Określanie priorytetów zdarzeń w portalu Microsoft Defender
Ujednolicona platforma operacji zabezpieczeń w portalu Microsoft Defender stosuje analizę korelacji oraz agreguje powiązane alerty i zautomatyzowane badania z różnych produktów w przypadku zdarzenia. Usługa Microsoft Sentinel i Defender XDR również wyzwalają unikatowe alerty dotyczące działań, które można zidentyfikować tylko jako złośliwe, biorąc pod uwagę kompleksowy wgląd w ujednoliconą platformę w całym zestawie produktów. Ten widok zapewnia analitykom zabezpieczeń szerszą historię ataków, która pomaga im lepiej zrozumieć złożone zagrożenia w całej organizacji i radzić sobie z nimi.
Ważna
Usługa Microsoft Sentinel jest dostępna w ramach publicznej wersji zapoznawczej dla ujednoliconej platformy operacji zabezpieczeń w portalu Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu Microsoft Defender.
Kolejka zdarzeń
Kolejka Zdarzenia zawiera kolekcję zdarzeń, które zostały utworzone na różnych urządzeniach, użytkownikach, skrzynkach pocztowych i innych zasobach. Ułatwia ona sortowanie zdarzeń w celu określenia priorytetów i utworzenia świadomej decyzji dotyczącej reagowania na cyberbezpieczeństwo, czyli procesu znanego jako klasyfikacja incydentów.
Porada
Przez ograniczony czas w styczniu 2024 r., gdy odwiedzisz stronę Zdarzenia , pojawi się usługa Defender Boxed. Usługa Defender Boxed przedstawia sukcesy, ulepszenia i działania związane z bezpieczeństwem organizacji w 2023 roku. Aby ponownie otworzyć usługę Defender Boxed, w portalu Microsoft Defender przejdź do pozycji Incydenty, a następnie wybierz pozycję Defender Boxed.
Możesz przejść do kolejki zdarzeń z witryny Incydenty & alerty > Zdarzenia przy szybkim uruchomieniu portalu Microsoft Defender. Oto przykład.
Wybierz pozycję Najnowsze zdarzenia i alerty , aby przełączyć rozszerzenie górnej sekcji, która pokazuje wykres osi czasu liczby odebranych alertów i zdarzeń utworzonych w ciągu ostatnich 24 godzin.
Poniżej znajduje się kolejka zdarzeń w portalu Microsoft Defender wyświetla zdarzenia widoczne w ciągu ostatnich sześciu miesięcy. Ostatnie zdarzenie znajduje się na górze listy, więc możesz je najpierw zobaczyć. Możesz wybrać inny przedział czasu, wybierając go z listy rozwijanej u góry.
Kolejka zdarzeń ma dostosowywalne kolumny (wybierz pozycję Dostosuj kolumny), które zapewniają wgląd w różne cechy zdarzenia lub jednostki, których dotyczy problem. To filtrowanie ułatwia podjęcie świadomej decyzji dotyczącej priorytetyzacji zdarzeń na potrzeby analizy.
Nazwy zdarzeń
Aby uzyskać większą widoczność na pierwszy rzut oka, Microsoft Defender XDR automatycznie generuje nazwy zdarzeń na podstawie atrybutów alertów, takich jak liczba punktów końcowych, których dotyczy problem, których dotyczy problem, źródła wykrywania lub kategorie. To konkretne nazewnictwo pozwala szybko zrozumieć zakres zdarzenia.
Na przykład: Zdarzenie wieloetapowe w wielu punktach końcowych zgłaszanych przez wiele źródeł.
Jeśli dodano usługę Microsoft Sentinel do ujednoliconej platformy operacji zabezpieczeń, wszelkie alerty i zdarzenia pochodzące z usługi Microsoft Sentinel prawdopodobnie zmienią ich nazwy (niezależnie od tego, czy zostały utworzone przed dołączeniem, czy od czasu ich dołączenia).
Zalecamy unikanie używania nazwy zdarzenia jako warunku wyzwalania reguł automatyzacji. Jeśli nazwa zdarzenia jest warunkiem, a nazwa zdarzenia zostanie zmieniona, reguła nie zostanie wyzwolona.
Filtry
Kolejka zdarzeń udostępnia również wiele opcji filtrowania, które po zastosowaniu umożliwiają przeprowadzenie szerokiego zakresu wszystkich istniejących zdarzeń w środowisku lub podjęcie decyzji o skoncentrowaniu się na konkretnym scenariuszu lub zagrożeniu. Zastosowanie filtrów w kolejce zdarzeń może pomóc w określeniu, które zdarzenie wymaga natychmiastowej uwagi.
Na liście Filtry powyżej listy zdarzeń są wyświetlane aktualnie zastosowane filtry.
W domyślnej kolejce zdarzeń możesz wybrać pozycję Dodaj filtr , aby wyświetlić listę rozwijaną Dodaj filtr , z której należy określić filtry do zastosowania do kolejki zdarzeń, aby ograniczyć wyświetlany zestaw zdarzeń. Oto przykład.
Wybierz filtry, których chcesz użyć, a następnie wybierz pozycję Dodaj w dolnej części listy, aby je udostępnić.
Teraz wybrane filtry są wyświetlane wraz z istniejącymi zastosowanymi filtrami. Wybierz nowy filtr, aby określić jego warunki. Jeśli na przykład wybrano filtr "Źródła usługi/wykrywania", wybierz go, aby wybrać źródła, według których ma zostać przefiltrowana lista.
Możesz również wyświetlić okienko Filtr , wybierając dowolny z filtrów na liście Filtry powyżej listy zdarzeń.
