Управление инцидентами в Microsoft 365 DefenderManage incidents in Microsoft 365 Defender

Важно!

Улучшенный Центр безопасности Microsoft 365 теперь доступен в общедоступной предварительной версии.The improved Microsoft 365 security center is now available. Этот новый интерфейс Центра безопасности Microsoft 365 объединяет Defender для конечной точки, Defender для Office 365, Microsoft 365 Defender и другие решения.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Узнайте о новых возможностях.Learn what's new.

Область применения:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender

Управление инцидентами имеет решающее значение для обеспечения сдерживания и решения угроз.Incident management is critical in ensuring that threats are contained and addressed.

Вы управляете инцидентами из & оповещений > инцидентов при быстром запуске центра Microsoft 365 безопасности (security.microsoft.com).You manage incidents from Incidents & alerts > Incidents on the quick launch of the Microsoft 365 security center (security.microsoft.com). Ниже приведен пример.Here's an example.

Пример очереди инцидента

Вот способы, которыми можно управлять своими инцидентами:Here are the ways you can manage your incidents:

Вы можете управлять инцидентами из области Управление инцидентами для инцидента.You can manage incidents from the Manage incident pane for an incident. Ниже приведен пример.Here's an example.

Пример области управления инцидентом инцидента

Эту области можно отобразить в ссылке Управление инцидентами по ссылке:You can display this pane from the Manage incident link on the:

  • Области свойств инцидента в очереди инцидента.Properties pane of an incident in the incident queue.
  • Сводная страница инцидента.Summary page of an incident.

В случаях, когда необходимо переместить оповещения из одного инцидента в другой, вы также можете сделать это со вкладки Alerts, создав таким образом больший или меньший инцидент, который включает все соответствующие оповещения.In cases where you want to move alerts from one incident to another, you can also do so from the Alerts tab, thus creating a larger or smaller incident that includes all relevant alerts.

Изменение имени инцидентаEdit the incident name

Microsoft 365 Defender автоматически назначает имя на основе атрибутов оповещений, таких как количество затронутых конечных точек, затронутых пользователей, источников обнаружения или категорий.Microsoft 365 Defender automatically assigns a name based on alert attributes such as the number of endpoints affected, users affected, detection sources or categories. Это позволяет быстро понять масштаб инцидента.This allows you to quickly understand the scope of the incident. Например: многоэтапный инцидент на нескольких конечных точках, сообщаемой несколькими источниками.For example: Multi-stage incident on multiple endpoints reported by multiple sources.

Имя инцидента можно изменить в поле Имя инцидента на области Управление инцидентами.You can edit the incident name from the Incident name field on the Manage incident pane.

Примечание

Инциденты, существовающие до выкатки функции автоматического именования инцидентов, сохраняют свое имя.Incidents that existed before the rollout of the automatic incident naming feature will retain their name.

Добавление тегов инцидентаAdd incident tags

К инциденту можно добавить настраиваемые теги, например для флага группы инцидентов с общей характеристикой.You can add custom tags to an incident, for example to flag a group of incidents with a common characteristic. Позже можно отфильтровать очередь инцидентов для всех инцидентов, содержащих определенный тег.You can later filter the incident queue for all incidents that contain a specific tag.

Когда вы начинаете печатать, у вас есть возможность выбрать из списка выбранных тегов.When you start typing, you have the option to select from a list of selected tags.

Назначение инцидентовAssign incidents

Чтобы назначить инцидент, выберите Назначение для меня.To assign an incident, select Assign to me. При этом назначается право собственности на инцидент и все оповещения, связанные с ним, на учетную запись пользователя.Doing so assigns ownership of the incident and all the alerts associated with it to your user account.

Вы можете получить список инцидентов, назначенного вам, фильтруя очередь инцидента.You can get a list of incidents assigned to you by filtering the incident queue.

  1. Из очереди инцидента выберите Фильтры.From the incident queue, select Filters.
  2. в разделе Назначение инцидента, очистить Выберите все и выберите назначенное мне.in the Incident assignment section, clear Select all and select Assigned to me.
  3. Выберите Применить, а затем закрыть области Фильтры.Select Apply, and then close the Filters pane.

Затем вы можете сохранить в браузере в качестве закладки соответствующий URL-адрес, чтобы быстро увидеть список инцидентов, назначенного вам.You can then save the resulting URL in your browser as a bookmark to quickly see the list of incidents assigned to you.

Устранение инцидентаResolve an incident

Если инцидент был исправлен, выберите разрешить инцидент, чтобы переместить перегной вправо.If the incident has been remediated, select Resolve incident to move the toggle to the right. Обратите внимание, что устранение инцидента также устраняет все связанные и активные оповещения, связанные с инцидентом.Note that resolving an incident also resolves all the linked and active alerts related to the incident.

Инцидент, который не разрешен, отображается как Active.An incident that is not resolved displays as Active.

Настройка классификации и определенияSet the classification and determination

Классификация инцидентов — это истинное оповещение или ложное оповещение, которое настраивается из поля Классификация.The incident classification is whether it was a true alert or a false alert, which you configure from the Classification field.

Если это было настоящее оповещение, необходимо также указать тип угрозы с полем Определения.If it was a true alert, you should also specify what type of threat it was with the Determination field. Указание типа угрозы помогает группе безопасности видеть шаблоны угроз и защищать организацию от них.Specifying the threat type helps your security team see threat patterns and act to defend your organization from them.

Добавление примечанийAdd comments

Вы можете добавить несколько комментариев к инциденту с полем Комментарий.You can add multiple comments to an incident with the Comment field. Каждый комментарий добавляется к историческим событиям инцидента.Each comment gets added to the historical events of the incident. Комментарии и история инцидента см. в разделе Комментарии и история на странице Сводка.You can see the comments and history of an incident from the Comments and history link on the Summary page.

Дальнейшие действияNext steps

Для новых инцидентов, начните свое расследование.For new incidents, begin your investigation.

В случае инцидентов в процессе продолжайте расследование.For in-process incidents, continue your investigation.

Для разрешения инцидентов выполните проверку после инцидента.For resolved incidents, perform a post-incident review.

См. такжеSee also