Share via

ניהול אירועים Microsoft Defender

  • מאמר

חל על:

  • Microsoft Defender XDR
  • פלטפורמה מאוחדת של מרכז פעולות האבטחה (SOC) של Microsoft Defender

ניהול מקרים הוא קריטי כדי להבטיח שניתן שם, הקצאת אירועים ותויגות כדי למטב את הזמן בזרימת העבודה של האירוע ולהכיל ול לטפל באיומים במהירות רבה יותר.

עצה

לזמן מוגבל במהלך ינואר 2024, כאשר אתה מבקר בדף אירועים , Defender Boxed מופיע. Defender Boxed מדגיש את ההצלחות, את השיפורים ואת פעולות התגובה של הארגון במהלך 2023. כדי לפתוח מחדש את Defender Boxed, Microsoft Defender, עבור אל אירועים ולאחר מכן בחר ב- Defender Boxed.

באפשרותך לנהל אירועים מתוך אירועים & אירועים > בהפעלה המהירה של פורטל Microsoft Defender (security.microsoft.com). הנה דוגמה.

סימון אפשרות 'נהל מקרה' בתוך תור האירועים וחלונית ההפעלה המהירה Microsoft Defender הפורטל

להלן הדרכים שבהן תוכל לנהל את האירועים שלך:

באפשרותך לנהל אירועים מתוך החלונית 'ניהול אירוע ' עבור מקרה. הנה דוגמה.

החלונית 'ניהול אירוע' בפורטל Microsoft Defender'

באפשרותך להציג חלונית זו מתוך הקישור נהל מקרה ב:

  • דף הכתבה של ההתראה.
  • החלונית מאפיינים של מקרה בתור האירועים.
  • דף סיכום של מקרה.
  • האפשרות 'נהל מקרה' הממוקמת בפינה השמאלית העליונה של דף האירוע.

במקרים שבהם ברצונך להעביר התראות מתקרית אחת לאחרת, באפשרותך גם לעשות זאת מהכרטיסיה התראות, ובכך ליצור מקרה גדול או קטן יותר הכולל את כל ההתראות הרלוונטיות.

ערוך את שם האירוע

Microsoft Defender מקצה באופן אוטומטי שם בהתבסס על תכונות התראה כגון מספר נקודות הקצה המושפעות, המשתמשים המושפעים, מקורות זיהוי או קטגוריות. שם האירוע מאפשר לך להבין במהירות את היקף האירוע. לדוגמה: אירוע מרובה שלבים ב נקודות קצה מרובות שדווחו על-ידי מקורות מרובים.

באפשרותך לערוך את שם האירוע מהשדות שם אירוע בחלונית ניהול אירוע.

הערה

מקרים קיימים לפני הפריסה של תכונת מתן השמות האוטומטית לתקריות יישמרו את שמם.

הקצאה או שינוי של חומרת אירוע

באפשרותך להקצות או לשנות את חומרת האירוע מהשדות חומרה בחלוניתניהול אירוע. החומרה של אירוע נקבעת לפי החומרה הגבוהה ביותר של ההתראות המשויכות אליה. ניתן להגדיר את חומרת האירוע כ'גבוהה', 'בינונית', 'נמוכה' או 'מידע'.

הוספת תגיות אירוע

באפשרותך להוסיף תגיות מותאמות אישית למקריות, לדוגמה כדי לסמן קבוצת אירועים כמאפיין נפוץ. מאוחר יותר תוכל לסנן את תור האירועים עבור כל האירועים המכילים תגית ספציפית.

האפשרות לבחור מתוך רשימה של תגיות שהיו בשימוש בעבר ותגיות נבחרות מופיעה לאחר תחילת ההקלדה.

הקצאת מקרה

באפשרותך לבחור את התיבה הקצה ל ולציין את חשבון המשתמש להקצאת מקרה. כדי להקצות מחדש מקרה, הסר את חשבון המטלה הנוכחי על-ידי בחירה ב- "x" לצד שם החשבון ולאחר מכן בחר את התיבה הקצה ל. הקצאת בעלות על מקרה מקצה את אותה בעלות לכל ההתראות המשויכות אליה.

באפשרותך לקבל רשימה של אירועים שהוקצו לך על-ידי סינון תור האירועים.

  1. מתור האירועים, בחר מסננים.
  2. במקטע הקצאת אירוע, נקה את בחר הכל. בחר מוקצה לי, מוקצה למשתמש אחר או מוקצה לקבוצת משתמשים.
  3. בחר החל ולאחר מכן סגור את החלונית מסננים .

לאחר מכן תוכל לשמור את כתובת ה- URL המתווצאת בדפדפן כסימניה כדי לראות במהירות את רשימת האירועים שהוקצו לך.

פתרון מקרה

בחר פתור מקרה כדי להעביר את הלחצן הדו-מצבי שמאלה בעת פתרון אירוע. פתרון מקרה פותר גם את כל ההתראות המקושרות והפעילות הקשורות לתקרית.

מקרה שאינו נפתר מוצג כפעיל.

ציין את הסיווג

בשדה סיווג, עליך לציין אם המקרה הוא:

  • לא הוגדר (ברירת המחדל).
  • חיובי אמיתי עם סוג של איום. השתמש סיווג זה עבור מקרים המציינים באופן מדויק איום אמיתי. ציון סוג האיום עוזר לצוות האבטחה שלך לראות דפוסי איומים וכיצד להגן על הארגון שלך מפניהם.
  • מידע, פעילות צפויה עם סוג של פעילות. השתמש באפשרויות בקטגוריה זו כדי לסווג אירועים עבור בדיקות אבטחה, פעילות צוות אדומה ופעולות פעולה חריגות צפויות מאפליקציות ומשתמשים מהימנים.
  • תוצאה חיובית מוטעית עבור סוגי מקרים שאתה קובע שניתן להתעלם מהם מאחר שהם מבחינה טכנית אינם מדויקים או מונות.

