Hantera ärenden i Microsoft 365 Defender

Viktigt

Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.

Gäller för:

  • Microsoft 365 Defender

Incidenthantering är viktigt för att säkerställa att hoten finns och hanteras.

Du kan hantera ärenden från & och > incidenter i snabbstartsportalen (Microsoft 365 Defender security.microsoft.com). Här är ett exempel.

Exempel på incidentkön.

Du kan hantera dina incidenter på följande sätt:

Du kan hantera incidenter i fönstret Hantera incidenter för ett incident. Här är ett exempel.

Exempel på fönstret Hantera incident för en händelse.

Du kan visa det här fönstret från länken Hantera incident på:

  • Egenskapsfönster för en incident i incidentkön.
  • Sammanfattningssida för en incident.

I de fall du vill flytta aviseringar från en händelse till en annan kan du även göra det från fliken Aviseringar, vilket innebär att en större eller mindre incident som inkluderar alla relevanta aviseringar skapas.

Redigera incidentens namn

Microsoft 365 Defender tilldelar automatiskt ett namn baserat på aviseringsattribut, till exempel antalet slutpunkter som påverkas, användare som påverkas, identifieringskällor eller kategorier. På så sätt kan du snabbt förstå incidentens omfattning. Till exempel: Incident i flera steg på flera slutpunkter som rapporterats av flera källor.

Du kan redigera incidentnamnet från fältet Incidentnamn i fönstret Hantera incident.

Anteckning

Incidenter som fanns innan namnfunktionen för automatiska incidenter distribuerades behåller sitt namn.

Lägg till incidenttaggar

Du kan lägga till anpassade taggar för en händelse, till exempel för att flagga en grupp med incidenter med en gemensam egenskap. Du kan senare filtrera incidentkön för alla incidenter som innehåller en viss tagg.

När du börjar skriva kan du välja i en lista med valda taggar.

Tilldela ett incident

Om en incident ännu inte har tilldelats kan du markera rutan Tilldela till och ange användarkontot. Om du vill tilldela en incident på nytt tar du bort det aktuella tilldelningskontot genom att välja "x" bredvid kontonamnet och sedan markera rutan Tilldela till. När du tilldelar ägarskap för en händelse tilldelas samma ägarskap till alla aviseringar som är kopplade till den.

Du kan få en lista över incidenter tilldelade till dig genom att filtrera incidentkön.

  1. Välj Filter från incidentkön.
  2. i avsnittet Incidenttilldelning avmarkerar du Markera alla och väljer Tilldelad till mig.
  3. Välj Använd och stäng sedan fönstret Filter.

Du kan sedan spara den resulterande URL-adressen i webbläsaren som ett bokmärke för att snabbt visa en lista över incidenter som har tilldelats dig.

Lösa ett problem

Om incidenten har åtgärdats väljer du Lös incidenten för att flytta reglaget till höger. Tänk på att när du löser en incident åtgärdas även alla länkade och aktiva aviseringar som är relaterade till händelsen.

En incident som inte åtgärdas visas som Aktiv.

Ange klassificering och avgörande

Incidentklassificeringshändelsen är oavsett om det var en verklig avisering eller en falsk avisering som du konfigurerar från fältet Klassificering.

Om det var en verklig varning bör du också ange vilken typ av hot det var med fältet Determination. Om du anger hottypen kan säkerhetsteamet se hotmönster och agera för att försvara organisationen från dem.

Lägga till kommentarer

Du kan lägga till flera kommentarer till en händelse med fältet Kommentar. Varje kommentar läggs till i de historiska händelserna för händelsen. Du kan se kommentarer och historik för en händelse via länken Kommentarer och historiksidan Sammanfattning.

Nästa steg

Påbörja din undersökning för nya incidenter.

Fortsätt din undersökning för pågående ärenden.

För lösta incidenter utför du en granskning efter incidenten.

Se även