Prioritera ärenden i Microsoft 365 Defender
Viktigt
Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.
Gäller för:
- Microsoft 365 Defender
Microsoft 365 Defender tillämpar korrelationsanalys och sammanställer relaterade aviseringar och automatiska undersökningar från olika produkter för ett incident. Microsoft 365 Defender utlöser även unika aviseringar för aktiviteter som bara kan identifieras som skadliga givet den end-to-end-synlighet som Microsoft 365 Defender har i hela produktpaketet. Den här vyn ger dina säkerhetsanalytiker den bredare attack storyn, som hjälper dem att bättre förstå och hantera komplexa hot i organisationen.
I kön Incident visas en samling incidenter som har skapats på olika enheter, användare och postlådor. Det hjälper dig att sortera olika incidenter för att prioritera och skapa ett välgrundat beslut om cybersäkerhet. Det här kallas även incidenttriangulering.
Du kommer till incidentkön från Incidenter & aviseringar > incidenter i snabbstarten av Microsoft 365 Defender portalen. Här är ett exempel.
I avsnittet Senaste incidenter och aviseringar visas ett diagram över antalet aviseringar som tagits emot och incidenter som skapats de senaste 24 timmarna.
Som standard visas incidentkön i incidentkön i Microsoft 365 Defender-portalen som har setts de senaste sex månaderna. Det senaste incidenten visas högst upp i listan så att du kan se det först.
Incidentkön har anpassningsbara kolumner (välj Välj kolumner) som ger dig insyn i olika egenskaper för incidenten eller berörda enheter. På så sätt kan du fatta ett välgrundat beslut om prioritering av incidenter för analys.
Om du vill ha bättre insyn genererar namn på automatiska incidenter incidentnamn baserat på aviseringsattribut, till exempel antalet slutpunkter som påverkas, användare som påverkas, identifieringskällor eller kategorier. På så sätt kan du snabbt förstå incidentens omfattning.
Till exempel: Incident i flera steg på flera slutpunkter som rapporterats av flera källor.
Anteckning
De incidenter som tidigare fanns innan de automatiska namngivningarna för incidenter ändrades inte.
I incidentkön visas även flera filtreringsalternativ, som när de används kan du rensa alla befintliga incidenter i din miljö eller välja att fokusera på ett visst scenario eller hot. Genom att använda filter på incidentkön kan du avgöra vilket ärende som kräver omedelbar uppmärksamhet.
Tillgängliga filter
Från standardkön för incidenter kan du välja Filter för att visa ett filterfönster där du kan visa en filtrerad uppsättning incidenter. Här är ett exempel.
Standardfiltret är att visa alla aviseringar och incidenter med statusen Ny och Pågår.
I den här tabellen visas de tillgängliga filternamnen.
| Filternamn | Beskrivning |
|---|---|
| Status | Välj Ny, Pågår eller Löst. |
| Allvarlighetsgrad | Händelsens allvarlighetsgrad är samma som den inverkan den kan ha på dina tillgångar. Ju högre allvarlighetsgrad, desto större påverkan är det och kräver vanligtvis den mest omedelbarta uppmärksamhet. Välj Hög, Medel, Låg eller Information. |
| Incidenttilldelning | Välj Tilldelad till någon, Tilldelad till mig eller Inte tilldelad. |
| Flera tjänstkällor | Ange om filtret gäller för mer än en tjänstkälla. |
| Tjänstkällor | Filter för att bara se incidenter som innehåller aviseringar från: appstyrning, Microsoft 365 Defender, Microsoft Defender för Office 365, Microsoft Defender för slutpunkt, Microsoft Defender för identitet, Microsoft Defender för molnappar. |
| Taggar | Markera ett eller flera taggnamn i listan. |
| Flera kategorier | Ange om filtret gäller för mer än en kategori. |
| Kategorier | Välj kategorier om du vill fokusera på specifika taktiker, tekniker eller attackkomponenter som visas. |
| OS-plattform | Begränsa vyn för incidentköer efter operativsystem. |
| Klassificering | Filtrera incidenter baserat på de inställda klassificeringarna av relaterade aviseringar. Välj Sant meddelande, Falskt aviseringar eller Inte angett. |
| Undersökningstillstånd | Filtrera incidenter med statusen för automatiserad undersökning. |
| Associerade hot | Filtrera incidenter efter ett namngivet hot. |
| Aktör | Filtrera incidenter efter en namngiven hotare. |
| Datakänslighet | Vissa attacker fokuserar på att rikta för att föra in känsliga eller värdefulla data. Genom att använda ett filter för att se om känsliga data är inblandade i händelsen kan du snabbt avgöra om känslig information potentiellt har komprometterats och prioriterat de incidenterna. Filtret är bara tillgängligt om Microsoft Information Protection är aktiverat. |
Spara definierade filter som URL-adresser
När du har konfigurerat ett användbart filter i kön med incidenter kan du bokmärka URL-adressen till webbläsarfliken eller på annat sätt spara den som en länk på en webbsida, ett Word-dokument eller en valfri plats. Det ger dig enkelklicksåtkomst till viktiga vyer av incidentkön, till exempel:
- Nya ärenden
- Incidenter med hög allvarlighetsgrad
- Incidenter som inte tilldelats
- Hög allvarlighetsgrad, incidenter som inte tilldelats
- Incidenter som tilldelats till mig
- Incidenter tilldelade till mig och för Microsoft Defender för Endpoint
- Ärenden med en viss tagg eller taggar
- Ärenden med en specifik hotkategori
- Ärenden med specifika associerade hot
- Incidenter med en specifik aktör
När du har sammanställt och lagrat listan med användbara filtervyer som URL-adresser kan du använda den för att snabbt bearbeta och prioritera incidenterna i kön och hantera dem för efterföljande tilldelning och analys.
Nästa steg
När du har fastställt vilken händelse som kräver högst prioritet, markerar du den och gör följande:
- Hantera egenskaperna för incidenten för taggar, tilldelning, omedelbar lösning för falska positiva incidenter och kommentarer.
- Påbörja din undersökningar.