Zarządzanie zdarzeniami Ochrona punktu końcowego w usłudze Microsoft Defender
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
- Microsoft Defender XDR
Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.
Zarządzanie zdarzeniami jest ważną częścią każdej operacji cyberbezpieczeństwa. Zdarzeniami można zarządzać, wybierając zdarzenie z kolejki zdarzeń lub okienka zarządzania zdarzeniami.
Porada
Przez ograniczony czas w styczniu 2024 r., gdy odwiedzisz stronę Zdarzenia , pojawi się usługa Defender Boxed. Usługa Defender Boxed przedstawia sukcesy, ulepszenia i działania związane z bezpieczeństwem organizacji w 2023 roku. Aby ponownie otworzyć usługę Defender Boxed, w portalu Microsoft Defender przejdź do pozycji Incydenty, a następnie wybierz pozycję Defender Boxed.
Wybranie zdarzenia z kolejki Zdarzenia powoduje utworzenie okienka Zarządzanie zdarzeniami , w którym można otworzyć stronę zdarzenia, aby uzyskać szczegółowe informacje.
Możesz przypisywać zdarzenia do siebie, zmieniać stan i klasyfikację, zmieniać ich nazwy lub komentować, aby śledzić ich postęp.
Porada
Aby szybko uzyskać dodatkową widoczność, nazwy zdarzeń są generowane automatycznie na podstawie atrybutów alertów, takich jak liczba punktów końcowych, których dotyczy problem, których dotyczy problem, źródła wykrywania lub kategorie. Dzięki temu można szybko zrozumieć zakres zdarzenia.
Na przykład: Zdarzenie wieloetapowe w wielu punktach końcowych zgłaszanych przez wiele źródeł.
Zdarzenia, które istniały przed wprowadzeniem automatycznego nazewnictwa zdarzeń, zachowają swoje nazwy.
Przypisywanie zdarzeń
Jeśli zdarzenie nie zostało jeszcze przypisane, możesz wybrać pozycję Przypisz do mnie , aby przypisać zdarzenie do siebie. W ten sposób przyjmuje na własność nie tylko zdarzenie, ale także wszystkie alerty z nim skojarzone.
Ustawianie stanu i klasyfikacji
Stan zdarzenia
Zdarzenia (aktywne lubrozwiązane) można kategoryzować, zmieniając ich stan w miarę postępu badania. Ułatwia to organizowanie i zarządzanie sposobem reagowania zespołu na zdarzenia.
Na przykład analityk SOC może przejrzeć pilne aktywne zdarzenia w danym dniu i podjąć decyzję o przypisaniu ich do siebie w celu zbadania.
Alternatywnie analityk SOC może ustawić zdarzenie jako rozwiązane , jeśli zdarzenie zostało skorygowane.
Klasyfikacji
Możesz wybrać, aby nie ustawiać klasyfikacji lub zdecydować, czy zdarzenie ma wartość true, czy false. Dzięki temu zespół może zobaczyć wzorce i uczyć się od nich.
Dodawanie komentarzy
Możesz dodawać komentarze i wyświetlać zdarzenia historyczne dotyczące zdarzenia, aby zobaczyć poprzednie zmiany wprowadzone w tym zdarzeniu.
Za każdym razem, gdy zostanie wprowadzona zmiana lub komentarz do alertu, jest on rejestrowany w sekcji Komentarze i historia.
Dodane komentarze natychmiast pojawiają się w okienku.
Tematy pokrewne
Porada
Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla