Undersöka ärenden i Microsoft 365 Defender

Viktigt

Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.

Gäller för:

  • Microsoft 365 Defender

Microsoft 365 Defender sammanställer alla relaterade aviseringar, tillgångar, undersökningar och bevis från olika enheter, användare och postlådor för att ge dig en fullständig översikt över hela attacken.

Inom en incident analyserar du aviseringarna som påverkar nätverket, förstår vad de betyder och sorterar bevisen så att du kan skapa en gällande åtgärdsplan.

Inledande undersökning

Innan du börjar med detaljerna tar du en titt på egenskaperna och sammanfattningen av händelsen.

Du börjar genom att välja incidenten i bockkolumnen. Här är ett exempel.

Exempel på val av incident i bockkolumnen.

När du gör det öppnas ett sammanfattningsfönster med viktig information om händelsen, till exempel allvarlighetsgrad, som den har tilldelats, och kategorierna MITRE ATT ™&CK för händelsen. Här är ett exempel.

Exempel på sammanfattningsfönstret för en incident.

Härifrån kan du välja Öppna incidentsida. Då öppnas huvudsidan för incidenten där du hittar mer sammanfattande information och flikar för aviseringar, enheter, användare, undersökningar och bevis.

Du kan också öppna huvudsidan för en händelse genom att välja incidentnamnet från incidentkön.

Sammanfattning

Sammanfattningssidan ger en ögonblicksbild av de viktigaste sakerna att lägga märke till om händelsen.

Exempel på sidan Sammanfattning för en incident i Microsoft 365 Defender portalen

Informationen är ordnad i dessa avsnitt.

Avsnitt Beskrivning
Aviseringar och kategorier En visuell och numerisk vy av hur avancerad attacken har fortskridt mot killkedja. Precis som med andra Microsoft-Microsoft 365 Defender är den i linje med MITRE ATT&™ CK-ramverket. På tidslinjen för aviseringar visas den kronologiska ordning som aviseringarna inträffade i och för vart och ett av dem, deras status och namn.
Omfattning Visar antalet påverkade enheter, användare och postlådor och visar enheterna i ordningsföljd med prioritet på risknivå och undersökning.
Bevis Visar antalet enheter som påverkas av incidenten.
Incidentinformation Visar egenskaperna för händelsen, till exempel taggar, status och allvarlighetsgrad.

Använd sidan Sammanfattning för att bedöma incidentens relativa prioritet och snabbt få åtkomst till associerade aviseringar och berörda enheter.

Varningar

På fliken Aviseringar kan du visa aviseringskön för aviseringar om händelsen och annan information om dem, till exempel:

  • Allvarlighetsgrad.
  • Enheterna som var inblandade i aviseringen.
  • Varningens källa (Microsoft Defender för identitet, Microsoft Defender för slutpunkt, Microsoft Defender för Office 365, Defender för molnappar och appstyrning).
  • Orsaken till att de var länkade till varandra.

Här är ett exempel.

Exempel på en aviseringssida för en händelse.

Som standard sorteras aviseringarna kronologiskt så att du kan se hur attacken utspelas med tiden. När du väljer en avisering i en Microsoft 365 Defender visas den aviseringsinformation som är specifik för den övergripande händelsen.

Du kan se händelser för aviseringen, vilket andra utlöste aviseringar orsakade den aktuella aviseringen och alla berörda enheter och aktiviteter som var inblandade i attacken, inklusive enheter, filer, användare och postlådor.

Här är ett exempel.

Exempel på en sida med aviseringsinformation i ett incident.

Aviseringssidan för incidenter innehåller följande avsnitt:

  • Aviseringsartikel, som omfattar:

    • Vad hände

    • Åtgärder som vidtas

    • Relaterade händelser

  • Aviseringsegenskaper i det högra fönstret (tillstånd, information, beskrivning med mera)

Alla aviseringar innehåller inte alla de listade underavsnitten i avsnittet Aviseringsavsnitt.

Lär dig hur du använder aviseringskön och aviseringssidorna i undersöker aviseringar.

Enheter

fliken Enheter visas alla enheter som är relaterade till händelsen. Här är ett exempel.

Exempel på sidan Enheter för ett problem.

Du kan markera bockmarkeringen för en enhet om du vill visa information om enheten, katalogdata, aktiva aviseringar och inloggade användare. Välj namnet på enheten om du vill se enhetsinformation i Microsoft Defender för inventering av slutpunktsenhet. Här är ett exempel.

Exempel på en sida för enheter för Microsoft Defender för Endpoint.

