Introduktion till att svara på din första incident

Viktigt

Det förbättrade Microsoft 365 Säkerhetscenter är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office, 365 Microsoft 365 Defender och annat till Microsoft 365 säkerhetscenter. Läs om de senaste.

Gäller för:

  • Microsoft 365 Defender

Organisationens strategi för incidentåtgärder avgör om organisationen kan hantera allt störande säkerhetstillbud och cyberbrott. Att vidta preventativa åtgärder är viktigt, men möjligheten att agera snabbt för att begränsa, radera och återställa efter identifierade incidenter kan minimera skador och affärsförluster.

Den här genomgången av incidentåtgärder visar hur du som en del av ett team för säkerhetsåtgärder kan utföra de flesta viktiga åtgärder för incidenter i Microsoft 365 Defender. Här är stegen:

  • Förberedelse av din säkerhetsstatus
  • För varje incident:
    • Steg 1: Triage och analys
    • Steg 2: Åtgärd (inneslutning, överläggning och återställning)
    • Steg 3: Granskning efter incident

Ett säkerhetsincident definieras av National Institute of Standards and Technology (NIST) som "en förekomst som faktiskt eller potentiellt uppfyller sekretess, integritet eller tillgänglighet för ett informationssystem. eller den information som systemet bearbetar, lagrar eller överför; eller som utgör en överträdelse eller omedelbart hot om brott mot säkerhetsprinciper, säkerhetsmetoder eller principer för acceptabel användning."

Incidenter i Microsoft 365 Defender är den logiska utgångspunkten för analys och incidentsvar. Att analysera och åtgärda incidenter utgör vanligtvis de flesta av ett säkerhetsoperationsteams uppgifter.

Nästa steg

Förbereda organisationen och Microsoft 365 klientorganisation

Se till att din organisation Microsoft 365 klientorganisationen är förberedda för incidenthantering.

Se även

Vägledning om incidentsvar för Microsoft 365 Defender:

Ytterligare exempel på svar på första incidenter:

Detaljerade spelböcker för incidentsvar