Tapausten hallinta Microsoft Defender

  • Artikkeli

Koskee seuraavia:

  • Microsoft Defender XDR
  • Microsoft Defender unified Security Operations Center (SOC) -ympäristö

Tapausten hallinta on tärkeää, jotta voidaan varmistaa, että tapaukset nimetään, määritetään ja merkitään, jotta tapausten työnkulun aika voidaan optimoida ja uhat voidaan hillitä ja käsitellä nopeasti.

Vihje

Tammikuussa 2024, kun vierailet Tapahtumat-sivulla , Defender Boxed tulee näkyviin. Defender Boxed tuo esiin organisaatiosi tietoturvan onnistumisia, parannuksia ja reagointitoimia vuonna 2023. Jos haluat avata Defender Boxedin uudelleen, siirry Microsoft Defender portaalissa kohtaan Tapaukset ja valitse sitten Puolustaja Kehystetty.

Voit hallita tapauksia tapahtumat-kohdasta & hälytyksiä > Tapaukset Microsoft Defender portaalin (security.microsoft.com) pikakäynnistyksessä. Tässä on esimerkki.

Tapahtuman hallintavaihtoehdon korostaminen tapausjonossa ja pikakäynnistysruutu Microsoft Defender portaalissa

Voit hallita tapauksia seuraavilla tavoilla:

Voit hallita tapauksia Tapahtuman hallinta -ruudussa. Tässä on esimerkki.

Tapausten hallinta -ruutu Microsoft Defender portaalissa

Voit näyttää tämän ruudun Tapahtuman hallinta -linkistä:

  • Ilmoitusten juttusivu .
  • Tapausjonossa olevan tapauksen Ominaisuus-ruutu.
  • Tapauksen yhteenvetosivu.
  • Tapaus-sivun oikeassa yläkulmassa sijaitsevan tapausvaihtoehdon hallinta.

Jos haluat siirtää hälytyksiä tapahtumasta toiseen, voit tehdä sen myös Ilmoitukset-välilehdestä, jolloin luodaan suurempi tai pienempi tapaus, joka sisältää kaikki asianmukaiset hälytykset.

Tapauksen nimen muokkaaminen

Microsoft Defender määrittää automaattisesti nimen, joka perustuu hälytysmääritteisiin, kuten niiden päätepisteiden määrään, joita ongelma koskee, käyttäjiin, tunnistuslähteisiin tai luokkiin. Tapahtuman nimen avulla voit nopeasti ymmärtää tapahtuman laajuuden. Esimerkki: Monivaiheinen tapaus useille useiden lähteiden ilmoittamalle päätepisteelle.

Voit muokata tapahtuman nimeä Tapauksen nimi -kentässä Tapahtuman hallinta -ruudussa.

Huomautus

Tapaukset, jotka olivat olemassa ennen automaattisen tapausten nimeämisominaisuuden käyttöönottoa, säilyttävät nimensä.

Tapauksen vakavuuden määrittäminen tai muuttaminen

Voit määrittää tai muuttaa tapahtuman vakavuutta Tapahtuman hallinta -ruudun Vakavuus-kentästä. Tapahtuman vakavuus määräytyy siihen liittyvien hälytysten suurimman vakavuuden mukaan. Tapahtuman vakavuus voidaan määrittää korkeaksi, keskitasoksi, alhaiseksi tai tietoisaksi.

Tapahtumatunnisteiden lisääminen

Voit lisätä mukautettuja tunnisteita tapahtumaan, esimerkiksi merkitäksesi ryhmän välikohtauksia, joilla on yhteinen ominaisuus. Voit myöhemmin suodattaa tapahtumajonon kaikille tapauksille, jotka sisältävät tietyn tunnisteen.

Aiemmin käytettyjen ja valittujen tunnisteiden luettelosta valitsemisen vaihtoehto tulee näkyviin, kun alat kirjoittaa.

