Zarządzanie zdarzeniami w Microsoft 365 Defender

Uwaga

Chcesz doświadczyć Microsoft 365 Defender? Dowiedz się więcej o tym, jak można oceniać i pilotować Microsoft 365 Defender.

Dotyczy:

  • Microsoft 365 Defender

Zarządzanie zdarzeniami ma kluczowe znaczenie dla zapewniania nazwania, przypisania i tagowania zdarzeń w celu zoptymalizowania czasu w przepływie pracy związanej z incydentami oraz zapewnienia szybkiego blokowania zagrożeń i adresem ich.

Możesz zarządzać zdarzeniami z & i alertami > zdarzeniami po szybkim uruchomieniu portalu Microsoft 365 Defender (security.microsoft.com). Oto przykład.

Strona Zdarzenia w portalu Microsoft 365 Defender sieci Web

Oto sposoby zarządzania zdarzeniami:

Możesz zarządzać zdarzeniami z okienka Zarządzanie zdarzeniami w przypadku zdarzenia. Oto przykład.

Okienko Zarządzanie incydentami w portalu Microsoft 365 Defender sieci Microsoft 365 Defender

To okienko można wyświetlić za pomocą linku Zarządzaj incydentem na stronie:

  • Okienko Właściwości zdarzenia w kolejce zdarzenia.
  • Strona podsumowania zdarzenia.

W przypadkach, gdy chcesz przenieść alerty między zdarzeniami, możesz to również zrobić z karty Alerty, tworząc większe lub mniejsze zdarzenie, które zawiera wszystkie alerty.

Edytowanie nazwy zdarzenia

Microsoft 365 Defender automatycznie przypisuje nazwę na podstawie atrybutów alertów, takich jak liczba punktów końcowych, których dotyczy problem, użytkowników, źródeł wykrywania lub kategorii. Umożliwia to szybkie zrozumienie zakresu zdarzenia. Przykład: Wieloetapowe zdarzenie dotyczące wielu punktów końcowych zgłoszonych przez wiele źródeł.

Nazwę zdarzenia można edytować w polu Nazwa zdarzenia w okienku Zarządzanie zdarzeniem .

Uwaga

Zdarzenia, które istniały przed rozpoczęciem funkcji automatycznego nazewnictwa zdarzeń, zachowają swoje imię i nazwisko.

Dodawanie tagów zdarzeń

Możesz dodać tagi niestandardowe do zdarzenia, na przykład aby oflagować grupę zdarzeń o wspólnym cechu. Możesz później filtrować kolejkę zdarzeń pod celu filtrowania wszystkich zdarzeń zawierających określony tag.

Po rozpoczęciu wpisywania możesz wybrać pozycję z listy wcześniej używanych i zaznaczonych tagów.

Przypisywanie zdarzenia

Jeśli zdarzenie nie zostało jeszcze przypisane, możesz zaznaczyć pole Przypisz do i określić konto użytkownika. Aby ponownie przypisać zdarzenie, usuń bieżące konto zadania, wybierając znak "x" obok nazwy konta, a następnie pole Wyboru przypisz do. Przypisanie własności zdarzenia przypisuje tę samą własność wszystkim skojarzonym z nim alertom.

Możesz uzyskać listę przydzielonych Ci zdarzeń, filtrując kolejkę zdarzeń.

  1. W kolejce zdarzeń wybierz pozycję Filtry.
  2. w sekcji Zadanie na zdarzenie wyczyść pozycję Zaznacz wszystko i wybierz pozycję Przypisane do mnie.
  3. Wybierz pozycję Zastosuj, a następnie zamknij okienko Filtry.

Wynikowy adres URL możesz zapisać w przeglądarce jako zakładkę, aby szybko wyświetlić listę przydzielonych Ci zdarzeń.

Rozwiązywanie zdarzenia

Jeśli zdarzenie zostało rozwiązane, wybierz pozycję Rozwiąż zdarzenie, aby przenieść przełącznik w prawo. Zauważ, że rozwiązanie zdarzenia rozwiązuje również wszystkie połączone i aktywne alerty związane z tym zdarzeniem.

Zdarzenie, które nie zostanie rozpoznane, jest wyświetlane jako Aktywne.

Określanie klasyfikacji

W polu Klasyfikacja możesz określić, czy zdarzenie ma być:

  • Nie ustawiono (wartość domyślna).
  • Wartość true positive (wartość dodatnia) z rodzajem zagrożenia. Klasyfikację tę należy stosować do oznaczania zdarzeń, które dokładnie wskazują zagrożenie. Określenie typu zagrożeń ułatwia zespołowi zabezpieczeń wykrywanie wzorców zagrożeń i działania w obronie przed nimi organizacji.
  • Informacyjne, oczekiwane działanie z typem aktywności. Za pomocą opcji w tej kategorii możesz klasyfikować zdarzenia na użytek testów zabezpieczeń, czerwonej aktywności zespołu i oczekiwanego nietypowego zachowania zaufanych aplikacji i użytkowników.
  • Wynik fałszywie dodatni dla typów zdarzeń określonych przez Ciebie można zignorować, ponieważ są one technicznie niedokładne lub mylące.

Klasyfikowanie zdarzeń oraz określanie ich stanu i typu ułatwia dostosowanie Microsoft 365 Defender w celu zapewnienia lepszego określania wykrywania w czasie.

Dodawanie komentarzy

Za pomocą pola Komentarz możesz dodać wiele komentarzy do zdarzenia. Każdy komentarz zostanie dodany do historycznych zdarzeń zdarzenia. Komentarze i historię zdarzenia można wyświetlić za pomocą linku Komentarze i historia na stronie Podsumowanie .

Następne kroki

W przypadku nowych zdarzeń rozpocznij badanie.

W przypadku zdarzeń w trakcie procesu kontynuuj badanie.

W przypadku rozwiązanych zdarzeń przejdę recenzję po zdarzeniu.

Zobacz też