Zarządzanie zdarzeniami w Microsoft Defender
Dotyczy:
- Microsoft Defender XDR
- Ujednolicona platforma centrum operacji zabezpieczeń (SOC) usługi Microsoft Defender
Zarządzanie zdarzeniami ma kluczowe znaczenie dla zapewnienia, że zdarzenia są nazwane, przypisane i oznakowane, aby zoptymalizować czas w przepływie pracy zdarzenia oraz szybciej ograniczać zagrożenia i rozwiązywać je.
Porada
Przez ograniczony czas w styczniu 2024 r., gdy odwiedzisz stronę Zdarzenia , pojawi się usługa Defender Boxed. Usługa Defender Boxed przedstawia sukcesy, ulepszenia i działania związane z bezpieczeństwem organizacji w 2023 roku. Aby ponownie otworzyć usługę Defender Boxed, w portalu Microsoft Defender przejdź do pozycji Incydenty, a następnie wybierz pozycję Defender Boxed.
Zdarzeniami można zarządzać z poziomu zdarzeń & alertów > Zdarzenia na szybkim uruchomieniu portalu Microsoft Defender (security.microsoft.com). Oto przykład.
Oto sposoby zarządzania zdarzeniami:
- Edytowanie nazwy zdarzenia
- Przypisywanie lub zmienianie ważności
- Dodawanie tagów zdarzeń
- Przypisywanie zdarzenia do konta użytkownika
- Rozwiąż te problemy
- Określ jego klasyfikację
- Dodawanie komentarzy
- Ocena inspekcji działania i dodawanie komentarzy w dzienniku aktywności
- Eksportowanie danych zdarzeń do formatu PDF
Zdarzeniami można zarządzać w okienku Zarządzanie zdarzeniami dla zdarzenia. Oto przykład.
To okienko można wyświetlić za pomocą linku Zarządzaj zdarzeniem na stronie:
- Strona historii alertu.
- Okienko właściwości zdarzenia w kolejce zdarzeń.
- Strona podsumowania zdarzenia.
- Zarządzaj opcją zdarzenia znajdującą się w prawym górnym rogu strony Zdarzenia.
W przypadkach, gdy chcesz przenieść alerty z jednego zdarzenia do innego, możesz to zrobić również na karcie Alerty , tworząc w ten sposób większe lub mniejsze zdarzenie, które obejmuje wszystkie odpowiednie alerty.
Edytowanie nazwy zdarzenia
Microsoft Defender automatycznie przypisuje nazwę na podstawie atrybutów alertów, takich jak liczba punktów końcowych, których dotyczy problem, użytkowników, których dotyczy problem, źródła wykrywania lub kategorie. Nazwa zdarzenia pozwala szybko zrozumieć zakres zdarzenia. Na przykład: Zdarzenie wieloetapowe w wielu punktach końcowych zgłaszanych przez wiele źródeł.
Nazwę zdarzenia można edytować z pola Nazwa zdarzenia w okienku Zarządzanie zdarzeniem .
Uwaga
Zdarzenia, które istniały przed wdrożeniem funkcji automatycznego nazewnictwa zdarzeń, zachowają swoją nazwę.
Przypisywanie lub zmienianie ważności zdarzenia
Ważność zdarzenia można przypisać lub zmienić z pola Ważność w okienku Zarządzanie zdarzeniem . Ważność zdarzenia zależy od najwyższej ważności skojarzonych z nim alertów. Ważność zdarzenia można ustawić na wysoką, średnią, niską lub informacyjną.
Dodawanie tagów zdarzeń
Możesz dodać tagi niestandardowe do zdarzenia, na przykład w celu oznaczania grupy zdarzeń o wspólnej cechie. Później można filtrować kolejkę zdarzeń pod kątem wszystkich zdarzeń, które zawierają określony tag.
Opcja wyboru z listy wcześniej używanych i wybranych tagów jest wyświetlana po rozpoczęciu wpisywania.
Przypisywanie zdarzenia
Możesz wybrać pole Przypisz do i określić konto użytkownika, aby przypisać zdarzenie. Aby ponownie przypisać zdarzenie, usuń bieżące konto przypisania, wybierając znak "x" obok nazwy konta, a następnie zaznacz pole Przypisz do . Przypisanie własności zdarzenia przypisuje tę samą własność do wszystkich alertów z nim skojarzonych.
Listę zdarzeń przypisanych do Ciebie można uzyskać, filtrując kolejkę zdarzeń.
- W kolejce zdarzeń wybierz pozycję Filtry.
- W sekcji Przypisanie zdarzeniawyczyść pozycję Wybierz wszystko. Wybierz pozycję Przypisano do mnie, Przypisano do innego użytkownika lub Przypisano do grupy użytkowników.
- Wybierz pozycję Zastosuj, a następnie zamknij okienko Filtry .
Następnie możesz zapisać wynikowy adres URL w przeglądarce jako zakładkę, aby szybko wyświetlić listę przypisanych do Ciebie zdarzeń.
Rozwiązywanie zdarzenia
Wybierz pozycję Rozwiąż zdarzenie , aby przenieść przełącznik w prawo po skorygowaniu zdarzenia. Rozwiązanie zdarzenia rozwiązuje również wszystkie połączone i aktywne alerty związane ze zdarzeniem.
Zdarzenie, które nie zostało rozwiązane, jest wyświetlane jako Aktywne.
Określanie klasyfikacji
W polu Klasyfikacja określasz, czy zdarzenie jest następujące:
- Nie ustawiono (wartość domyślna).
