Hantera ärenden i Microsoft 365 DefenderManage incidents in Microsoft 365 Defender

Viktigt

Det förbättrade Microsoft 365 Säkerhetscenter är nu tillgänglig.The improved Microsoft 365 security center is now available. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office, 365 Microsoft 365 Defender och annat till Microsoft 365 säkerhetscenter.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Läs om de senaste.Learn what's new.

Gäller för:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender

Incidenthantering är viktigt för att säkerställa att hoten finns och hanteras.Incident management is critical in ensuring that threats are contained and addressed.

Du hanterar incidenter från & och > incidenter i snabbstarten av säkerhetscentret i Microsoft 365 (security.microsoft.com).You manage incidents from Incidents & alerts > Incidents on the quick launch of the Microsoft 365 security center (security.microsoft.com). Här är ett exempel.Here's an example.

Exempel på incidentkön

Du kan hantera dina incidenter på följande sätt:Here are the ways you can manage your incidents:

  • Ändra incidentens namnChange the incident name
  • Lägg till incidenttaggar.Add incident tags.
  • Tilldela incidenten till ett användarkontoAssign the incident to a user account
  • Lösa demResolve them
  • Ange dess klassificering och avgörandeSet its classification and determination
  • Lägg till kommentarer.Add comments.

Du kan hantera incidenter i fönstret Hantera incidenter för ett incident.You can manage incidents from the Manage incident pane for an incident. Här är ett exempel.Here's an example.

Exempel på fönstret Hantera incident för en händelse

Du kan visa det här fönstret från länken Hantera incident på:You can display this pane from the Manage incident link on the:

  • Egenskapsfönster för en incident i incidentkön.Properties pane of an incident in the incident queue.
  • Sammanfattningssida för en incident.Summary page of an incident.

I fall där du genom att analysera vill flytta aviseringar från en händelse till en annan kan du även göra det från fliken Aviseringar, och på så sätt skapa en större eller mindre incident som inkluderar alla relevanta aviseringar.In cases where, while analyzing you would like to move alerts from one incident to another, you can also do so from the Alerts tab, thus creating a larger or smaller incident that includes all relevant alerts.

Redigera incidentens namnEdit the incident name

Microsoft 365 Defender tilldelar automatiskt ett namn baserat på aviseringsattribut, till exempel antalet slutpunkter som påverkas, användare som påverkas, identifieringskällor eller kategorier.Microsoft 365 Defender automatically assigns a name based on alert attributes such as the number of endpoints affected, users affected, detection sources or categories. På så sätt kan du snabbt förstå incidentens omfattning.This allows you to quickly understand the scope of the incident. Till exempel: Incident i flera steg på flera slutpunkter som rapporterats av flera källor.For example: Multi-stage incident on multiple endpoints reported by multiple sources.

Du kan redigera incidentnamnet från fältet Incidentnamn i fönstret Hantera incident.You can edit the incident name from the Incident name field on the Manage incident pane.

Anteckning

Incidenter som fanns innan namnfunktionen för automatiska incidenter distribuerades behåller sitt namn.Incidents that existed before the rollout of the automatic incident naming feature will retain their name.

Lägg till incidenttaggarAdd incident tags

Du kan lägga till anpassade taggar för en händelse, till exempel för att flagga en grupp med incidenter med en gemensam egenskap.You can add custom tags to an incident, for example to flag a group of incidents with a common characteristic. Du kan senare filtrera incidentkön för alla incidenter som innehåller en viss tagg.You can later filter the incident queue for all incidents that contain a specific tag.

När du börjar skriva kan du välja i en lista med valda taggar.When you start typing, you have the option to select from a list of selected tags.

Tilldela ärendenAssign incidents

Om en incident ännu inte har tilldelats kan du välja Tilldela till och ange användarkontot.If an incident has not yet been assigned, you can select Assign to and specify the user account. Då tilldelas ägarskap för incidenten och alla aviseringar som är kopplade till den.Doing so assigns ownership of the incident and all the alerts associated with it.

Lös incidentResolve incident

Om incidenten har åtgärdats väljer du Lös incidenten för att flytta reglaget till höger.If the incident has been remediated, select Resolve incident to move the toggle to the right. Tänk på att när du löser en incident åtgärdas även alla länkade och aktiva aviseringar som är relaterade till händelsen.Note that resolving an incident also resolves all the linked and active alerts related to the incident.

En incident som inte åtgärdas visas som Aktiv.An incident that is not resolved displays as Active.

Ange klassificering och avgörandeSet the classification and determination

Incidentklassificeringshändelsen är oavsett om det var en verklig avisering eller en falsk avisering som du konfigurerar från fältet Klassificering.The incident classification is whether it was a true alert or a false alert, which you configure from the Classification field.

Om det var en verklig varning bör du också ange vilken typ av hot det var med fältet Determination.If it was a true alert, you should also specify what type of threat it was with the Determination field. Om du anger hottypen kan säkerhetsteamet se hotmönster och agera för att försvara organisationen från dem.Specifying the threat type helps your security team see threat patterns and act to defend your organization from them.

Lägga till kommentarerAdd comments

Du kan lägga till flera kommentarer till en händelse med fältet Kommentar.You can add multiple comments to an incident with the Comment field. Varje kommentar läggs till i de historiska händelserna för händelsen.Each comment gets added to the historical events of the incident. Du kan se kommentarer och historik för en händelse via länken Kommentarer och historiksidan Sammanfattning.You can see the comments and history of an incident from the Comments and history link on the Summary page.

Nästa stegNext steps

Påbörja din undersökning för nya incidenter.For new incidents, begin your investigation.

Fortsätt din undersökning för pågående ärenden.For in-process incidents, continue your investigation.

För lösta incidenter utför du en granskning efter incidenten.For resolved incidents, perform a post-incident review.

Se ävenSee also