Zobrazení a uspořádání fronty incidentů Microsoft Defender for Endpoint
Platí pro:
- Plán 1 pro Microsoft Defender for Endpoint
- Plán 2 pro Microsoft Defender for Endpoint
- Microsoft 365 Defender
Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,
Fronta Incidenty zobrazuje kolekci incidentů, které byly označeny příznakem ze zařízení ve vaší síti. Pomáhá vám seřadit incidenty a určit prioritu a vytvořit informované rozhodnutí o reakci na kybernetickou bezpečnost.
Ve výchozím nastavení fronta zobrazuje incidenty, ke kterým došlo za posledních 30 dnů, přičemž nejnovější incident se zobrazuje v horní části seznamu, což vám pomůže vidět nejnovější incidenty jako první.
Můžete si vybrat z několika možností, jak přizpůsobit zobrazení fronty Incidenty.
V horní navigaci můžete:
- Přizpůsobení sloupců pro přidání nebo odebrání sloupců
- Úprava počtu položek, které se mají zobrazit na stránce
- Výběr položek, které se mají zobrazit na stránce
- Batch – vyberte incidenty, které chcete přiřadit.
- Navigace mezi stránkami
- Použití filtrů
- Přizpůsobení a použití rozsahů dat
Řazení a filtrování fronty incidentů
Následující filtry můžete použít k omezení seznamu incidentů a získání cílenějšího zobrazení.
Závažnosti
| Závažnost incidentu | Popis |
|---|---|
| High (Vysoká) (Červená) |
Hrozby často spojené s pokročilými trvalými hrozbami (APT). Tyto incidenty značí vysoké riziko z důvodu závažnosti poškození, které mohou způsobit zařízením. |
| Střední (Oranžová) |
Hrozby v organizaci jsou zřídka pozorovány, jako jsou neobvyklé změny registru, spouštění podezřelých souborů a pozorované chování typické pro fáze útoku. |
| Nízké (Žlutá) |
Hrozby spojené s převládajícím malwarem a hack-tools, které nutně neoznačují pokročilou hrozbu cílící na organizaci. |
| Informační (Šedá) |
Informační incidenty nemusí být považovány za škodlivé pro síť, ale mohou být vhodné je sledovat. |
Přiřazeno
Seznam můžete filtrovat tak, že vyberete přiřazené komukoli nebo těm, kteří jsou vám přiřazeni.
Kategorie
Incidenty jsou kategorizovány na základě popisu fáze, ve které se nachází řetězec kyberbezpečnosti kill chain. Toto zobrazení pomáhá analytikům hrozeb určit prioritu, naléhavost a odpovídající strategii reakce pro nasazení na základě kontextu.
Stav
Seznam zobrazených incidentů můžete omezit na základě jejich stavu a zjistit, které incidenty jsou aktivní nebo vyřešené.
Citlivost dat
Tento filtr slouží k zobrazení incidentů, které obsahují popisky citlivosti.
Pojmenování incidentů
Pokud chcete na první pohled porozumět rozsahu incidentu, generují se názvy incidentů automaticky na základě atributů výstrah, jako je počet ovlivněných koncových bodů, ovlivněných uživatelů, zdroje detekce nebo kategorie.
Příklad: Vícefázový incident na více koncových bodech hlášených více zdroji.
Poznámka
Incidenty, které existovaly před zavedením automatického pojmenování incidentu, si zachovají své jméno.