattningssida för en incident.
  • Hantera incidentalternativet längst upp till höger på sidan Incident.

I de fall där du vill flytta aviseringar från en incident till en annan kan du också göra det från fliken Aviseringar , vilket skapar en större eller mindre incident som innehåller alla relevanta aviseringar.

Redigera incidentnamnet

Microsoft Defender tilldelar automatiskt ett namn baserat på aviseringsattribut, till exempel antalet slutpunkter som påverkas, användare som påverkas, identifieringskällor eller kategorier. Med incidentnamnet kan du snabbt förstå incidentens omfattning. Exempel: Incident i flera steg på flera slutpunkter som rapporterats av flera källor.

Du kan redigera incidentnamnet från fältet Incidentnamn i fönstret Hantera incident .

Obs!

Incidenter som fanns före distributionen av funktionen för automatisk incidentnamngivning behåller sitt namn.

Tilldela eller ändra allvarlighetsgrad för incidenter

Du kan tilldela eller ändra allvarlighetsgraden för en incident från fältet Allvarlighetsgrad i fönstret Hantera incident . Allvarlighetsgraden för en incident bestäms av den högsta allvarlighetsgraden för de aviseringar som är associerade med den. Allvarlighetsgraden för en incident kan vara hög, medel, låg eller informationsbaserad.

Lägga till incidenttaggar

Du kan lägga till anpassade taggar i en incident, till exempel för att flagga en grupp incidenter med en gemensam egenskap. Du kan senare filtrera incidentkön för alla incidenter som innehåller en specifik tagg.

Alternativet att välja från en lista över tidigare använda och markerade taggar visas när du har börjat skriva.

En incident kan ha systemtaggar och/eller anpassade taggar med vissa färgbakgrunder. Anpassade taggar använder den vita bakgrunden medan systemtaggar vanligtvis använder röda eller svarta bakgrundsfärger. Systemtaggar identifierar följande i en incident:

  • En typ av attack, till exempel nätfiske av autentiseringsuppgifter eller BEC-bedrägeri
  • Automatiska åtgärder, till exempel automatisk undersökning och svar och automatisk attackstörning
  • Defender-experter som hanterar en incident
  • Kritiska tillgångar som är inblandade i incidenten

Tips

Microsofts Security Exposure Management, baserat på fördefinierade klassificeringar, taggar automatiskt enheter, identiteter och molnresurser som en kritisk tillgång. Den här färdiga funktionen säkerställer skyddet av en organisations värdefulla och viktigaste tillgångar. Det hjälper också säkerhetsåtgärdsteam att prioritera undersökning och reparation. Läs mer om kritisk tillgångshantering.

Tilldela en incident

Du kan välja rutan Tilldela till och ange användarkontot för att tilldela en incident. Om du vill tilldela om en incident tar du bort det aktuella tilldelningskontot genom att välja "x" bredvid kontonamnet och sedan välja rutan Tilldela till . När du tilldelar ägarskap för en incident tilldelas samma ägarskap till alla aviseringar som är associerade med den.

Du kan hämta en lista över incidenter som tilldelats dig genom att filtrera incidentkön.

  1. I incidentkön väljer du Filter.
  2. I avsnittet Incidenttilldelning avmarkerar du Välj alla. Välj Tilldelad till mig, Tilldelad till en annan användare eller Tilldelad till en användargrupp.
  3. Välj Använd och stäng sedan fönstret Filter .

Du kan sedan spara den resulterande URL:en i webbläsaren som ett bokmärke för att snabbt se listan över incidenter som tilldelats dig.

Lösa en incident

När en incident har åtgärdats och lösts väljer du Löst i listrutan Status . Att lösa en incident löser också alla länkade och aktiva aviseringar som är relaterade till incidenten.

När du ändrar status för en incident till Löst visas ett nytt fält direkt efter fältet Status . Ange en anteckning i det här fältet som förklarar varför du anser att incidenten har lösts. Den här anteckningen visas i aktivitetsloggen för incidenten, nära posten som registrerar incidentens lösning.

Skärmbild av incidenthanteringspanelen med incidentlösningsanteckning.

På både sidan incidentkö och incidentsidan för en löst incident kan du se incidentlösningsanteckningen i sidopanelen i avsnittet Incidentinformation .

Skärmbild av utseendet på lösningsanteckningen i panelen incidentinformation.

Att lösa en incident löser också alla länkade och aktiva aviseringar som är relaterade till incidenten. En incident som inte har lösts visas som Aktiv.

Ange klassificeringen

I fältet Klassificering anger du om incidenten är:

  • Inte inställt (standard).
  • Sant positivt med en typ av hot. Använd den här klassificeringen för incidenter som korrekt anger ett verkligt hot. Genom att ange hottypen kan säkerhetsteamet se hotmönster och agera för att skydda din organisation från dem.
  • Information, förväntad aktivitet med en typ av aktivitet. Använd alternativen i den här kategorin för att klassificera incidenter för säkerhetstester, red team-aktivitet och förväntat ovanligt beteende från betrodda appar och användare.
  • Falska positiva identifieringar för typer av incidenter som du fastställer kan ignoreras eftersom de är tekniskt felaktiga eller vilseledande.

