Undersöka incidenter i Microsoft 365 DefenderInvestigate incidents in Microsoft 365 Defender

Viktigt

Det förbättrade Microsoft 365 Säkerhetscenter är nu tillgänglig.The improved Microsoft 365 security center is now available. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office, 365 Microsoft 365 Defender och annat till Microsoft 365 säkerhetscenter.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Läs om de senaste.Learn what's new.

Gäller för:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender

Microsoft 365 Defender sammanställer alla relaterade aviseringar, tillgångar, undersökningar och bevis från alla dina enheter, användare och postlådor för att ge dig en fullständig översikt över hela attacken.Microsoft 365 Defender aggregates all related alerts, assets, investigations, and evidence from across your devices, users, and mailboxes into an incident to give you a comprehensive look into the entire breadth of an attack.

Inom en incident analyserar du aviseringarna som påverkar nätverket, förstår vad de betyder och sorterar bevisen så att du kan skapa en gällande åtgärdsplan.Within an incident, you analyze the alerts that affect your network, understand what they mean, and collate the evidence so that you can devise an effective remediation plan.

Inledande undersökningInitial investigation

Innan du börjar med detaljerna tar du en titt på egenskaperna och sammanfattningen av händelsen.Before diving into the details, take a look at the properties and summary of the incident.

Du börjar genom att välja incidenten i bockkolumnen.You can start by selecting the incident from the check mark column. Här är ett exempel.Here's an example.

Exempel på val av incident i bockkolumnen

När du gör det öppnas ett sammanfattningsfönster med viktig information om händelsen, till exempel allvarlighetsgrad, som den har tilldelats, och kategorierna MITRE ATT ™&CK för händelsen.When you do, a summary pane opens with key information about the incident, such as severity, to whom it is assigned, and the MITRE ATT&CK™ categories for the incident. Här är ett exempel.Here's an example.

Exempel på sammanfattningsfönstret för ett incident

Härifrån kan du välja Öppna incidentsida.From here, you can select Open incident page. Då öppnas huvudsidan för incidenten där du hittar mer sammanfattande information och flikar för aviseringar, enheter, användare, undersökningar och bevis.This opens the main page for the incident where you'll find more summary information and tabs for alerts, devices, users, investigations, and evidence.

Du kan också öppna huvudsidan för en händelse genom att välja incidentnamnet från incidentkön.You can also open the main page for an incident by selecting the incident name from the incident queue.

SammanfattningSummary

Sammanfattningssidan ger en ögonblicksbild av de viktigaste sakerna att lägga märke till om händelsen.The Summary page gives you a snapshot glance at the top things to notice about the incident.

Exempel på sidan Sammanfattning för en incident i Microsoft 365 säkerhetscenter

Attackkategorierna ger dig en visuell och numerisk vy av hur avancerat attacken har fortskridt mot kill chain.The attack categories give you a visual and numeric view of how advanced the attack has progressed against the kill chain. Precis som andra Microsoft-säkerhetsprodukter Microsoft 365 Defender i linje med MITRE ATT ™&CK-ramverket.As with other Microsoft security products, Microsoft 365 Defender is aligned to the MITRE ATT&CK™ framework.

I omfattningsavsnittet visas en lista över de viktigaste tillgångar som är en del av den här händelsen.The scope section gives you a list of top impacted assets that are part of this incident. Om det finns specifik information om den här tillgången, till exempel risknivå, undersökningsprioritering och taggning av tillgångarna, visas detta även i det här avsnittet.If there is specific information regarding this asset, such as risk level, investigation priority as well as any tagging on the assets this will also surface in this section.

På tidslinjen med aviseringar får du en förhandstitt på den kronologiska ordningen som aviseringarna uppstod i, samt orsakerna till att aviseringarna är kopplade till den här händelsen.The alerts timeline provides a sneak peek into the chronological order in which the alerts occurred, as well as the reasons that these alerts are linked to this incident.

Och sista – bevisavsnittet innehåller en sammanfattning av hur många olika artefakter som inkluderades i händelsen och deras åtgärdsstatus, så att du direkt kan identifiera om någon åtgärd krävs av dig.And last - the evidence section provides a summary of how many different artifacts were included in the incident and their remediation status, so you can immediately identify if any action is needed by you.

Den här översikten kan hjälpa dig med den initiala genomgången av incidenten genom att ge kunskap om de viktigaste egenskaperna för incidenten som du bör känna till.This overview can assist in the initial triage of the incident by providing insight into the top characteristics of the incident that you should be aware of.

