Defender för identitetssäkerhetsvarningar i Microsoft 365 Defender

Gäller för:

  • Microsoft 365 Defender
  • Defender för identitet

I den här artikeln förklaras grunderna i hur du arbetar med Microsoft Defender för säkerhetsvarningar om identiteter i Microsoft 365 Defender.

Defender för identitetsaviseringar är inbyggda i Microsoft 365 Defender med ett dedikerat sidformat för identitetsavisering. Det här markerar det första steget i resan att introducera hela Microsoft Defender för identitetsupplevelse i Microsoft 365 Defender.

Den nya sidan med identitetsavisering ger Microsoft Defender för identitetskunder bättre signalberikande över domäner och nya automatiska identitetssvarsfunktioner. Det säkerställer att du håller dig säker och hjälper till att förbättra effektiviteten i dina säkerhetsåtgärder.

En av fördelarna med att undersöka aviseringar via Microsoft 365 Defender är att Microsoft Defender för identitetsaviseringar är ytterligare korrelerat med information som hämtas från var och en av de andra produkterna i programsviten. Dessa förbättrade aviseringar är konsekventa med de Microsoft 365 Defender aviseringsformat som kommer från Microsoft Defender för Office 365 och Microsoft Defender för slutpunkt. På den nya sidan slipper du navigera till en annan produktportal och undersöker aviseringar som är associerade med identitet.

Aviseringar som kommer från Defender för identitet kan nu utlösa funktionerna för automatiserad undersökning och svar (AIR) i Microsoft 365 Defender, inklusive automatisk åtgärd av aviseringar och minskning av verktyg och processer som kan bidra till den misstänkta aktiviteten.

Viktigt

Som en del av Microsoft 365 Defender har vissa alternativ och information ändrats i Defender för identitetsportalen. Läs informationen nedan för att ta reda på var du hittar både de välbekanta och nya funktionerna.

Granska säkerhetsvarningar

Aviseringar kan nås från flera platser, bland annat sidan Aviseringar, sidan Incidenter, sidorna för enskilda enheter och från sidan Avancerad sökning. I det här exemplet granskar vi sidan Aviseringar.

I Microsoft 365 Defendergår du till Incidenter & aviseringar och sedan till Aviseringar.

Gå till Incidenter och aviseringar och sedan Aviseringar.

Om du vill visa aviseringar från Defender för identitet väljer du Filter längst upp till höger och sedan Microsoft Defender för identitet under Tjänstkällor och väljer Använd:

Filtrera efter Defender för identitetshändelser.

Aviseringarna visas med information i följande kolumner: Aviseringsnamn , Taggar , Allvarlighetsgrad , Undersökningstillstånd , Status, Kategori , Identifieringskälla , Påverkade tillgångar , Första aktivitet och Senaste aktivitet.

Defender för identitetshändelser.

Hantera varningar

Om du klickar på aviseringsnamnet för en avisering går du till sidan med information om aviseringen. I den vänstra rutan visas en sammanfattning av Vad har hänt:

Vad hände i aviseringen.

Ovanför rutan Vad hände finns knapparna för kontona , Målvärd och Källvärd för aviseringen. För andra aviseringar kan du se knappar för information om ytterligare värdar, konton, IP-adresser, domäner och säkerhetsgrupper. Välj någon av dem för att få mer information om enheterna som ingår.

I det högra fönstret visas aviseringsinformationen. Här kan du se mer information och utföra flera uppgifter:

  • Klassificera den här aviseringen – Här kan du ange den här aviseringen som en Sant-avisering eller Falskt-avisering

    Klassificera avisering.

  • Aviseringstillstånd – I Ange klassificering kan du klassificera aviseringen som Sant eller Falskt. I Tilldelad till kan du tilldela aviseringen till dig själv eller ta bort den.

    Aviseringstillstånd.

  • Aviseringsinformation Under Aviseringsinformation hittar du mer information om den specifika aviseringen, följer en länk till dokumentation om typen av avisering, ser vilken händelse aviseringen är kopplad till, granskar alla automatiska undersökningar kopplade till den här aviseringstypen och ser vilka enheter och användare som påverkas.

    Aviseringsinformation.

  • Kommentarer & – här kan du lägga till dina kommentarer i aviseringen och se historiken för alla åtgärder som är associerade med aviseringen.

    Kommentarer och historik.

  • Hantera avisering – Om du väljer Hantera avisering går du till ett fönster där du kan redigera:

    • Status – Du kan välja Ny, Löst eller Pågår.

    • Klassificering – du kan välja True alert eller False alert.

    • Kommentar – du kan lägga till en kommentar om aviseringen.

      Om du väljer de tre punkterna bredvid Hantera avisering kan du kontakta en hotexpert , exportera aviseringen till en Excel-fil eller Länka till en annan händelse.

      Hantera avisering.

      Anteckning

      I Excel finns nu två länkar: Visa i Microsoft Defender för identitet och visa i Microsoft 365 Defender. Varje länk tar dig till relevant portal och ger information om aviseringen där.

Se även