Genom att klassificera incidenter och ange deras status och typ kan du finjustera Microsoft Defender XDR för att ge bättre identifieringsbestämning över tid.

Lägg till kommentarer

Du kan lägga till flera kommentarer till en incident med fältet Kommentar . Kommentarsfältet stöder text och formatering, länkar och bilder. Varje kommentar är begränsad till 30 000 tecken.

Alla kommentarer läggs till i de historiska händelserna i incidenten. Du kan se kommentarer och historik för en incident från länken Kommentarer och historik på sidan Sammanfattning .

Aktivitetslogg

Aktivitetsloggen visar en lista över alla kommentarer och åtgärder som utförts på incidenten, så kallade granskningar och kommentarer. Alla ändringar som görs i incidenten, antingen av en användare eller av systemet, registreras i aktivitetsloggen. Aktivitetsloggen är tillgänglig från alternativet Aktivitetslogg på incidentsidan eller i fönstret på incidentsidan.

Skärmbild som visar alternativet aktivitetslogg från incidentsidan i Microsoft Defender-portalen.

Du kan filtrera aktiviteterna i loggen efter kommentarer och åtgärder. Klicka på Innehåll: Granskningar, Kommentarer och välj sedan innehållstyp för att filtrera aktiviteter. Här är ett exempel.

Skärmbild som visar filteralternativen i aktivitetsloggfönstret från incidentsidan i Microsoft Defender-portalen.

Du kan också lägga till egna kommentarer med hjälp av kommentarsrutan som är tillgänglig i aktivitetsloggen. Kommentarsrutan accepterar text och formatering, länkar och bilder.

Skärmbild som markerar kommentarsrutan från incidentsidan i Microsoft Defender-portalen.

Exportera incidentdata till PDF

Viktigt

Viss information i den här artikeln gäller produkter som inte har släppts ännu och kan ändras avsevärt innan produkten släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.

Funktionen för exportincidentdata är för närvarande tillgänglig för Microsoft Defender XDR och Microsofts SOC-plattformskunder (Unified Security Operations Center) med Microsoft Copilot för säkerhetslicens.

Du kan exportera en incident data till PDF via funktionen Exportera incident som PDF och spara dem i PDF-format. Med den här funktionen kan säkerhetsteam granska en incidentinformation offline vid en viss tidpunkt.

Incidentdata som exporteras innehåller följande information:

Här är ett exempel på den exporterade PDF-filen:

Skärmbild av den exporterade PDF-filens första sida.

Om du har Copilot for Security-licensen innehåller den exporterade PDF-filen följande ytterligare incidentdata:

Funktionen exportera till PDF finns också i Copilot-sidopanelen. När du väljer ellipsen Fler åtgärder (...) i det övre högra hörnet på resultatkortet för incidentrapporten kan du välja Exportera incident som PDF.

Skärmbild av fler åtgärder på resultatkortet för incidentrapporten.

Utför följande steg för att generera PDF-filen:

  1. Öppna en incidentsida. Välj ellipsen Fler åtgärder (...) i det övre högra hörnet och välj Exportera incident som PDF.

    Skärmbild som visar ellipsen Fler åtgärder på incidentsidan.

  2. I dialogrutan som visas härnäst bekräftar du incidentinformationen som du vill inkludera eller exkludera i PDF-filen. All incidentinformation är markerad som standard. Välj Exportera PDF för att fortsätta.

    Skärmbild som visar exportincidenten till PDF-alternativet.

  3. Ett statusmeddelande som anger nedladdningens aktuella tillstånd visas under incidentrubriken. Exportprocessen kan ta några minuter beroende på incidentens komplexitet och mängden data som ska exporteras.

    Skärmbild som visar exportmeddelande och status före nedladdning.

  4. En annan dialogruta visas som anger att PDF-filen är klar. Välj Ladda ned i dialogrutan för att spara PDF-filen på enheten. Statusmeddelandet under incidentrubriken uppdateras också för att indikera att nedladdningen är tillgänglig.

    Skärmbild som visar exportmeddelande och status när nedladdning är tillgänglig.

Rapporten cachelagras i ett par minuter. Systemet tillhandahåller den tidigare genererade PDF-filen om du försöker exportera samma incident igen inom en kort tidsperiod. Om du vill generera en nyare version av PDF-filen väntar du några minuter tills cacheminnet upphör att gälla.

Nästa steg

För nya incidenter påbörjar du undersökningen.

Fortsätt undersökningen för pågående incidenter.

Utför en granskning efter incident för lösta incidenter.

Se även

Tips

Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.