VarningarAlerts

På fliken Avisering kan du visa aviseringskön för aviseringar om händelsen och annan information om dem, till exempel:On the Alert tab, you can view the alert queue for alerts related to the incident and other information about them such as:

  • Allvarlighetsgrad.Severity.
  • Enheterna som var inblandade i aviseringen.The entities that were involved in the alert.
  • Varningens källa (Microsoft Defender för identitet, Microsoft Defender för slutpunkt, Microsoft Defender för Office 365).The source of the alerts (Microsoft Defender for Identity, Microsoft Defender for Endpoint, Microsoft Defender for Office 365).
  • Orsaken till att de var länkade till varandra.The reason they were linked together.

Här är ett exempel.Here's an example.

Exempel på en aviseringssida för ett incident

Som standard sorteras aviseringarna kronologiskt så att du kan se hur händelsen spelats ut med tiden.By default, the alerts are ordered chronologically to allow you to see how the incident played out over time. När du väljer en avisering i en Microsoft 365 Defender visas aviseringsinformation som är specifik för den övergripande händelsen.When you select an alert within an incident, Microsoft 365 Defender displays the alert information specific to the context of the overall incident.

Du kan se händelser för aviseringen, vilket andra utlöste aviseringar orsakade den aktuella aviseringen och alla berörda enheter och aktiviteter som var inblandade i attacken, inklusive filer, användare och postlådor.You can see the events of the alert, which other triggered alerts caused the current alert, and all the affected entities and activities involved in the attack, including files, users, and mailboxes.

Här är ett exempel.Here's an example.

Exempel på en sida med aviseringsinformation i ett incident

Den här aviseringssidan för incidenter består av följande avsnitt:This incident alert page is composed of these sections:

  • Aviseringsartikel, som innehåller en sammanfattning av vad som har häntAlert story, which includes a summary of what happened
  • Relaterade händelser och aviseringarRelated events and alerts
  • SammanfattningsinformationSummary details

Lär dig hur du använder aviseringskön och aviseringssidorna i undersöker aviseringar.Learn how to use the alert queue and alert pages in investigate alerts.

EnheterDevices

fliken Enheter visas alla enheter som är relaterade till händelsen.The Devices tab lists all the devices related to the incident. Här är ett exempel.Here's an example.

Sidan Enheter för ett incident

Du kan markera bockmarkeringen för en enhet om du vill visa information om enheten, katalogdata, aktiva aviseringar och inloggade användare.You can select the check mark for a device to see details of the device, directory data, active alerts, and logged on users. Välj namnet på enheten för att visa enhetsinformation i Microsoft Defender för endpoints enhetslager.Select the name of the device to see device details in the Microsoft Defender for Endpoints device inventory.

Exempel på en enhetssida för Microsoft Defender för slutpunkter

På sidan enhet kan du samla in ytterligare information om enheten, till exempel alla aviseringar, en tidslinje och säkerhetsrekommendationer.From the device page, you can gather additional information about the device, such as all of its alerts, a timeline, and security recommendations. På fliken Tidslinje kan du till exempel bläddra igenom datorns tidslinje och visa alla händelser och beteenden som observerats på datorn i kronologisk ordning, uppkopplade med aviseringarna upphöjda.For example, from the Timeline tab, you can scroll through the machine timeline and view all events and behaviors observed on the machine in chronological order, interspersed with the alerts raised.

Tips

Du kan göra genomsökningar på begäran på en enhet.You can do on-demand scans on a device page. I säkerhetscentret Microsoft 365 du Slutpunkter för > Enhetsinventering.In the Microsoft 365 security center, choose Endpoints > Device inventory. Välj en enhet med aviseringar och kör sedan en antivirussökning.Select a device that has alerts, and then run an antivirus scan. Åtgärder, till exempel antivirusskanningar, spåras och visas på sidan Enhetsinventering.Actions, such as antivirus scans, are tracked and are visible on the Device inventory page. Mer information finns i Kör Microsoft Defender Antivirus sökning på enheter.To learn more, see Run Microsoft Defender Antivirus scan on devices.

AnvändareUsers

fliken Användare visas alla användare som har identifierats vara en del av eller relaterade till händelsen.The Users tab lists all the users that have been identified to be part of or related to the incident. Här är ett exempel.Here's an example.

Exempel på en sida för användare för ett incident

Du kan välja bockmarkeringen för en användare om du vill se information om hot om användarkontot, exponering och kontaktinformation.You can select the check mark for a user to see details of the user account threat, exposure, and contact information. Välj användarnamnet om du vill se mer information om användarkontot.Select the user name to see additional user account details.

Lär dig hur du visar ytterligare användarinformation och hanterar användare av en händelse i undersöker användare.Learn how to view additional user information and manage the users of an incident in investigate users.

PostlådorMailboxes

fliken Postlådor visas alla postlådor som har identifierats vara en del av eller relaterade till händelsen.The Mailboxes tab lists all the mailboxes that have been identified to be part of or related to the incident. Här är ett exempel.Here's an example.

Exempel på en postlådesida för ett incident

Du kan välja bockmarkeringen för en postlåda om du vill visa en lista med aktiva aviseringar.You can select the check mark for a mailbox to see a list of active alerts. Välj postlådans namn om du vill se ytterligare information om postlådan på sidan i Utforskaren för Microsoft Defender Office 365.Select the mailbox name to see additional mailbox details on the Explorer page for Microsoft Defender for Office 365.

UndersökningarInvestigations

fliken Undersökningar finns alla automatiserade undersökningar som utlösts av aviseringar om den här händelsen.The Investigations tab lists all the automated investigations triggered by alerts in this incident. Undersökningarna utför åtgärder eller väntar på att analytiker har godkänt åtgärder, beroende på hur du konfigurerat dina automatiska undersökningar att köras i Microsoft Defender för Endpoint och Defender för Office 365.The investigations will perform remediation actions or wait for analyst approval of actions, depending on how you configured your automated investigations to run in Microsoft Defender for Endpoint and Defender for Office 365.

Exempel på en sida för undersökningar för en incident

Välj en undersökning för att gå till sidan Undersökningsinformation för att få fullständig information om undersöknings- och åtgärdsstatus.Select an investigation to navigate to the Investigation details page to get full information on the investigation and remediation status. Om det finns åtgärder som väntar på godkännande som en del av undersökningen visas de på fliken Väntande åtgärder. Vidta åtgärder som en del av åtgärder för incidenter.If there are any actions pending for approval as part of the investigation, they will appear in the Pending actions tab. Take action as part of incident remediation.

Mer information finns i Automatiserad undersökning och svar i Microsoft 365 Defender.For more information, see Automated investigation and response in Microsoft 365 Defender.

Bevis och svarEvidence and Response

fliken Bevis och svar visas alla händelser som stöds och misstänkta enheter i aviseringarna för incidenten.The Evidence and Response tab shows all the supported events and suspicious entities in the alerts in the incident. Här är ett exempel.Here's an example.

Exempel på en sida med bevis och svar för ett incident

Microsoft 365 Defender undersöker automatiskt alla händelser som stöds och misstänkta enheter i aviseringarna, vilket ger dig information om viktiga e-postmeddelanden, filer, processer, tjänster, IP-adresser med mera.Microsoft 365 Defender automatically investigates all the incidents' supported events and suspicious entities in the alerts, providing you with information about the important emails, files, processes, services, IP Addresses, and more. På så sätt kan du snabbt identifiera och blockera potentiella hot i händelsen.This helps you quickly detect and block potential threats in the incident.

Var och en av de analyserade enheterna är markerade med en bedömning (skadlig, misstänkt, ren) och en åtgärdsstatus.Each of the analyzed entities is marked with a verdict (Malicious, Suspicious, Clean) and a remediation status. På så sätt får du en bättre förståelse för statusen för hela händelsen och vad som kan göras härnäst.This helps you understand the remediation status of the entire incident and what next steps can be taken.

Graph (i förhandsgranskning)Graph (in preview)

Med den nya Graph (i förhandsgranskningen) kan du se:With the new Graph tab (in preview), you can see:

  • Kopplingen av aviseringar till de påverkade tillgångarna i organisationen.The connection of alerts to the impacted assets in your organization.
  • Vilka enheter är relaterade till vilka aviseringar och hur de är en del av attackens historia.Which entities are related to which alerts and how they are part of the story of the attack.
  • Aviseringarna om händelsen.The alerts for the incident.

Här är ett exempel.Here's an example.

Exempel på en Graph för ett incident

Med hjälp av incidentdiagrammet får du snabbt en fullständig förståelse för attacken genom att ansluta olika misstänkta enheter som är en del av attacken till sina relaterade tillgångar, till exempel användare, enheter och postlådor.The incident graph helps you quickly understand the full scope of the attack by connecting the different suspicious entities that are part of the attack with their related assets such as users, devices, and mailboxes.

Nu kan du förstå hur attacken spridas genom nätverket över tid, var den startade och hur långt attacken gick.Now you can understand how the attack spread through your network over time, where it started, and how far the attack went.

Nästa stegNext steps

Vid behov:As needed:

Se ävenSee also