Ärenden i Microsoft 365 DefenderIncidents in Microsoft 365 Defender

Viktigt

Det förbättrade Microsoft 365 Säkerhetscenter är nu tillgänglig.The improved Microsoft 365 security center is now available. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office, 365 Microsoft 365 Defender och annat till Microsoft 365 säkerhetscenter.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Läs om de senaste.Learn what's new.

Gäller för:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender

Vill du uppleva Microsoft 365 Defender?Want to experience Microsoft 365 Defender? Du kan utvärdera det i en laboratoriemiljö eller köra ett pilotprojekt i produktionen.You can evaluate it in a lab environment or run your pilot project in production.

En incident i Microsoft 365 Defender är en samling korrelerade varningar och associerade data som utgör storyn av en attack.An incident in Microsoft 365 Defender is a collection of correlated alerts and associated data that make up the story of an attack.

Microsoft 365 och appar skapar aviseringar när de upptäcker misstänkt eller skadlig händelse eller aktivitet.Microsoft 365 services and apps create alerts when they detect a suspicious or malicious event or activity. Enskilda aviseringar ger värdefulla ledtrådar om en slutförd eller pågående attack.Individual alerts provide valuable clues about a completed or ongoing attack. Men attacker använder vanligtvis olika tekniker mot olika typer av enheter, till exempel enheter, användare och postlådor.However, attacks typically employ various techniques against different types of entities, such as devices, users, and mailboxes. Resultatet är flera aviseringar för flera enheter i klientorganisationen.The result is multiple alerts for multiple entities in your tenant.

Eftersom det kan vara svårt och tidskrävande att samla ihop enskilda aviseringar för att få insikter i en attack sammanställer Microsoft 365 Defender automatiskt aviseringarna och deras tillhörande information till en incident.Because piecing the individual alerts together to gain insight into an attack can be challenging and time-consuming, Microsoft 365 Defender automatically aggregates the alerts and their associated information into an incident.

Hur Microsoft 365 Defender korrelerar händelser från enheter till ett incident

Titta på den här korta översikten över incidenter om Microsoft 365 Defender (4 minuter).Watch this short overview of incidents in Microsoft 365 Defender (4 minutes).


Om du grupperar relaterade aviseringar i en incident får du en omfattande bild av en attack.Grouping related alerts into an incident gives you a comprehensive view of an attack. Du kan till exempel se:For example, you can see:

  • Var attacken började.Where the attack started.
  • Vilka taktiker användes.What tactics were used.
  • Hur långt attacken har varit i din klientorganisation.How far the attack has gone into your tenant.
  • Attackens omfattning, till exempel hur många enheter, användare och postlådor som påverkades.The scope of the attack, such as how many devices, users, and mailboxes were impacted.
  • Alla data som är associerade med attacken.All of the data associated with the attack.

Om denär aktiverad Microsoft 365 Defender automatiskt undersöka och åtgärda varningar med hjälp av automatisering och artificiell intelligens.If enabled, Microsoft 365 Defender can automatically investigate and resolve alerts through automation and artificial intelligence. Du kan också utföra ytterligare åtgärdssteg för att lösa attacken.You can also perform additional remediation steps to resolve the attack.

Incidenter och aviseringar i Microsoft 365 Defender portalenIncidents and alerts in the Microsoft 365 Defender portal

Du hanterar incidenter från & och > incidenter i snabbstarten av Microsoft 365 Defender portalen (security.microsoft.com).You manage incidents from Incidents & alerts > Incidents on the quick launch of the Microsoft 365 Defender portal (security.microsoft.com). Här är ett exempel.Here's an example.

Sidan Incidenter i Microsoft 365 Defender portalen

När du väljer ett namn på incidenten visas en sammanfattning av händelsen och det ger tillgång till flikar med ytterligare information.Selecting an incident name displays a summary of the incident and provides access to tabs with additional information.

Exempel på sidan Sammanfattning för en incident i Microsoft 365 Defender portalen

Ytterligare flikar för en händelse är:The additional tabs for an incident are:

  • VarningarAlerts

    Alla aviseringar som rör händelsen och deras information.All the alerts related to the incident and their information.

