Behandle hendelser i Microsoft Defender

  • Artikkel

Gjelder for:

  • Microsoft Defender XDR
  • Microsoft Defender-plattformen for enhetlig sikkerhetsoperasjonssenter (SOC)

Hendelsesbehandling er avgjørende for å sikre at hendelser blir navngitt, tilordnet og merket for å optimalisere tiden i hendelsesarbeidsflyten og raskere inneholde og håndtere trusler.

Tips

I en begrenset periode i løpet av januar 2024, vises Defender Boxed når du besøker Hendelser-siden . Defender Boxed fremhever organisasjonens sikkerhetssuksesser, forbedringer og responshandlinger i løpet av 2023. Hvis du vil åpne Defender Boxed på nytt, går du til Hendelser i Microsoft Defender-portalen, og deretter velger du Din Defender Boxed.

Du kan håndtere hendelser fra hendelser & varsler hendelser > på hurtigstartlinjen i Microsoft Defender-portalen (security.microsoft.com). Her er et eksempel.

Utheve alternativet Administrer hendelse i hendelseskøen og hurtigstartruten i Microsoft Defender-portalen

Her er måtene du kan håndtere hendelsene dine på:

Du kan administrere hendelser fra ruten Administrer hendelser for en hendelse. Her er et eksempel.

Behandle hendelse-ruten i Microsoft Defender-portalen

Du kan vise denne ruten fra koblingen Administrer hendelse på:

  • Varselartikkelside .
  • Egenskapsruten for en hendelse i hendelseskøen.
  • Sammendragsside for en hendelse.
  • Administrer hendelsesalternativet som er plassert øverst til høyre på Hendelse-siden.

I tilfeller der du vil flytte varsler fra én hendelse til en annen, kan du også gjøre det fra Varsler-fanen , og dermed opprette en større eller mindre hendelse som inkluderer alle relevante varsler.

Rediger hendelsesnavnet

Microsoft Defender tilordner automatisk et navn basert på varselattributter, for eksempel antall berørte endepunkter, berørte brukere, gjenkjenningskilder eller kategorier. Med hendelsesnavnet kan du raskt forstå omfanget av hendelsen. Eksempel: Hendelse med flere faser på flere endepunkter rapportert av flere kilder.

Du kan redigere hendelsesnavnet fra hendelsesnavnfeltet i ruten Administrer hendelse .

Obs!

Hendelser som eksisterte før utrullingen av funksjonen for automatisk navngivning av hendelser, beholder navnet sitt.

Tilordne eller endre alvorsgrad for hendelser

Du kan tilordne eller endre alvorsgraden for en hendelse fra Alvorsgrad-feltet i ruten Administrer hendelse . Alvorlighetsgraden av en hendelse bestemmes av den høyeste alvorlighetsgraden av varslene som er knyttet til den. Alvorlighetsgraden av en hendelse kan settes til høy, middels, lav eller informasjonsmessig.

Legg til hendelseskoder

Du kan legge til egendefinerte koder i en hendelse, for eksempel for å flagge en gruppe hendelser med en felles egenskap. Du kan senere filtrere hendelseskøen for alle hendelser som inneholder en bestemt kode.

Alternativet for å velge fra en liste over tidligere brukte og valgte koder vises når du begynner å skrive.

Tilordne en hendelse

Du kan velge Tilordne til-boksen og angi brukerkontoen for å tilordne en hendelse. Hvis du vil tilordne en hendelse på nytt, fjerner du den gjeldende tilordningskontoen ved å velge x ved siden av kontonavnet, og deretter velger du Tilordne til-boksen . Tilordning av eierskap til en hendelse tilordner det samme eierskapet til alle varslene som er knyttet til den.

Du kan få en liste over hendelser tilordnet til deg ved å filtrere hendelseskøen.

  1. Velg Filtre fra hendelseskøen.
  2. Fjern merket for Merk alle i inndelingen Hendelsesoppgave. Velg Tilordnet til meg, Tilordnet til en annen bruker eller Tilordnet til en brukergruppe.
  3. Velg Bruk, og lukk deretter Filtre-ruten .

Deretter kan du lagre nettadressen i nettleseren som et bokmerke for raskt å se listen over hendelser som er tilordnet deg.

Løse en hendelse

Velg Løs hendelse for å flytte veksleknappen til høyre når en hendelse utbedres. Å løse en hendelse løser også alle koblede og aktive varsler knyttet til hendelsen.

En hendelse som ikke er løst, vises som Aktiv.

Angi klassifiseringen

Fra Klassifisering-feltet angir du om hendelsen er:

  • Ikke angitt (standard).
  • Sann positiv med en type trussel. Bruk denne klassifiseringen for hendelser som nøyaktig angir en reell trussel. Hvis du angir trusseltypen, kan sikkerhetsteamet se trusselmønstre og handle for å forsvare organisasjonen mot dem.
  • Informasjon, forventet aktivitet med en type aktivitet. Bruk alternativene i denne kategorien til å klassifisere hendelser for sikkerhetstester, rød teamaktivitet og forventet uvanlig oppførsel fra klarerte apper og brukere.
  • Falsk positiv for typer hendelser som du bestemmer kan ignoreres fordi de er teknisk unøyaktige eller villedende.

