Определение приоритетов инцидентов на портале Microsoft Defender
Единая платформа операций безопасности на портале Microsoft Defender применяет корреляционный анализ и агрегирует связанные оповещения, а также автоматические исследования из разных продуктов в инциденте. Microsoft Sentinel и Defender XDR также активировать уникальные оповещения о действиях, которые можно определить как вредоносные только с учетом комплексной видимости на единой платформе во всем наборе продуктов. Это представление дает аналитикам безопасности более широкую историю атак, которая помогает им лучше понять и справиться со сложными угрозами в вашей организации.
Важно!
Microsoft Sentinel доступен в рамках общедоступной предварительной версии для единой платформы операций безопасности на портале Microsoft Defender. Дополнительные сведения см. в статье Microsoft Sentinel на портале Microsoft Defender.
Очередь инцидентов
В очереди инцидентов отображается коллекция инцидентов, созданных на разных устройствах, пользователях, почтовых ящиках и других ресурсах. Он помогает сортировать инциденты, чтобы определить приоритеты и создать информированное решение по реагированию на кибербезопасность, процесс, известный как рассмотрение инцидентов.
Совет
В течение ограниченного времени в январе 2024 г. при посещении страницы Инциденты отображается Boxed Defender. Defender Boxed освещает успехи, улучшения и действия по реагированию вашей организации в области безопасности в 2023 году. Чтобы снова открыть Defender Boxed, на портале Microsoft Defender перейдите в раздел Инциденты, а затем выберите Ваш защитник в коробке.
Вы можете открыть очередь инцидентов из раздела Инциденты & оповещений > Об инцидентах при быстром запуске портала Microsoft Defender. Ниже приведен пример.
Выберите Самые последние инциденты и оповещения, чтобы переключить расширение верхнего раздела, на котором отображается временная шкала график количества полученных оповещений и инцидентов, созданных за последние 24 часа.
Ниже в очереди инцидентов на портале Microsoft Defender отображаются инциденты, наблюдаемые за последние шесть месяцев. Самый последний инцидент находится в верхней части списка, поэтому вы можете увидеть его в первую очередь. Вы можете выбрать другой интервал времени, выбрав его в раскрывающемся списке в верхней части.
Очередь инцидентов содержит настраиваемые столбцы (выберите Настроить столбцы), которые позволяют просматривать различные характеристики инцидента или затронутых сущностей. Эта фильтрация помогает принять взвешенное решение в отношении определения приоритетов инцидентов для анализа.
Имена инцидентов
Для наглядности Microsoft Defender XDR автоматически создает имена инцидентов на основе атрибутов оповещений, таких как количество затронутых конечных точек, затронутых пользователей, источников обнаружения или категорий. Это конкретное именование позволяет быстро понять область инцидента.
Например: многоэтапный инцидент на нескольких конечных точках, сообщаемых несколькими источниками.
Если вы включили Microsoft Sentinel на единую платформу операций безопасности, то для всех оповещений и инцидентов, поступающих от Microsoft Sentinel, скорее всего, будут изменены имена (независимо от того, были ли они созданы до или после подключения).
Рекомендуется избегать использования имени инцидента в качестве условия для запуска правил автоматизации. Если имя инцидента является условием, а имя инцидента изменяется, правило не будет активировано.
Фильтры
Очередь инцидентов также предоставляет несколько параметров фильтрации, которые при применении позволяют выполнить широкую очистку всех существующих инцидентов в вашей среде или решить сосредоточиться на определенном сценарии или угрозе. Применение фильтров в очереди инцидентов помогает определить, какие инциденты требуют немедленного внимания.
В списке Фильтры над списком инцидентов отображаются примененные в настоящее время фильтры.
В очереди инцидентов по умолчанию можно выбрать Добавить фильтр , чтобы просмотреть раскрывающийся список Добавить фильтр , из которого вы указываете фильтры для применения к очереди инцидентов, чтобы ограничить набор показанных инцидентов. Ниже приведен пример.
Выберите фильтры, которые вы хотите использовать, а затем нажмите кнопку Добавить в нижней части списка, чтобы сделать их доступными.
Теперь выбранные фильтры отображаются вместе с существующими примененными фильтрами. Выберите новый фильтр, чтобы указать его условия. Например, если выбран фильтр "Источники службы и обнаружения", выберите его, чтобы выбрать источники для фильтрации списка.
Вы также можете просмотреть область Фильтр , выбрав любой из фильтров в списке Фильтры над списком инцидентов.
В этой таблице перечислены доступные имена фильтров.
| Имя фильтра | Описание и условия |
|---|---|
| Состояние | Выберите Создать, Выполняется или Устранено. |
| Серьезность оповещений Серьезность инцидента |
Серьезность оповещения или инцидента указывает на влияние, которое они могут оказать на ваши ресурсы. Чем выше серьезность, тем больше воздействие и, как правило, требует самого непосредственного внимания. Выберите Высокий, Средний, Низкий или Информационный. |
| Назначение инцидента | Выберите назначенного пользователя или пользователей. |
| Несколько служебных источников | Укажите, относится ли фильтр к нескольким источникам служб. |
| Источники службы и обнаружения | Укажите инциденты, содержащие оповещения из одного или нескольких из следующих: Многие из этих служб можно развернуть в меню, чтобы отобразить дальнейший выбор источников обнаружения в данной службе. |
| Tags | Выберите одно или несколько имен тегов в списке. |
| Несколько категорий | Укажите, относится ли фильтр к нескольким категориям. |
| Categories | Выберите категории, чтобы сосредоточиться на конкретных тактиках, методах или компонентах атак. |
| Entities | Укажите имя ресурса, например пользователя, устройства, почтового ящика или имени приложения. |
| Конфиденциальность данных | Целью некоторых атак является фильтрация конфиденциальных или ценных данных. Применяя фильтр для определенных меток конфиденциальности, вы можете быстро определить, была ли потенциально скомпрометирована конфиденциальная информация, и приоритизировать решение этих инцидентов. Этот фильтр отображает сведения только в том случае, если вы применили метки конфиденциальности из Защита информации Microsoft Purview. |
| Группы устройств | Укажите имя группы устройств . |
| Платформа ОС | Укажите операционные системы устройства. |
| Классификация | Укажите набор классификаций связанных оповещений. |
| Состояние автоматического расследования | Укажите состояние автоматического исследования. |
| Связанная угроза | Укажите именованную угрозу. |
| Политики оповещений | Укажите заголовок политики оповещений. |
Фильтр по умолчанию — отображение всех оповещений и инцидентов с состоянием "Новый" и "Выполняется " и с уровнем серьезности "Высокий", "Средний" или "Низкий".
Вы можете быстро удалить фильтр, выбрав X в имени фильтра в списке Фильтры .
Вы также можете создать наборы фильтров на странице инцидентов, выбрав Сохраненные запросы > фильтра Create набор фильтров. Если наборы фильтров не созданы, нажмите кнопку Сохранить , чтобы создать их.
Сохранение настраиваемых фильтров в виде URL-адресов
Настроив полезный фильтр в очереди инцидентов, вы можете добавить в закладку URL-адрес вкладки браузера или сохранить его как ссылку на веб-странице, Word документе или в выбранном месте. Закладки предоставляют доступ одним щелчком к ключевым представлениям очереди инцидентов, например:
- Новые инциденты
- Инциденты с высоким уровнем серьезности
- Неназначенные инциденты
- Инциденты с высоким уровнем серьезности, неназначенные
- Назначенные мне инциденты
- Инциденты, назначенные мне и для Microsoft Defender для конечной точки
- Инциденты с определенным тегом или тегами
- Инциденты с определенной категорией угроз
- Инциденты с определенной связанной угрозой
- Инциденты с определенным субъектом
После компиляции и сохранения списка полезных представлений фильтров в виде URL-адресов используйте его для быстрой обработки и определения приоритетов инцидентов в очереди и управления ими для последующего назначения и анализа.
Поиск
В поле Поиск имя или идентификатор над списком инцидентов можно искать инциденты несколькими способами, чтобы быстро найти то, что вы ищете.
Поиск по имени или идентификатору инцидента
Поиск непосредственно для инцидента, введя идентификатор инцидента или имя инцидента. При выборе инцидента из списка результатов поиска на портале Microsoft Defender откроется новая вкладка со свойствами инцидента, с которой можно начать расследование.
Поиск затронутыми ресурсами
Вы можете присвоить ресурсу имя пользователя, устройства, почтового ящика, имени приложения или облачного ресурса, и найти все инциденты, связанные с этим ресурсом.
Указание диапазона времени
Список инцидентов по умолчанию — для инцидентов, произошедших за последние шесть месяцев. Новый диапазон времени можно указать в раскрывающемся списке рядом со значком календаря, выбрав:
- Один день
- Три дня
- Одна неделя
- 30 дней
- 30 дней
- Шесть месяцев
- Настраиваемый диапазон, в котором можно указать как даты, так и время.
Дальнейшие действия
Определив, какой инцидент требует наивысшего приоритета, выберите его и:
- Управление свойствами инцидента для тегов, назначений, немедленного разрешения ложноположительных инцидентов и комментариев.
- Начните расследование.
См. также
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по