  • EnheterDevices

    Alla enheter som har identifierats vara en del av eller relaterade till händelsen.All the devices that have been identified to be part of or related to the incident.

  • AnvändareUsers

    Alla användare som har identifierats vara en del av eller relaterade till händelsen.All the users that have been identified to be part of or related to the incident.

  • PostlådorMailboxes

    Alla postlådor som har identifierats vara en del av eller relaterade till händelsen.All the mailboxes that have been identified to be part of or related to the incident.

  • UndersökningarInvestigations

    Alla automatiserade undersökningar som utlösts av aviseringar i händelsen.All the automated investigations triggered by alerts in the incident.

  • Bevis och svarEvidence and Response

    Alla händelser som stöds och misstänkta enheter i aviseringarna om händelsen.All the supported events and suspicious entities in the alerts in the incident.

  • Graph (i förhandsgranskning)Graph (in preview)

    En bild som visar kopplingen av aviseringar till de påverkade tillgångarna i organisationen.A figure showing the connection of alerts to the impacted assets in your organization.

Här är förhållandet mellan en händelse och dess data och flikarna för en incident i Microsoft 365 Defender portalen.Here's the relationship between an incident and its data and the tabs of an incident in the Microsoft 365 Defender portal.

Förhållandet mellan en händelse och dess data till flikarna för en händelse i Microsoft 365 Defender portalen

Exempel på arbetsflöde av incidentsvar för Microsoft 365 DefenderExample incident response workflow for Microsoft 365 Defender

Här är ett exempel på ett arbetsflöde för att svara på incidenter Microsoft 365 med Microsoft 365 Defender portalen.Here's an example workflow for responding to incidents in Microsoft 365 with the Microsoft 365 Defender portal.

Exempel på ett arbetsflöde för incidentsvar för Microsoft 365

Identifiera ärenden med högsta prioritet för analys och lösning i incidentkön och gör dem redo för svar.On an ongoing basis, identify the highest priority incidents for analysis and resolution in the incident queue and get them ready for response. Det här är en kombination av:This is a combination of:

  • Prioritera till att fastställa incidenter med högsta prioritet genom att filtrera och sortera incidentkön.Triaging to determining the highest priority incidents through filtering and sorting of the incident queue.
  • Hantera incidenter genom att ändra deras titel, tilldela dem till en analytiker och lägga till taggar och kommentarer.Managing incidents by modifying their title, assigning them to an analyst, and adding tags and comments.
  1. Påbörja en attack och aviseringsundersökning och analys för varje händelse:For each incident, begin an attack and alert investigation and analysis:

    1. Visa sammanfattningen av incidenten för att förstå dess omfattning och allvarlighetsgrad och vilka enheter som påverkas (fliken Sammanfattning).View the summary of the incident to understand it's scope and severity and what entities are affected (the Summary tab).

    2. Börja analysera aviseringarna så att du förstår deras ursprung, omfattning och allvarlighetsgrad (fliken Aviseringar).Begin analyzing the alerts to understand their origin, scope, and severity (the Alerts tab).

    3. Vid behov samlar du in information om påverkade enheter, användare och postlådor (flikarna Enheter, Användare och Postlådor).As needed, gather information on impacted devices, users, and mailboxes (the Devices, Users, and Mailboxes tabs).

    4. Se hur Microsoft 365 Defender har löst vissa aviseringar automatiskt (fliken Undersökningar).See how Microsoft 365 Defender has automatically resolved some alerts (the Investigations tab).

    5. Vid behov kan du använda informationen i datauppsättningen för incidenten för mer information (fliken Bevis och svar).As needed, use information in the data set for the incident for more information (the Evidence and Response tab).

  2. Efter eller under analysen bör du utföra inneslutning för att minska eventuella ytterligare effekter av attacken och säkerhetshotet.After or during your analysis, perform containment to reduce any additional impact of the attack and eradication of the security threat.

  3. Återställ så mycket som möjligt från attacken genom att återställa klientorganisationens resurser till den status de var i innan händelsen.As much as possible, recover from the attack by restoring your tenant resources to the state they were in before the incident.