Tapauksen määrittäminen

Voit valita Määritä käyttäjälle - ruudun ja määrittää käyttäjätilin tapahtuman määrittämiseksi. Voit määrittää tapahtuman uudelleen poistamalla nykyisen varaustilin valitsemalla tilin nimen vieressä olevan x-merkin ja valitsemalla sitten Määritä käyttäjälle -ruudun. Tapauksen omistajuuden määrittäminen määrittää saman omistajuuden kaikille siihen liittyville hälytyksille.

Saat luettelon sinulle määritetyistä tapauksista suodattamalla tapausjonon.

  1. Valitse tapausjonosta Suodattimet.
  2. Tyhjennä Tapausmääritys-osiossaValitse kaikki. Valitse Määritetty minulle, Määritetty toiselle käyttäjälle tai Määritetty käyttäjäryhmälle.
  3. Valitse Käytä ja sulje sitten Suodattimet-ruutu .

Voit sitten tallentaa tuloksena saatavan URL-osoitteen selaimeen kirjanmerkiksi, jotta näet nopeasti luettelon sinulle määritetyistä tapauksista.

Tapauksen ratkaiseminen

Valitse Ratkaise tapaus , jos haluat siirtää vaihtopainikkeen oikealle, kun tapaus korjataan. Tapauksen ratkaiseminen ratkaisee myös kaikki tapahtumaan liittyvät linkitetyt ja aktiiviset hälytykset.

Tapaus, jota ei ole ratkaistu, näkyy aktiivisena.

Luokituksen määrittäminen

Luokitus-kentässä voit määrittää, onko tapahtuma seuraava:

  • Ei määritetty (oletus).
  • Tosi positiivinen ja uhkatyyppi. Käytä tätä luokitusta tapauksiin, jotka ilmaisevat tarkasti todellisen uhan. Uhkatyypin määrittäminen auttaa suojaustiimiäsi näkemään uhkamalleja ja toimimaan organisaatiosi puolustamiseksi heiltä.
  • Tietoinen, odotettu toiminto , jolla on aktiviteettityyppi. Tämän luokan vaihtoehtojen avulla voit luokitella tietoturvatestejä, punaisen tiimin toimintaa ja luotettavien sovellusten ja käyttäjien odotettua epätavallista toimintaa.
  • Epätosi-positiivinen tapauksille, jotka olet määrittänyt, voidaan jättää huomiotta, koska ne ovat teknisesti virheellisiä tai harhaanjohtavia.

Tapausten luokittelu ja niiden tilan ja tyypin määrittäminen auttavat hienosäätämään Microsoft Defender XDR, jotta tunnistaminen voidaan määrittää paremmin ajan kuluessa.

Kommenttien lisääminen

Voit lisätä useita kommentteja tapahtumaan Kommentti-kentässä . Kommenttikenttä tukee tekstiä ja muotoilua, linkkejä ja kuvia. Jokainen kommentti on rajoitettu 30 000 merkkiin.

Kaikki kommentit lisätään tapahtuman historiallisiin tapahtumiin. Näet tapahtuman kommentit ja historian Yhteenveto-sivunKommentit ja historia -linkistä.

Toimintoloki

Toimintalokissa näkyy luettelo kaikista tapahtumassa suoritetuista kommenteista ja toiminnoista, joita kutsutaan valvonniksi ja kommenteiksi. Kaikki tapahtumaan tehdyt muutokset, olivatpa ne käyttäjän tai järjestelmän tekemiä, kirjataan toimintolokiin. Toimintaloki on käytettävissä tapahtumasivun toimintalokivaihtoehdosta tai tapahtumapuolen ruudusta.

Toimintolokivaihtoehdon korostaminen tapahtumasivulta Microsoft Defender portaalissa

Voit suodattaa lokin toimintoja kommenttien ja toimintojen mukaan. Napsauta Sisältö: Valvonta, Kommentit ja valitse sitten sisältötyyppi toimintojen suodattamiseksi. Tässä on esimerkki.