סיווג אירועים וציון המצב וההקלדה שלהם עוזרים לכוונן את Microsoft Defender XDR כדי לספק זיהוי טוב יותר לאורך זמן.

הוספת הערות

באפשרותך להוסיף הערות מרובות לתקריות באמצעות השדה הערה . שדה ההערה תומך בטקסט ובעיצוב, בקישורים ובתמונות. כל הערה מוגבלת ל- 30,000 תווים.

כל ההערות מתווספות לאירועים ההיסטוריים של האירוע. באפשרותך לראות את ההערות וההיסטוריה של מקרה מהקישור הערות והיסטוריהבדף סיכום.

יומן פעילות

יומן הפעילות מציג רשימה של כל ההערות והפעולות שבוצעו באירוע, הידוע כביקורות והערות. כל השינויים שבוצעו באירוע, בין אם על-ידי משתמש או על-ידי המערכת, נרשמים ביומן הפעילות. יומן הפעילות זמין מהאפשרות יומן פעילות בדף האירוע או בחלונית הצדדית של האירוע.

סימון אפשרות יומן הפעילות בדף האירוע בפורטל Microsoft Defender שלך

באפשרותך לסנן את הפעילויות בתוך יומן הרישום לפי הערות ופעולות. לחץ על התוכן: ביקורות, הערות ולאחר מכן בחר את סוג התוכן לסינון פעילויות. הנה דוגמה.

סימון אפשרויות הסינון בתוך חלונית יומן הפעילות מתוך דף האירוע Microsoft Defender הפורטל

באפשרותך גם להוסיף הערות משלך באמצעות תיבת ההערה הזמינה ביומן הפעילות. תיבת ההערה מקבלת טקסט ועיצוב, קישורים ותמונות.

סימון תיבת ההערה מתוך דף האירוע בפורטל Microsoft Defender החדש

ייצוא נתוני אירוע ל- PDF

חשוב

חלק מהמידע במאמר זה מתייחס למוצר שהופץ מראש, וייתכן שישתנה באופן משמעותי לפני ההפצה המסחרית שלו. Microsoft אינה מבטיחה דבר, באופן מפורש או משתמע, באשר למידע המסופק כאן.

תכונת נתוני מקרי הייצוא זמינה כעת ללקוחות פלטפורמת Microsoft Defender XDR ו- Microsoft Defender של מרכז פעולות האבטחה המאוחד (SOC) עם Microsoft Copilot לרשיון אבטחה.

באפשרותך לייצא נתוני אירוע ל- PDF באמצעות הפונקציה 'יצא מקרה כ- PDF ' ולשמור אותם בתבנית PDF. פונקציה זו מאפשרת לצוותי אבטחה לסקור פרטי אירוע במצב לא מקוון בכל זמן נתון.

נתוני האירוע שיוצאו כוללים את המידע הבא:

להלן דוגמה של ה- PDF המיוצא:

צילום מסך של העמוד הראשון של ה- PDF המיוצא.

אם ברשותך רשיון Copilot לאבטחה, קובץ ה- PDF המיוצא מכיל את נתוני האירועים הנו נוספים הבאים:

פונקציית הייצוא ל- PDF זמינה גם בלוח הצדדי של Copilot של דוח מקרה שנוצר.

צילום מסך של פעולות נוספות בכרטיס תוצאות דוח המקרה.

כדי ליצור את ה- PDF, בצע את השלבים הבאים:

  1. פתח דף אירוע. בחר בשלוש הנקודות פעולות נוספות (...) בפינה השמאלית העליונה ובחר יצא מקרה כ- PDF. הפונקציה מופיעה באפור בעת יצירת ה- PDF.

    צילום מסך המדגיש את אפשרות הייצוא ל- PDF.

  2. מופיעה תיבת דו-שיח המציינת שה- PDF נוצר. בחר הבנתי כדי לסגור את תיבת הדו-שיח. בנוסף, הודעת מצב המציינת את המצב הנוכחי של ההורדה מופיעה מתחת לכותרת האירוע. תהליך הייצוא עשוי להימשך מספר דקות בהתאם המורכבות של האירוע ואת כמות הנתונים שיש לייצא.

    צילום מסך המדגיש הודעת ייצוא ומצב לפני ההורדה.

  3. לאחר שה- PDF מוכן, הודעת המצב מציינת שה- PDF מוכן ותיבת דו-שיח אחרת מופיעה. בחר הורד מתיבת הדו-שיח כדי לשמור את ה- PDF במכשיר שלך.

    צילום מסך המדגיש הודעת ייצוא ומצב כאשר ההורדה זמינה.

הדוח מאוחסן במטמון למשך כמה דקות. המערכת מספקת את ה- PDF שנוצר בעבר אם אתה מנסה לייצא שוב את אותו מקרה במסגרת זמן קצרה. כדי ליצור גירסה חדשה יותר של ה- PDF, המתן מספר דקות עד שתוקף המטמון יפוג.

השלבים הבאים

עבור אירועים חדשים, התחל את החקירה.

עבור אירועים בתהליך, המשך בחקירה.

עבור אירועים שנפתרו, בצע סקירה לאחר מקרה.

למידע נוסף

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.