Klassifisering av hendelser og angivelse av status og type bidrar til å justere Microsoft Defender XDR for å gi bedre oppdagelsesbestemmelse over tid.

Legge til kommentarer

Du kan legge til flere kommentarer i en hendelse med Kommentar-feltet . Kommentarfeltet støtter tekst og formatering, koblinger og bilder. Hver kommentar er begrenset til 30 000 tegn.

Alle kommentarer legges til de historiske hendelsene i hendelsen. Du kan se kommentarene og loggen til en hendelse fra koblingen Kommentarer og loggSammendrag-siden .

Aktivitetslogg

Aktivitetsloggen viser en liste over alle kommentarer og handlinger som er utført på hendelsen, kjent som revisjoner og kommentarer. Alle endringer i hendelsen, enten av en bruker eller av systemet, registreres i aktivitetsloggen. Aktivitetsloggen er tilgjengelig fra aktivitetsloggalternativet på hendelsessiden eller i ruten for hendelsessiden.

Utheve aktivitetsloggalternativet fra hendelsessiden i Microsoft Defender-portalen

Du kan filtrere aktivitetene i loggen etter kommentarer og handlinger. Klikk innhold: Revisjoner, kommentarer, og velg deretter innholdstypen for å filtrere aktiviteter. Her er et eksempel.

Utheve filteralternativene i aktivitetsloggruten fra hendelsessiden i Microsoft Defender-portalen

Du kan også legge til dine egne kommentarer ved hjelp av kommentarboksen som er tilgjengelig i aktivitetsloggen. Kommentarboksen godtar tekst og formatering, koblinger og bilder.

Utheve kommentarboksen fra hendelsessiden i Microsoft Defender-portalen

Eksporter hendelsesdata til PDF

Viktig

Noe informasjon i denne artikkelen er knyttet til forhåndsutgitt produkt, som kan endres vesentlig før det utgis kommersielt. Microsoft gir ingen garantier, uttrykkelige eller underforståtte, med hensyn til informasjonen som er oppgitt her.

Funksjonen for eksport av hendelsesdata er for øyeblikket tilgjengelig for Microsoft Defender XDR og Microsoft Defender kunder med SOC-plattformen (Unified Security Operations Center) med Microsoft Copilot for sikkerhetslisens.

Du kan eksportere en hendelses data til PDF gjennom Eksporter hendelsen som PDF-funksjon og lagre den i PDF-format. Denne funksjonen gjør det mulig for sikkerhetsteam å se gjennom detaljene for en hendelse i frakoblet modus til enhver tid.

De eksporterte hendelsesdataene inneholder følgende informasjon:

Her er et eksempel på den eksporterte PDF-filen:

Skjermbilde av den eksporterte PDF-filens første side.

Hvis du har Copilot for sikkerhet-lisensen, inneholder den eksporterte PDF-filen følgende tilleggshendelsesdata:

Eksport til PDF-funksjonen er også tilgjengelig i Copilot-sidepanelet i en generert hendelsesrapport.

Skjermbilde av flere handlinger i resultatkortet for hendelsesrapporten.

Gjør følgende for å generere PDF-filen:

  1. Åpne en hendelsesside. Velg ellipsen Flere handlinger (...) øverst til høyre, og velg Eksporter hendelse som PDF. Funksjonen blir nedtonet mens PDF-filen genereres.

    Skjermbilde som uthever eksporthendelsen til PDF-alternativet.

  2. Det vises en dialogboks som angir at PDF-filen genereres. Velg Fikk den til å lukke dialogboksen. I tillegg vises en statusmelding som angir gjeldende status for nedlastingen, under hendelsestittelen. Eksportprosessen kan ta noen minutter avhengig av hendelsens kompleksitet og mengden data som skal eksporteres.

    Skjermbilde som uthever eksportmelding og status før nedlasting.

  3. Når PDF-filen er klar, angir statusmeldingen at PDF-filen er klar, og en annen dialogboks vises. Velg Last ned fra dialogboksen for å lagre PDF-filen på enheten.

    Skjermbilde som uthever eksportmelding og status når nedlasting er tilgjengelig.

Rapporten bufres i et par minutter. Systemet leverer den tidligere genererte PDF-filen hvis du prøver å eksportere den samme hendelsen på nytt innen kort tid. Hvis du vil generere en nyere versjon av PDF-filen, venter du noen minutter til hurtigbufferen utløper.

Neste trinn

For nye hendelser begynner du etterforskningen.

Fortsett etterforskningen for prosessrelaterte hendelser.

For løste hendelser utfører du en gjennomgang etter hendelsen.

Se også

Tips

Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.