Steg 3. Granska ditt första incident efter incidenten

Viktigt

Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.

Gäller för:

  • Microsoft 365 Defender

National Institute of Standards and Technology (NIST) rekommenderar att organisationer måste granska händelsen för att kunna lära sig av det och förbättra säkerhetsattacker eller -processer när alla åtgärder har genomförts. Att utvärdera olika aspekter av incidenthantering är viktigt i förberedelsen för nästa incident.

Microsoft 365 Defender kan hjälpa till med att utföra aktiviteter efter incidenter genom att ge en organisation aviseringar som stämmer överens med MITRE ATT&CK Framework. Alla etikettattacker på Microsoft Defender-lösningar i enlighet med en ATT&CK-taktik eller -teknik.

Genom att mappa aviseringar till det här branschramverket kan du:

  • Genomför en analys av luckor i säkerhetstäckningen.
  • Fastställa adversary- och kampanjattribution.
  • Utföra trendanalyser.
  • Identifiera kompetensbrister i information om attackmetoden.
  • Skapa en Power Automate Spelbok för snabbare åtgärd.

Granskningsaktivitet efter incidenter kan också resultera i finjustering av din säkerhetskonfiguration och säkerhetsteamets processer, och förbättra organisationens svarsfunktioner.

Nästa steg

Se följande ytterligare undersökningssökvägar:

Se även