W tej tabeli wymieniono dostępne nazwy filtrów.
| Nazwa filtru | Opis/warunki |
|---|---|
| Stan | Wybierz pozycję Nowy, W toku lub Rozwiązano. |
| Ważność alertu Ważność zdarzenia |
Ważność alertu lub zdarzenia wskazuje na jego wpływ na zasoby. Im większa ważność, tym większy wpływ i zwykle wymaga natychmiastowej uwagi. Wybierz pozycję Wysoki, Średni, Niski lub Informacyjny. |
| Przypisanie zdarzenia | Wybierz przypisanego użytkownika lub użytkowników. |
| Wiele źródeł usług | Określ, czy filtr jest przeznaczony dla więcej niż jednego źródła usługi. |
| Źródła usługi/wykrywania | Określ zdarzenia zawierające alerty z co najmniej jednego z następujących elementów: Wiele z tych usług można rozszerzyć w menu, aby wyświetlić dalsze opcje źródeł wykrywania w ramach danej usługi. |
| Tagi | Wybierz jedną lub wiele nazw tagów z listy. |
| Wiele kategorii | Określ, czy filtr jest przeznaczony dla więcej niż jednej kategorii. |
| Kategorie | Wybierz kategorie, aby skoncentrować się na określonych taktykach, technikach lub widocznych składnikach ataku. |
| Podmioty | Określ nazwę zasobu, takiego jak użytkownik, urządzenie, skrzynka pocztowa lub nazwa aplikacji. |
| Poufność danych | Niektóre ataki koncentrują się na celowaniu w celu eksfiltrowania poufnych lub cennych danych. Stosując filtr dla określonych etykiet poufności, można szybko określić, czy informacje poufne zostały potencjalnie naruszone i nadać priorytet tym incydentom. Ten filtr wyświetla informacje tylko wtedy, gdy zastosowano etykiety poufności z Microsoft Purview Information Protection. |
| Grupy urządzeń | Określ nazwę grupy urządzeń . |
| Platforma systemu operacyjnego | Określ systemy operacyjne urządzeń. |
| Klasyfikacji | Określ zestaw klasyfikacji powiązanych alertów. |
| Stan zautomatyzowanego badania | Określ stan zautomatyzowanego badania. |
| Skojarzone zagrożenie | Określ nazwane zagrożenie. |
| Zasady alertów | Określ tytuł zasad alertu. |
Filtr domyślny to wyświetlanie wszystkich alertów i zdarzeń o stanie Nowy i W toku oraz o ważności Wysoki, Średni lub Niski.
Możesz szybko usunąć filtr, wybierając znak X w nazwie filtru na liście Filtry .
Możesz również utworzyć zestawy filtrów na stronie zdarzeń, wybierając pozycję Zapisane zapytania filtrów > Twórca zestaw filtru. Jeśli nie utworzono żadnych zestawów filtrów, wybierz pozycję Zapisz , aby je utworzyć.
Zapisywanie filtrów niestandardowych jako adresów URL
Po skonfigurowaniu przydatnego filtru w kolejce zdarzeń możesz dodać do zakładki adres URL karty przeglądarki lub w inny sposób zapisać go jako link na stronie sieci Web, Word dokumencie lub wybranym miejscu. Zakładka zapewnia dostęp jednym kliknięciem do kluczowych widoków kolejki zdarzeń, takich jak:
- Nowe zdarzenia
- Zdarzenia o wysokiej ważności
- Nieprzypisane zdarzenia
- Zdarzenia o wysokiej ważności, nieprzypisane
- Zdarzenia przypisane do mnie
- Zdarzenia przypisane do mnie i dla Ochrona punktu końcowego w usłudze Microsoft Defender
- Zdarzenia z określonym tagiem lub tagami
- Zdarzenia z określoną kategorią zagrożeń
- Incydenty z określonym powiązanym zagrożeniem
- Incydenty z określonym aktorem
Po skompilowaniu i zapisaniu listy przydatnych widoków filtrów jako adresów URL użyj jej do szybkiego przetwarzania i określania priorytetów zdarzeń w kolejce oraz zarządzania nimi w celu późniejszego przypisania i analizy.
Search
W polu Search pod kątem nazwy lub identyfikatora powyżej listy zdarzeń możesz wyszukiwać zdarzenia na wiele sposobów, aby szybko znaleźć to, czego szukasz.
Search według nazwy lub identyfikatora zdarzenia
Search bezpośrednio dla zdarzenia, wpisując identyfikator zdarzenia lub nazwę zdarzenia. Po wybraniu zdarzenia z listy wyników wyszukiwania portal Microsoft Defender otwiera nową kartę z właściwościami zdarzenia, z której można rozpocząć badanie.
Search przez zasoby, których dotyczy problem
Możesz nazwać zasób — taki jak użytkownik, urządzenie, skrzynka pocztowa, nazwa aplikacji lub zasób w chmurze — i znaleźć wszystkie zdarzenia związane z tym zasobem.
Określanie zakresu czasu
Domyślna lista zdarzeń dotyczy zdarzeń, które miały miejsce w ciągu ostatnich sześciu miesięcy. Możesz określić nowy zakres czasu z listy rozwijanej obok ikony kalendarza, wybierając następujące opcje:
- Jeden dzień
- Trzy dni
- Tydzień
- 30 dni
- 30 dni
- Sześć miesięcy
- Zakres niestandardowy, w którym można określić daty i godziny
Następne kroki
Po określeniu, które zdarzenie wymaga najwyższego priorytetu, wybierz go i:
- Zarządzaj właściwościami zdarzenia dla tagów, przypisania, natychmiastowego rozwiązania zdarzeń fałszywie dodatnich i komentarzy.
- Rozpocznij badania.
Zobacz też
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla