Undersök aviseringar i Microsoft 365 Defender
Viktigt
Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.
Gäller för:
- Microsoft 365 Defender
Aviseringar utgör grunden för alla händelser och anger förekomsten av skadliga eller misstänkta händelser i din miljö. Aviseringar är vanligtvis en del av en bredare attack och ger ledtrådar om en händelse.
I Microsoft 365 Defender sammanförs relaterade aviseringar för formulärincidenter. Incidenter ger alltid ett bredare sammanhang för en attack, men det kan vara värdefullt att analysera aviseringar när en djupare analys krävs.
I kön Aviseringar visas den aktuella uppsättningen aviseringar. Du kommer till aviseringskön från Incidenter & eller > aviseringar i snabbstarten av Microsoft 365 Defender portalen.
Aviseringar från olika Microsoft-säkerhetslösningar, till exempel Microsoft Defender för Endpoint, Microsoft Defender för Office 365 och Microsoft 365 Defender visas här.
Som standard visar aviseringskön i Microsoft 365 Defender-portalen de nya och pågående aviseringarna från de senaste 30 dagarna. Den senaste aviseringen visas högst upp i listan så att du kan se den först.
Från standardaviseringskön kan du välja Filter för att visa ett filterfönster där du kan ange en delmängd av aviseringarna. Här är ett exempel.
Du kan filtrera aviseringar enligt följande kriterier:
- Allvarlighetsgrad
- Status
- Tjänstkällor
- Enheter (de påverkade tillgångarna)
- Status för automatiserad undersökning
Nödvändiga roller för Defender för Office 365 aviseringar
Du måste ha någon av följande roller för att kunna komma åt Microsoft Defender för att Office 365 aviseringar:
För Azure Active Directory (Azure AD) globala roller:
Global administratör
Säkerhetsadministratör
Säkerhetsoperatör
Global läsare
Säkerhetsläsare
Office 365 säkerhets- & och efterlevnadsrollgrupper
Efterlevnadsadministratör
Organisationshantering
Analysera en avisering
Markera namnet på aviseringen om du vill se huvudaviseringssidan. Här är ett exempel.
Du kan också välja åtgärden Öppna huvudaviseringssidan i fönstret Hantera avisering.
En aviseringssida består av följande avsnitt:
- Aviseringsartikel, som är kedjan med händelser och aviseringar som är relaterade till den här aviseringen i kronologisk ordning
- Sammanfattningsinformation
På en aviseringssida kan du välja ellipsen (...) bredvid en enhet för att se tillgängliga åtgärder, till exempel öppna aviseringssidan eller länka aviseringen till en annan händelse.
Aviseringskällor
Microsoft 365 Defender-aviseringar kan komma från lösningar som Microsoft Defender för Endpoint, Microsoft Defender för Office 365, Microsoft Defender för molnappar och appstyrnings tillägget för Microsoft Defender för molnappar. Du kanske lägger märke till aviseringar med in prepended characters i aviseringen. Följande tabell innehåller vägledning som hjälper dig att förstå mappningen av aviseringskällor baserat på det tecken som ska förberedas i aviseringen.
Anteckning
- De ursprungliga GUID:erna är endast specifika för enhetliga upplevelser, till exempel enhetlig aviseringskö, sida för enhetliga aviseringar, enhetlig undersökning och enhetlig incident.
- Det in prepended-tecknet ändrar inte GUID för aviseringen. Den enda ändringen i GUID är den in prepended component.
| Aviseringskälla | Insnabbtecken |
|---|---|
| Microsoft Defender för Office 365 | fa{GUID} Exempel: fa123a456b-c789-1d2e-12f1g33h445h6i |
| Microsoft Defender för Endpoint | da eller för ed aviseringar om anpassad identifiering |
| Microsoft Defender for Identity | aa{GUID} Exempel: aa123a456b-c789-1d2e-12f1g33h445h6i |
| Microsoft Defender for Cloud Apps | ca{GUID} Exempel: ca123a456b-c789-1d2e-12f1g33h445h6i |
Analysera påverkade tillgångar
Avsnittet Åtgärder som vidtas har en lista över påverkade tillgångar, till exempel postlådor, enheter och användare som påverkas av den här aviseringen.
Du kan också välja Visa i åtgärdscenter för att visa fliken Historik i Åtgärdscenter Microsoft 365 Defender administrationsportalen.
Spåra en aviserings roll i aviseringsartikeln
I aviseringsartikeln visas alla tillgångar eller enheter som är relaterade till aviseringen i en processträdvy. Aviseringen i rubriken är den som är i fokus när du först kommer till den valda aviseringens sida. Tillgångar i aviseringsartikeln är expanderbara och klickbara. De ger ytterligare information och snabbar upp ditt svar genom att göra det möjligt för dig att vidta åtgärder direkt i samband med aviseringssidan.
Anteckning
Avsnittet med aviseringsavsnittet kan innehålla fler än en avisering, och ytterligare aviseringar om samma körningsträd visas före eller efter den avisering du har markerat.
Visa mer aviseringsinformation på informationssidan
På informationssidan visas information om den valda aviseringen, med information och relaterade åtgärder. Om du väljer någon av de berörda tillgångarna eller enheterna i aviseringsinformationen ändras informationssidan för att ge sammanhangsberoende information och åtgärder för det valda objektet.
När du har valt en intresseenhet ändras informationssidan för att visa information om den valda entitetstypen, historisk information när den är tillgänglig och alternativ för att vidta åtgärder på den här enheten direkt från aviseringssidan.
Hantera varningar
Om du vill hantera en avisering markerar du aviseringen i kön med aviseringar på raden så att fönstret Hantera avisering visas. Här är ett exempel.
I aviseringsfönstret Hantera kan du visa eller ange:
- Aviseringsstatus (Ny, Löst, Pågår).
- Det användarkonto som har tilldelats aviseringen.
- Aviseringens klassificering (Inte inställd, Sant meddelande, Falsk avisering).
- För klassificering som en verklig avisering anger du typen av hot för aviseringen i fältet Determination .
- En kommentar om aviseringen.
Anteckning
Ett sätt att hantera aviseringar via taggar. Taggningsfunktioner för Microsoft Defender för Office 365 stegvis distribueras och är för närvarande i förhandsversion.
För närvarande används ändrade taggnamn bara på aviseringar som skapats efter uppdateringen. Aviseringar som har genererats innan ändringen återspeglar inte det uppdaterade taggnamnet.
Från det här fönstret kan du även utföra följande ytterligare åtgärder:
- Öppna huvudaviseringssidan
- Kontakta en Microsoft-expert på hot
- Visa inskickat material
- Länka till ett annat incident
- Se aviseringen på en tidslinje
- Skapa en regel för en regel
Här är ett exempel.
Listan med ytterligare åtgärder beror på typen av avisering.
Lösa en avisering
När du är klar med att analysera en avisering och den kan lösas går du till fönstret Hantera avisering för aviseringen och markerar statusen som Löst och klassificerar den som en falsk avisering eller Sant-avisering. För verkliga varningar anger du aviseringens hottyp i fältet Determination .
Genom att klassificera aviseringar och ange deras avgörande hjälper du Microsoft 365 Defender att tillhandahålla mer sanna aviseringar och mindre falska aviseringar.
Använda Power Automate för att triageaviseringar
Moderna säkerhetsteam (SecOps) behöver automatisering för att arbeta effektivt. SecOps-teamen kan fokusera på att hitta och undersöka verkliga hot genom att Power Automate i listan med aviseringar och eliminera dem som inte är hot.
Villkor för att lösa aviseringar
Användaren har aktiverat ett meddelande utanför kontoret
Användaren är inte märkt som högrisk
Om båda är sanna markerar SecOps aviseringen som legitima resor och löser det. Ett meddelande publiceras i Microsoft Teams när aviseringen har lösts.
Anslut Power Automate till Microsoft Defender för molnappar
För att skapa automatiseringen behöver du en API-token innan du kan ansluta Power Automate till Microsoft Defender för molnappar.
Klicka Inställningar, välj Säkerhetstillägg och klicka sedan på Lägg till token på fliken API-token.
Ange ett namn för din token och klicka sedan på Generera. Spara tokenet som du behöver det senare.
Skapa ett automatiserat flöde
I videon finns detaljerad information om steg för steg-processen.
I den här videon beskrivs också hur du ansluter energi automatiskt till Defender för molnappar.
Nästa steg
Fortsätt din undersökning om det behövs för pågående ärenden.