Toimintolokiruudun suodatusasetusten korostaminen Microsoft Defender portaalin tapaussivulta

Voit myös lisätä omia kommenttejasi toimintolokissa käytettävissä olevan kommenttiruudun avulla. Kommenttiruutu hyväksyy tekstin ja muotoilun, linkit ja kuvat.

Kommenttiruudun korostaminen tapaussivulta Microsoft Defender-portaalissa

Tapahtumatietojen vieminen PDF-muotoon

Tärkeää

Jotkin tämän artikkelin tiedot liittyvät tuotteen ennakkoversioon, joka voi erota huomattavasti tuotteen kaupallisesta julkaisuversiosta. Microsoft ei anna nimenomaisia eikä oletettuja takuita tässä annetuista tiedoista.

Tapahtumatietojen vientiominaisuus on tällä hetkellä Microsoft Defender XDR ja Microsoft Defender unified security operations center (SOC) -alustan asiakkaat Microsoft Copilot for Security -käyttöoikeudella.

Voit viedä tapahtuman tiedot PDF-muotoon Vie tapaus PDF-tiedostona - toiminnon kautta ja tallentaa ne PDF-muotoon. Tämän toiminnon avulla suojaustiimit voivat tarkastella tapauksen tietoja offline-tilassa milloin tahansa.

Viedyt tapahtumatiedot sisältävät seuraavat tiedot:

Tässä on esimerkki viedystä PDF-tiedostosta:

Näyttökuva viedyn PDF-tiedoston ensimmäisestä sivusta.

Jos sinulla on Copilot for Security-käyttöoikeus, viety PDF sisältää seuraavat tapahtumatiedot:

Vienti PDF-muotoon -toiminto on käytettävissä myös luodun tapausraportin Copilot-sivupaneelissa.

Näyttökuva tapahtumaraportin tuloskortin lisätoiminnoista.

Voit luoda PDF-tiedoston seuraavasti:

  1. Avaa tapaussivu. Valitse Lisää toimintoja -ellipsi (...) oikeasta yläkulmasta ja valitse Vie tapaus PDF-tiedostona. Funktio näkyy harmaana PDF-tiedoston luonnin aikana.

    Näyttökuva, jossa näkyy korostettu vientitapaus PDF-muotoon -vaihtoehto.

  2. Näyttöön avautuu valintaikkuna, joka ilmaisee, että PDF-tiedostoa luodaan. Sulje valintaikkuna valitsemalla Selvä . Lisäksi tilasanoma, joka ilmaisee latauksen nykyisen tilan, näkyy tapahtuman otsikon alapuolella. Vientiprosessi voi kestää muutamia minuutteja tapahtuman monimutkaisuuden ja vietävien tietojen määrän mukaan.

    Näyttökuva, jossa näkyy korostettu vientiviesti ja tila ennen lataamista.

  3. Kun PDF on valmis, tilasanoma ilmaisee, että PDF on valmis ja näyttöön tulee toinen valintaikkuna. Tallenna PDF-tiedosto laitteeseesi valitsemalla valintaikkunasta Lataa .

    Näyttökuva, jossa näkyy korostettu vientiviesti ja tila, kun lataus on käytettävissä.

Raportti on tallennettu välimuistiin pariksi minuutiksi. Järjestelmä tarjoaa aiemmin luodun PDF-tiedoston, jos yrität viedä saman tapauksen uudelleen lyhyessä ajassa. Jos haluat luoda uudemman PDF-version, odota muutama minuutti, kunnes välimuisti vanhenee.

Seuraavat vaiheet

Aloita uusien tapausten tutkiminen.

Jos kyseessä on prosessitapaus, jatka tutkimuksiasi.

Suorita ratkaistujen tapausten osalta tapausten jälkeinen tarkastelu.

Tutustu myös seuraaviin ohjeartikkeleihin:

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.