  4. Lös incidenten och ta dig tid för efter incidentinlärning att:Resolve the incident and take time for post-incident learning to:

    • Förstå typen av attack och dess påverkan.Understand the type of the attack and its impact.
    • Undersöka attacken i Hotanalys och säkerhets-communityn för en trend för säkerhetsattacker.Research the attack in Threat Analytics and the security community for a security attack trend.
    • Återkalla det arbetsflöde som du använde för att lösa problemet och uppdatera standardarbetsflöden, processer, principer och spelböcker efter behov.Recall the workflow you used to resolve the incident and update your standard workflows, processes, policies, and playbooks as needed.
    • Avgör om ändringar i säkerhetskonfigurationen behövs och implementera dem.Determine whether changes in your security configuration are needed and implement them.

Om du inte har varit så bra på säkerhetsanalys kan du gå till introduktionen till att svara på din första incident för ytterligare information och gå igenom en exempelhändelse.If you are new to security analysis, see the introduction to responding to your first incident for additional information and to step through an example incident.

Mer information om åtgärder vid incidenter i microsoft-produkter finns i den här artikeln.For more information about incident response across Microsoft products, see this article.

Exempel på säkerhetsåtgärder för Microsoft 365 DefenderExample security operations for Microsoft 365 Defender

Här är ett exempel på säkerhetsåtgärder (SecOps) för Microsoft 365 Defender.Here's an example of security operations (SecOps) for Microsoft 365 Defender.

Ett exempel på säkerhetsåtgärder för Microsoft 365 Defender

Dagliga uppgifter kan omfatta:Daily tasks can include:

Månadsvisa uppgifter kan omfatta:Monthly tasks can include:

Kvartalsvisa uppgifter kan innehålla en rapport och genomgång av säkerhetsresultat för Chief Information Security Officer (CISO).Quarterly tasks can include a report and briefing of security results to the Chief Information Security Officer (CISO).

Årliga uppgifter kan omfatta att utföra större incidenter eller intrång för att testa din personal, system och processer.Annual tasks can include conducting a major incident or breach exercise to test your staff, systems, and processes.

Dagliga, månatliga, kvartals- och årliga uppgifter kan användas för att uppdatera eller förfina processer, principer och säkerhetskonfigurationer.Daily, monthly, quarterly, and annual tasks can be used to update or refine processes, policies, and security configurations.

SecOps-resurser i alla Microsoft-produkterSecOps resources across Microsoft products

Mer information om SecOps i Microsofts produkter finns i följande resurser:For more information about SecOps across Microsoft's products, see these resources:

Nästa stegNext steps

Om du inte har angående säkerhetsanalys och incidentsvar:If you are new to security analysis and incident response:

  • I genomgången Svara på din första incident finns en guidad genomgång av en typisk process av analys, åtgärder och granskning efter incident i Microsoft 365 Defender-portalen med ett exempel på en attack.See the Respond to your first incident walkthrough to get a guided tour of a typical process of analysis, remediation, and post-incident review in the Microsoft 365 Defender portal with an example attack.

Om du har erfarenhet av säkerhetsanalys och incidentsvar:If you have experience with security analysis and incident response:

  • Kom igång med incidentkön på sidan Incidenter i Microsoft 365 Defender portalen.Get started with the incident queue from the Incidents page of the Microsoft 365 Defender portal. Härifrån kan du:From here, you can:

    • Se vilka incidenter som ska prioriteras utifrån allvarlighetsgrad och andra faktorer.See which incidents should be prioritized based on severity and other factors.

    • Hantera incidenter,som omfattar att byta namn på, tilldela, klassificera och lägga till taggar och kommentarer baserat på arbetsflödet för hantering av incidenter.Manage incidents, which includes renaming, assigning, classifying, and adding tags and comments based on your incident management workflow.

    • Utföra undersökningar av incidenter.Perform investigations of incidents.

  • I de här spelböckerna för incidenter finns detaljerad vägledning för attacker för nätfiske, lösenordsförsök och att bevilja åtkomst till appar.See these incident response playbooks for detailed guidance for phishing, password spray, and app consent grant attacks.