Undersöka ärenden i Microsoft 365 Defender
Viktigt
Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.
Gäller för:
- Microsoft 365 Defender
Microsoft 365 Defender sammanställer alla relaterade aviseringar, tillgångar, undersökningar och bevis från olika enheter, användare och postlådor för att ge dig en fullständig översikt över hela attacken.
Inom en incident analyserar du aviseringarna som påverkar nätverket, förstår vad de betyder och sorterar bevisen så att du kan skapa en gällande åtgärdsplan.
Inledande undersökning
Innan du börjar med detaljerna tar du en titt på egenskaperna och sammanfattningen av händelsen.
Du börjar genom att välja incidenten i bockkolumnen. Här är ett exempel.
När du gör det öppnas ett sammanfattningsfönster med viktig information om händelsen, till exempel allvarlighetsgrad, som den har tilldelats, och kategorierna MITRE ATT ™&CK för händelsen. Här är ett exempel.
Härifrån kan du välja Öppna incidentsida. Då öppnas huvudsidan för incidenten där du hittar mer sammanfattande information och flikar för aviseringar, enheter, användare, undersökningar och bevis.
Du kan också öppna huvudsidan för en händelse genom att välja incidentnamnet från incidentkön.
Sammanfattning
Sammanfattningssidan ger en ögonblicksbild av de viktigaste sakerna att lägga märke till om händelsen.
Informationen är ordnad i dessa avsnitt.
| Avsnitt | Beskrivning |
|---|---|
| Aviseringar och kategorier | En visuell och numerisk vy av hur avancerad attacken har fortskridt mot killkedja. Precis som med andra Microsoft-Microsoft 365 Defender är den i linje med MITRE ATT&™ CK-ramverket. På tidslinjen för aviseringar visas den kronologiska ordning som aviseringarna inträffade i och för vart och ett av dem, deras status och namn. |
| Omfattning | Visar antalet påverkade enheter, användare och postlådor och visar enheterna i ordningsföljd med prioritet på risknivå och undersökning. |
| Bevis | Visar antalet enheter som påverkas av incidenten. |
| Incidentinformation | Visar egenskaperna för händelsen, till exempel taggar, status och allvarlighetsgrad. |
Använd sidan Sammanfattning för att bedöma incidentens relativa prioritet och snabbt få åtkomst till associerade aviseringar och berörda enheter.
Varningar
På fliken Aviseringar kan du visa aviseringskön för aviseringar om händelsen och annan information om dem, till exempel:
- Allvarlighetsgrad.
- Enheterna som var inblandade i aviseringen.
- Varningens källa (Microsoft Defender för identitet, Microsoft Defender för slutpunkt, Microsoft Defender för Office 365, Defender för molnappar och appstyrning).
- Orsaken till att de var länkade till varandra.
Här är ett exempel.
Som standard sorteras aviseringarna kronologiskt så att du kan se hur attacken utspelas med tiden. När du väljer en avisering i en Microsoft 365 Defender visas den aviseringsinformation som är specifik för den övergripande händelsen.
Du kan se händelser för aviseringen, vilket andra utlöste aviseringar orsakade den aktuella aviseringen och alla berörda enheter och aktiviteter som var inblandade i attacken, inklusive enheter, filer, användare och postlådor.
Här är ett exempel.
Aviseringssidan för incidenter innehåller följande avsnitt:
Aviseringsartikel, som omfattar:
Vad hände
Åtgärder som vidtas
Relaterade händelser
Aviseringsegenskaper i det högra fönstret (tillstånd, information, beskrivning med mera)
Alla aviseringar innehåller inte alla de listade underavsnitten i avsnittet Aviseringsavsnitt.
Lär dig hur du använder aviseringskön och aviseringssidorna i undersöker aviseringar.
Enheter
På fliken Enheter visas alla enheter som är relaterade till händelsen. Här är ett exempel.
Du kan markera bockmarkeringen för en enhet om du vill visa information om enheten, katalogdata, aktiva aviseringar och inloggade användare. Välj namnet på enheten om du vill se enhetsinformation i Microsoft Defender för inventering av slutpunktsenhet. Här är ett exempel.
