Incidensek kezelése Microsoft Defender

  • Cikk

Érintett szolgáltatás:

  • Microsoft Defender XDR
  • A Microsoft Defender egyesített biztonsági üzemeltetési központ (SOC) platformja

Az incidenskezelés kritikus fontosságú annak biztosításához, hogy az incidensek neve, hozzárendelése és címkézése optimalizálja az időt az incidens-munkafolyamatban, és gyorsabban tartalmazza és kezelje a fenyegetéseket.

Tipp

2024 januárjában korlátozott ideig, amikor felkeresi az Incidensek oldalt, megjelenik a Defender Boxed. A Defender Boxed kiemeli a szervezet 2023-ban elért biztonsági sikereit, fejlesztéseit és válaszműveleteit. A Defender Boxed újbóli megnyitásához az Microsoft Defender portálon lépjen az Incidensek elemre, majd válassza a Saját Defender Dobozos lehetőséget.

Az incidenseket az Incidensek & riasztásokból > kezelheti az incidenseket a Microsoft Defender portál (security.microsoft.com) gyorsindításakor. Íme egy példa.

Az incidenskezelés lehetőség kiemelése az incidenssoron és a gyorsindítási panelen a Microsoft Defender portálon

Az incidensek kezelésének módjai a következők:

Az incidenseket az Incidensek kezelése panelen kezelheti. Íme egy példa.

Az Incidens kezelése panel a Microsoft Defender portálon

Ezt a panelt az Incidens kezelése hivatkozáson jelenítheti meg a következő helyről:

  • Riasztási történet oldala.
  • Egy incidens Tulajdonságok panelje az incidenssorban.
  • Incidens összefoglaló oldala.
  • Incidens kezelése lehetőség az Incidens oldal jobb felső sarkában.

Azokban az esetekben, amikor riasztásokat szeretne áthelyezni az egyik incidensből a másikba, ezt a Riasztások lapon is megteheti, így nagyobb vagy kisebb incidenst hozhat létre, amely az összes releváns riasztást tartalmazza.

Az incidens nevének szerkesztése

Microsoft Defender automatikusan hozzárendel egy nevet olyan riasztási attribútumok alapján, mint az érintett végpontok száma, az érintett felhasználók, az észlelési források vagy a kategóriák. Az incidens neve lehetővé teszi az incidens hatókörének gyors megértését. Például: Többfázisú incidens több, több forrás által jelentett végponton.

Az incidens nevét az Incidens kezelése panel Incidens neve mezőjében szerkesztheti.

Megjegyzés:

Azok az incidensek, amelyek az automatikus incidenselnevezési funkció bevezetése előtt léteztek, megőrzik a nevüket.

Incidens súlyosságának hozzárendelése vagy módosítása

Az incidens súlyosságát az Incidens kezelése panel Súlyosság mezőjében rendelheti hozzá vagy módosíthatja. Az incidens súlyosságát az ahhoz társított riasztások legmagasabb súlyossága határozza meg. Az incidens súlyossága beállítható magas, közepes, alacsony vagy tájékoztató értékre.

Incidenscímkék hozzáadása

Hozzáadhat egyéni címkéket egy incidenshez, például megjelölheti az incidensek egy csoportját egy közös jellemzővel. Később szűrheti az incidenssort az összes olyan incidensre, amely egy adott címkét tartalmaz.

A korábban használt és a kijelölt címkék listájából való kiválasztási lehetőség a gépelés megkezdése után jelenik meg.

Incidens hozzárendelése

Válassza a Hozzárendelés mezőbe, és adja meg az incidens hozzárendeléséhez használandó felhasználói fiókot. Incidens újbóli hozzárendeléséhez távolítsa el az aktuális hozzárendelési fiókot a fiók neve melletti "x" kiválasztásával, majd válassza a Hozzárendelés mezőbe. Az incidens tulajdonjogának hozzárendelése ugyanazt a tulajdonjogot rendeli hozzá az összes kapcsolódó riasztáshoz.

Az incidenssor szűrésével lekérheti az Önhöz rendelt incidensek listáját.

  1. Az incidenssoron válassza a Szűrők lehetőséget.
  2. Az Incidens-hozzárendelés szakaszban törölje az Összes kijelölése jelölőnégyzet jelölését. Válassza a Hozzárendelt, a Hozzárendelt egy másik felhasználóhoz vagy a Hozzárendelt egy felhasználói csoporthoz lehetőséget.
  3. Válassza az Alkalmaz lehetőséget, majd zárja be a Szűrők panelt.

Ezután könyvjelzőként mentheti az eredményként kapott URL-címet, így gyorsan megtekintheti az Önhöz rendelt incidensek listáját.

Incidens megoldása

Válassza az Incidens feloldása lehetőséget, ha az incidens szervizelésekor jobbra szeretné helyezni a kapcsolót. Az incidensek megoldása az incidenshez kapcsolódó összes csatolt és aktív riasztást is megoldja.

A fel nem oldott incidens aktívként jelenik meg.

A besorolás megadása

A Besorolás mezőben adja meg, hogy az incidens a következő-e:

  • Nincs beállítva (ez az alapértelmezett beállítás).
  • Valódi pozitív , egy fenyegetéstípussal. Ezt a besorolást olyan incidensekhez használja, amelyek pontosan jelzik a valós fenyegetést. A fenyegetéstípus megadása segít a biztonsági csapatnak a fenyegetési minták megtekintésében, és a szervezet védelmében.
  • Tájékoztató, elvárt tevékenység egy tevékenységtípussal. Az ebben a kategóriában található beállításokkal besorolhatja az incidenseket a biztonsági tesztekhez, a vörös csapattevékenységhez, valamint a megbízható alkalmazásoktól és felhasználóktól elvárt szokatlan viselkedéshez.
  • A tévesen pozitív típusú incidensek figyelmen kívül hagyhatók, mert technikailag pontatlanok vagy félrevezetőek.