På sidan enhet kan du samla in ytterligare information om enheten, till exempel alla aviseringar, en tidslinje och säkerhetsrekommendationer. På fliken Tidslinje kan du till exempel bläddra igenom datorns tidslinje och visa alla händelser och beteenden som observerats på datorn i kronologisk ordning, uppkopplade med aviseringarna upphöjda.

Tips

Du kan göra genomsökningar på begäran på en enhet. Välj Slutpunkter > Enhetsinventering i Microsoft 365 Defender-portalen. Välj en enhet med aviseringar och kör sedan en antivirussökning. Åtgärder, till exempel antivirusskanningar, spåras och visas på sidan Enhetsinventering. Mer information finns i Kör Microsoft Defender Antivirus sökning på enheter.

Användare

fliken Användare visas alla användare som har identifierats vara en del av eller relaterade till händelsen. Här är ett exempel.

Exempel på sidan Användare för ett incident.

Du kan välja bockmarkeringen för en användare om du vill se information om hot om användarkontot, exponering och kontaktinformation. Välj användarnamnet om du vill se mer information om användarkontot.

Lär dig hur du visar ytterligare användarinformation och hanterar användare av en händelse i undersöker användare.

Postlådor

fliken Postlådor visas alla postlådor som har identifierats vara en del av eller relaterade till händelsen. Här är ett exempel.

Exempel på en postlådesida för ett incident.

Du kan välja bockmarkeringen för en postlåda om du vill visa en lista med aktiva aviseringar. Välj postlådans namn om du vill se ytterligare information om postlådan på sidan i Utforskaren för Microsoft Defender Office 365.

Undersökningar

fliken Undersökningar finns alla automatiserade undersökningar som utlösts av aviseringar om den här händelsen. Automatiserade undersökningar utför åtgärder eller väntar på att analytiker har godkänt åtgärder, beroende på hur du konfigurerat dina automatiska undersökningar att köras i Microsoft Defender för Endpoint och Defender för Office 365.

Exempel på en sida för undersökningar för en incident.

Välj en undersökning för att navigera till dess informationssida för fullständig information om undersöknings- och åtgärdsstatus. Om det finns åtgärder som väntar på godkännande som en del av undersökningen visas de på fliken Väntande åtgärders historik. Vidta åtgärder som en del av åtgärder för incidenter.

Det finns även fliken Undersökningsdiagram som visar:

  • Kopplingen av aviseringar till de påverkade tillgångarna i organisationen.
  • Vilka enheter är relaterade till vilka aviseringar och hur de är en del av attackens historia.
  • Aviseringarna om händelsen.

Med hjälp av undersökningsdiagrammet kan du snabbt förstå den fullständiga omfattningen av attacken genom att ansluta olika misstänkta enheter som är en del av attacken till sina relaterade tillgångar, till exempel användare, enheter och postlådor.

Mer information finns i Automatiserad undersökning och svar i Microsoft 365 Defender.

Bevis och svar

fliken Bevis och svar visas alla händelser och misstänkta enheter som stöds i aviseringarna för incidenten. Här är ett exempel.

Exempel på en sida med bevis och svar för en incident.

Microsoft 365 Defender undersöker automatiskt alla incidenter som stöds och misstänkta enheter i aviseringarna, vilket ger dig information om viktiga e-postmeddelanden, filer, processer, tjänster, IP-adresser med mera. På så sätt kan du snabbt identifiera och blockera potentiella hot i händelsen.

Var och en av de analyserade enheterna är markerade med en bedömning (skadlig, misstänkt, ren) och en åtgärdsstatus. På så sätt får du en bättre förståelse för statusen för hela händelsen och vad som kan göras härnäst.

Graph (förhandsversion)

Graph visas hela attackens omfattning, hur attacken sprids i nätverket över tid, var den startade och hur långt attacken gick. Den kopplar samman olika misstänkta enheter som är en del av attacken med sina relaterade tillgångar, till exempel användare, enheter och postlådor.

Från Graph kan du:

  1. Spela upp aviseringarna och noderna i diagrammet som de inträffade med tiden för att förstå attackens kronologi.

    Exempel på uppspelning av aviseringar och noder på Graph sidan

  2. Öppna ett entitetsfönster, så att du kan granska enhetens information och vidta åtgärder, t.ex. ta bort en fil eller isolera en enhet.

    Exempel på ett entitetsfönster på Graph sidan

  3. Markera aviseringarna baserat på den enhet de är relaterade till.

    Exempel på en aviseringspenna på Graph sidan

Nästa steg

Vid behov:

Se även