På sidan enhet kan du samla in ytterligare information om enheten, till exempel alla aviseringar, en tidslinje och säkerhetsrekommendationer. På fliken Tidslinje kan du till exempel bläddra igenom datorns tidslinje och visa alla händelser och beteenden som observerats på datorn i kronologisk ordning, uppkopplade med aviseringarna upphöjda.
Tips
Du kan göra genomsökningar på begäran på en enhet. Välj Slutpunkter > Enhetsinventering i Microsoft 365 Defender-portalen. Välj en enhet med aviseringar och kör sedan en antivirussökning. Åtgärder, till exempel antivirusskanningar, spåras och visas på sidan Enhetsinventering. Mer information finns i Kör Microsoft Defender Antivirus sökning på enheter.
Användare
På fliken Användare visas alla användare som har identifierats vara en del av eller relaterade till händelsen. Här är ett exempel.
Du kan välja bockmarkeringen för en användare om du vill se information om hot om användarkontot, exponering och kontaktinformation. Välj användarnamnet om du vill se mer information om användarkontot.
Lär dig hur du visar ytterligare användarinformation och hanterar användare av en händelse i undersöker användare.
Postlådor
På fliken Postlådor visas alla postlådor som har identifierats vara en del av eller relaterade till händelsen. Här är ett exempel.
Du kan välja bockmarkeringen för en postlåda om du vill visa en lista med aktiva aviseringar. Välj postlådans namn om du vill se ytterligare information om postlådan på sidan i Utforskaren för Microsoft Defender Office 365.
Undersökningar
På fliken Undersökningar finns alla automatiserade undersökningar som utlösts av aviseringar om den här händelsen. Automatiserade undersökningar utför åtgärder eller väntar på att analytiker har godkänt åtgärder, beroende på hur du konfigurerat dina automatiska undersökningar att köras i Microsoft Defender för Endpoint och Defender för Office 365.
Välj en undersökning för att navigera till dess informationssida för fullständig information om undersöknings- och åtgärdsstatus. Om det finns åtgärder som väntar på godkännande som en del av undersökningen visas de på fliken Väntande åtgärders historik. Vidta åtgärder som en del av åtgärder för incidenter.
Det finns även fliken Undersökningsdiagram som visar:
- Kopplingen av aviseringar till de påverkade tillgångarna i organisationen.
- Vilka enheter är relaterade till vilka aviseringar och hur de är en del av attackens historia.
- Aviseringarna om händelsen.
Med hjälp av undersökningsdiagrammet kan du snabbt förstå den fullständiga omfattningen av attacken genom att ansluta olika misstänkta enheter som är en del av attacken till sina relaterade tillgångar, till exempel användare, enheter och postlådor.
Mer information finns i Automatiserad undersökning och svar i Microsoft 365 Defender.
Bevis och svar
På fliken Bevis och svar visas alla händelser och misstänkta enheter som stöds i aviseringarna för incidenten. Här är ett exempel.
Microsoft 365 Defender undersöker automatiskt alla incidenter som stöds och misstänkta enheter i aviseringarna, vilket ger dig information om viktiga e-postmeddelanden, filer, processer, tjänster, IP-adresser med mera. På så sätt kan du snabbt identifiera och blockera potentiella hot i händelsen.
Var och en av de analyserade enheterna är markerade med en bedömning (skadlig, misstänkt, ren) och en åtgärdsstatus. På så sätt får du en bättre förståelse för statusen för hela händelsen och vad som kan göras härnäst.
Graph (förhandsversion)
På Graph visas hela attackens omfattning, hur attacken sprids i nätverket över tid, var den startade och hur långt attacken gick. Den kopplar samman olika misstänkta enheter som är en del av attacken med sina relaterade tillgångar, till exempel användare, enheter och postlådor.
Från Graph kan du:
Spela upp aviseringarna och noderna i diagrammet som de inträffade med tiden för att förstå attackens kronologi.
Öppna ett entitetsfönster, så att du kan granska enhetens information och vidta åtgärder, t.ex. ta bort en fil eller isolera en enhet.
Markera aviseringarna baserat på den enhet de är relaterade till.
Nästa steg
Vid behov: