Prioritera ärenden i Microsoft 365 DefenderPrioritize incidents in Microsoft 365 Defender

Viktigt

Det förbättrade Microsoft 365 Säkerhetscenter är nu tillgänglig.The improved Microsoft 365 security center is now available. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office, 365 Microsoft 365 Defender och annat till Microsoft 365 säkerhetscenter.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Läs om de senaste.Learn what's new.

Gäller för:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender

Microsoft 365 Defender tillämpar korrelationsanalys och sammanställer relaterade aviseringar och automatiska undersökningar från olika produkter för ett incident.Microsoft 365 Defender applies correlation analytics and aggregates related alerts and automated investigations from different products into an incident. Microsoft 365 Defender utlöser även unika aviseringar för aktiviteter som bara kan identifieras som skadliga givet den end-to-end-synlighet som Microsoft 365 Defender har i hela produktpaketet.Microsoft 365 Defender also triggers unique alerts on activities that can only be identified as malicious given the end-to-end visibility that Microsoft 365 Defender has across the entire suite of products. Den här vyn ger dina säkerhetsanalytiker den bredare attack storyn, som hjälper dem att bättre förstå och hantera komplexa hot i organisationen.This view gives your security analysts the broader attack story, which help them better understand and deal with complex threats across your organization.

I kön Incident visas en samling incidenter som har skapats på olika enheter, användare och postlådor.The Incident queue shows a collection of incidents that were created across devices, users, and mailboxes. Det hjälper dig att sortera olika incidenter för att prioritera och skapa ett välgrundat beslut om cybersäkerhet.It helps you sort through incidents to prioritize and create an informed cybersecurity response decision.

Du kommer till incidentkön från Incidenter & aviseringar > Incidenter i snabbstarten av Microsoft 365 Defender portalen (security.microsoft.com).You get to the incident queue from Incidents & alerts > Incidents on the quick launch of the Microsoft 365 Defender portal (security.microsoft.com). Här är ett exempel.Here's an example.

Exempel på incidentkön

I avsnittet Senaste incidenter och aviseringar visas ett diagram över antalet aviseringar som tagits emot och incidenter som skapats de senaste 24 timmarna.The Most recent incidents and alerts section shows a graph of the number of alerts received and incidents created in the last 24 hours.

Som standard visar incidentkön i Microsoft 365 Defender-portalen incidenter som har setts de senaste sex månaderna.By default, the incident queue in the Microsoft 365 Defender portal displays incidents seen in the last six months. Det senaste incidenten visas högst upp i listan så att du kan se den först.The most recent incident is at the top of the list so you can see it first.

Incidentkön har anpassningsbara kolumner (välj Välj kolumner) som ger dig insyn i olika egenskaper för incidenten eller berörda enheter.The incident queue has customizable columns (select Choose columns) that give you visibility into different characteristics of the incident or the impacted entities. På så sätt kan du fatta ett välgrundat beslut om prioritering av incidenter för analys.This helps you make an informed decision regarding the prioritization of incidents for analysis.

Om du vill ha bättre insyn genererar namn på automatiska incidenter incidentnamn baserat på aviseringsattribut, till exempel antalet slutpunkter som påverkas, användare som påverkas, identifieringskällor eller kategorier.For additional visibility at a glance, automatic incident naming generates incident names based on alert attributes such as the number of endpoints affected, users affected, detection sources, or categories. På så sätt kan du snabbt förstå incidentens omfattning.This allows you to quickly understand the scope of the incident.

Till exempel: Incident i flera steg på flera slutpunkter som rapporterats av flera källor.For example: Multi-stage incident on multiple endpoints reported by multiple sources.

Anteckning

De incidenter som tidigare fanns innan de automatiska namngivningarna för incidenter ändrades inte.Incidents that existed prior the rollout of automatic incident naming will not have their name changed.

I incidentkön visas även flera filtreringsalternativ, som när de används kan du rensa alla befintliga incidenter i din miljö eller välja att fokusera på ett visst scenario eller ett specifikt hot.The incident queue also exposes multiple filtering options, that when applied, enable you to perform a broad sweep of all existing incidents in your environment, or decide to focus on a specific scenario or threat. Genom att använda filter på incidentkön kan du avgöra vilket ärende som kräver omedelbar uppmärksamhet.Applying filters on the incident queue can help determine which incident requires immediate attention.

Tillgängliga filterAvailable filters

Från standardkön för incidenter kan du välja Filter för att visa ett filterfönster där du kan visa en filtrerad uppsättning incidenter.From the default incident queue, you can select Filters to see a Filters pane, from which you can view a filtered set of incidents. Här är ett exempel.Here is an example.

Exempel på filterfönstret för incidentkön

I den här tabellen visas de tillgängliga filternamnen.This table lists the filter names that are available.

FilternamnFilter name BeskrivningDescription
Tilldelad tillAssigned to Du kan välja att visa aviseringar som tilldelats dig eller de som hanteras automatiskt.You can choose to show alerts that are assigned to you or those handled by automation.
KategorierCategories Välj kategorier om du vill fokusera på specifika taktiker, tekniker eller attackkomponenter som visas.Choose categories to focus on specific tactics, techniques, or attack components seen.
KlassificeringClassification Filtrera incidenter baserat på de inställda klassificeringarna av relaterade aviseringar.Filter incidents based on the set classifications of the related alerts. Värdena omfattar sant varningar, falska aviseringar eller inte har angetts.The values include true alerts, false alerts, or not set.
DatakänslighetData sensitivity Vissa attacker fokuserar på att rikta för att föra in känsliga eller värdefulla data.Some attacks focus on targeting to exfiltrate sensitive or valuable data. Genom att använda ett filter för att se om känsliga data är inblandade i händelsen kan du snabbt avgöra om känslig information potentiellt har komprometterats och prioriterat de incidenterna.By applying a filter to see if sensitive data is involved in the incident, you can quickly determine if sensitive information has potentially been compromised and prioritize addressing those incidents.

Endast tillämpligt om Microsoft Information Protection är aktiverat.Only applicable if Microsoft Information Protection is turned on.
EnhetsgruppDevice group Filtrera efter definierade enhetsgrupper.Filter by defined device groups.
UndersökningstillståndInvestigation state Filtrera ärenden efter status för automatiserad undersökning.Filter incidents by the status of automated investigation.
Flera kategorierMultiple categories Du kan välja att endast visa incidenter som har mappats till flera kategorier och därmed potentiellt kan orsaka mer skada.You can choose to see only incidents that have mapped to multiple categories and can thus potentially cause more damage.
Flera tjänstkällorMultiple service sources Filtrera för att bara se händelser som innehåller aviseringar från olika källor (Microsoft Defender för slutpunkt, Microsoft Cloud App Security, Microsoft Defender för identitet, Microsoft Defender för Office 365).Filter to only see incidents that contain alerts from different sources (Microsoft Defender for Endpoint, Microsoft Cloud App Security, Microsoft Defender for Identity, Microsoft Defender for Office 365).
OS-plattformOS platform Begränsa vyn för incidentköer efter operativsystem.Limit the incident queue view by operating system.
TjänstkällorService sources Genom att välja en viss källa kan du fokusera på incidenter som innehåller minst en avisering från den valda källan.By choosing a specific source, you can focus on incidents that contain at least one alert from that chosen source.
AllvarlighetsgradSeverity Händelsens allvarlighetsgrad är samma som den inverkan den kan ha på dina tillgångar.The severity of an incident is indicative of the impact it can have on your assets. Ju högre allvarlighetsgrad, desto större påverkan är det och kräver vanligtvis den mest omedelbarta uppmärksamhet.The higher the severity, the bigger the impact and typically requires the most immediate attention.
StatusStatus Du kan välja att begränsa listan över incidenter som visas baserat på deras status för att se vilka som är aktiva eller lösta.You can choose to limit the list of incidents shown based on their status to see which ones are active or resolved.

Spara definierade filter som URL-adresserSave defined filters as URLs

När du har konfigurerat ett användbart filter i kön med incidenter kan du bokmärka URL-adressen till webbläsarfliken eller på annat sätt spara den som en länk på en webbsida, ett Word-dokument eller en valfri plats.Once you have configured a useful filter in the incidents queue, you can bookmark the URL of the browser tab or otherwise save it as a link on a Web page, a Word document, or a place of your choice. Det ger dig enkelklicksåtkomst till viktiga vyer av incidentkön, till exempel:This will give you single-click access to key views of the incident queue, such as:

  • Nya ärendenNew incidents
  • Incidenter med hög allvarlighetsgradHigh-severity incidents
  • Incidenter som inte tilldelatsUnassigned incidents
  • Hög allvarlighetsgrad, incidenter som inte tilldelatsHigh-severity, unassigned incidents
  • Incidenter som tilldelats till migIncidents assigned to me
  • Incidenter som tilldelats till mig och för Microsoft Defender för EndpointIncidents assigned to me and for Microsoft Defender for Endpoint
  • Ärenden med en viss tagg eller taggarIncidents with a specific tag or tags
  • Ärenden med en specifik hotkategoriIncidents with a specific threat category
  • Ärenden med specifika associerade hotIncidents with a specific associated threat
  • Incidenter med en specifik aktörIncidents with a specific actor

När du har sammanställt och lagrat listan med användbara filtervyer som URL-adresser kan du använda den för att snabbt bearbeta och prioritera incidenterna i kön och hantera dem för efterföljande tilldelning och analys.Once you have compiled and stored your list of useful filter views as URLs, you can use it to quickly process and prioritize the incidents in your queue and manage them for subsequent assignment and analysis.

Nästa stegNext steps

När du har fastställt vilken händelse som kräver högst prioritet, markerar du den och gör följande:After you've determined which incident requires the highest priority, select it and:

  • Hantera egenskaperna för incidenten för taggar, tilldelning, omedelbar lösning för falska positiva incidenter och kommentarer.Manage the properties of the incident for tags, assignment, immediate resolution for false positive incidents, and comments.
  • Påbörja din undersökningar.Begin your investigations.

Se ävenSee also