Az incidensek besorolása, valamint állapotuk és típusuk megadása segít a Microsoft Defender XDR finomhangolásában, hogy idővel pontosabb észlelési meghatározást biztosítson.

Megjegyzések hozzáadása

A Megjegyzés mezővel több megjegyzést is hozzáadhat egy incidenshez. A megjegyzésmező támogatja a szöveget és a formázást, a hivatkozásokat és a képeket. Minden megjegyzés legfeljebb 30 000 karakter hosszúságú lehet.

Minden megjegyzés hozzá lesz adva az incidens előzményeihez. Az incidensek megjegyzéseit és előzményeit az Összefoglalás lap Megjegyzések és előzmények hivatkozásán tekintheti meg.

Tevékenységnapló

A Tevékenységnapló megjeleníti az incidenshez kapcsolódó összes megjegyzést és műveletet, amelyeket Audits and comments (Naplók és megjegyzések) néven ismerünk. Az incidensen végrehajtott összes módosítást, akár egy felhasználó, akár a rendszer rögzíti a tevékenységnaplóban. A tevékenységnapló az incidens oldalának Tevékenységnapló lehetőségében vagy az incidensoldali panelen érhető el.

A tevékenységnapló lehetőség kiemelése az incidens oldaláról a Microsoft Defender portálon

A naplóban lévő tevékenységeket megjegyzésekkel és műveletekkel szűrheti. Kattintson a Tartalom: Naplózás, Megjegyzések elemre, majd válassza ki a tartalomtípust a tevékenységek szűréséhez. Íme egy példa.

A szűrési beállítások kiemelése a tevékenységnapló panelen a Microsoft Defender portál incidensoldaláról

Saját megjegyzéseket is hozzáadhat a tevékenységnaplóban elérhető megjegyzésmező használatával. A megjegyzésmező szöveget és formázást, hivatkozásokat és képeket fogad el.

A megjegyzésmező kiemelése az incidens oldaláról a Microsoft Defender portálon

Incidensadatok exportálása PDF-fájlba

Fontos

A cikkben található információk egy része olyan előzetesen kiadott termékre vonatkozik, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal semmilyen, kifejezett vagy vélelmezett jótállást az itt megadott információkra vonatkozóan.

Az incidensadatok exportálása funkció jelenleg Microsoft Defender XDR és Microsoft Defender egyesített biztonsági üzemeltetési központ (SOC) platform ügyfelei számára érhető el a Microsoft Copilot biztonsági licenccel.

Az incidens adatait PDF-be exportálhatja az Incidens exportálása PDF-fájlként funkcióval, és MENTheti PDF formátumban. Ez a függvény lehetővé teszi, hogy a biztonsági csapatok bármikor offline állapotban tekintik át az incidens részleteit.

Az exportált incidensadatok a következő információkat tartalmazzák:

Íme egy példa az exportált PDF-fájlra:

Képernyőkép az exportált PDF első oldaláról.

Ha rendelkezik Copilot a biztonságért licenccel, az exportált PDF a következő további incidensadatokat tartalmazza:

Az exportálás PDF-be függvény a létrehozott incidensjelentés Copilot oldalpanelén is elérhető.

Képernyőkép az incidensjelentés eredménykártyáján található további műveletekről.

A PDF létrehozásához hajtsa végre a következő lépéseket:

  1. Nyisson meg egy incidensoldalt. Válassza a jobb felső sarokban található További műveletek három pontot (...), majd az Incidens exportálása PDF-ként lehetőséget. A függvény szürkítve jelenik meg a PDF létrehozásakor.

    Képernyőkép az incidens PDF-be exportálása lehetőségről.

  2. Megjelenik egy párbeszédpanel, amely azt jelzi, hogy a PDF létrehozása folyamatban van. A párbeszédpanel bezárásához válassza a Megvan lehetőséget. Emellett az incidens címe alatt megjelenik egy állapotüzenet, amely a letöltés aktuális állapotát jelzi. Az exportálási folyamat eltarthat néhány percig az incidens összetettségétől és az exportálandó adatok mennyiségétől függően.

    Képernyőkép az exportálási üzenetről és az állapotról letöltés előtt.

  3. Ha a PDF elkészült, az állapotüzenet jelzi, hogy a PDF kész, és megjelenik egy másik párbeszédpanel. Válassza a Letöltés lehetőséget a párbeszédpanelen a PDF-fájl eszközre mentéséhez.

    Képernyőkép az exportálási üzenetről és az állapotról, ha a letöltés elérhető.

A jelentés gyorsítótárazása néhány percig tart. A rendszer biztosítja a korábban létrehozott PDF-fájlt, ha rövid időn belül újra megpróbálja exportálni ugyanazt az incidenst. A PDF újabb verziójának létrehozásához várjon néhány percet, amíg a gyorsítótár lejár.

Következő lépések

Új incidensek esetén kezdje meg a vizsgálatot.

Folyamatban lévő incidensek esetén folytassa a vizsgálatot.

Megoldott incidensek esetén végezze el az incidens utáni felülvizsgálatot.

Lásd még

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.