- Wartość prawdziwie dodatnia z typem zagrożenia. Użyj tej klasyfikacji w przypadku zdarzeń, które dokładnie wskazują rzeczywiste zagrożenie. Określenie typu zagrożenia ułatwia zespołowi ds. zabezpieczeń wyświetlanie wzorców zagrożeń i działanie w celu ochrony organizacji przed nimi.
- Działanie informacyjne, oczekiwane z typem działania. Użyj opcji w tej kategorii, aby sklasyfikować zdarzenia na potrzeby testów zabezpieczeń, działania czerwonego zespołu i oczekiwanego nietypowego zachowania zaufanych aplikacji i użytkowników.
- Wyniki fałszywie dodatnie dla typów zdarzeń, które można określić, mogą być ignorowane, ponieważ są technicznie niedokładne lub wprowadzające w błąd.
Klasyfikowanie zdarzeń oraz określanie ich stanu i typu pomaga dostroić Microsoft Defender XDR w celu zapewnienia lepszego wykrywania w czasie.
Dodawanie komentarzy
Możesz dodać wiele komentarzy do zdarzenia za pomocą pola Komentarz . Pole komentarza obsługuje tekst i formatowanie, linki i obrazy. Każdy komentarz jest ograniczony do 30 000 znaków.
Wszystkie komentarze są dodawane do zdarzeń historycznych zdarzenia. Komentarze i historia zdarzenia można wyświetlić za pomocą linku Komentarze i historia na stronie Podsumowanie .
Dziennik aktywności
Dziennik aktywności zawiera listę wszystkich komentarzy i akcji wykonanych w zdarzeniu, nazywanych inspekcjami i komentarzami. Wszystkie zmiany wprowadzone w zdarzeniu, czy to przez użytkownika, czy przez system, są rejestrowane w dzienniku aktywności. Dziennik aktywności jest dostępny z poziomu opcji Dziennik aktywności na stronie zdarzenia lub w okienku po stronie zdarzenia.
Działania w dzienniku można filtrować według komentarzy i akcji. Kliknij pozycję Zawartość: Inspekcje, Komentarze, a następnie wybierz typ zawartości do filtrowania działań. Oto przykład.
Możesz również dodać własne komentarze przy użyciu pola komentarza dostępnego w dzienniku aktywności. Pole komentarza akceptuje tekst i formatowanie, linki i obrazy.
Eksportowanie danych zdarzeń do formatu PDF
Ważna
Niektóre informacje zawarte w tym artykule odnoszą się do wersji wstępnej produktu, który może zostać znacznie zmodyfikowany do czasu wydania wersji komercyjnej. Firma Microsoft nie udziela żadnych gwarancji, wyraźnych ani dorozumianych, w odniesieniu do podanych tutaj informacji.
Funkcja eksportowania danych zdarzeń jest obecnie dostępna dla klientów Microsoft Defender XDR i Microsoft Defender ujednoliconej platformy centrum operacji zabezpieczeń (SOC) z licencją Microsoft Copilot for security.
Dane zdarzenia można wyeksportować do pliku PDF za pośrednictwem funkcji Eksportuj zdarzenie jako plik PDF i zapisać je w formacie PDF. Ta funkcja umożliwia zespołom ds. zabezpieczeń przeglądanie szczegółów zdarzenia w trybie offline w dowolnym momencie.
Wyeksportowane dane zdarzenia zawierają następujące informacje:
- Omówienie zawierające szczegóły zdarzenia
- Wykres scenariusza ataku i kategorie zagrożeń
- Zasoby, których dotyczy problem, obejmujące maksymalnie 10 aktywów dla każdego typu zasobu
- Lista dowodów obejmująca do 100 elementów
- Dane pomocnicze, w tym wszystkie powiązane alerty i działania zarejestrowane w dzienniku aktywności
Oto przykład wyeksportowanego pliku PDF:
Jeśli masz licencję Copilot dla rozwiązań zabezpieczających, wyeksportowany plik PDF zawiera następujące dodatkowe dane zdarzenia:
Funkcja eksportu do formatu PDF jest również dostępna w panelu bocznym Copilot wygenerowanego raportu o zdarzeniu.
Aby wygenerować plik PDF, wykonaj następujące kroki:
Otwórz stronę zdarzenia. Wybierz wielokropek Więcej akcji (...) w prawym górnym rogu i wybierz pozycję Eksportuj zdarzenie jako plik PDF. Funkcja staje się wyszarzona podczas generowania pliku PDF.
Zostanie wyświetlone okno dialogowe wskazujące, że jest generowany plik PDF. Wybierz pozycję Got it (Got it), aby zamknąć okno dialogowe. Ponadto pod tytułem zdarzenia zostanie wyświetlony komunikat o stanie wskazujący bieżący stan pobierania. Proces eksportowania może potrwać kilka minut w zależności od złożoności zdarzenia i ilości danych do wyeksportowania.
Gdy plik PDF będzie gotowy, komunikat o stanie wskazuje, że plik PDF jest gotowy i zostanie wyświetlone kolejne okno dialogowe. Wybierz pozycję Pobierz w oknie dialogowym, aby zapisać plik PDF na urządzeniu.
Raport jest buforowany przez kilka minut. System udostępnia wcześniej wygenerowany plik PDF, jeśli spróbujesz ponownie wyeksportować to samo zdarzenie w krótkim czasie. Aby wygenerować nowszą wersję pliku PDF, poczekaj kilka minut, aż pamięć podręczna wygaśnie.
Następne kroki
W przypadku nowych zdarzeń rozpocznij badanie.
W przypadku zdarzeń w procesie kontynuuj badanie.
W przypadku rozwiązanych zdarzeń wykonaj przegląd po zdarzeniu.
Zobacz też
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla