Hantera incidenter i Microsoft Defender

  • Artikel

Obs!

Vill du uppleva Microsoft Defender XDR? Läs mer om hur du kan utvärdera och pilottesta Microsoft Defender XDR.

Gäller för:

  • Microsoft Defender XDR
  • Microsoft Defender SOC-plattform (Unified Security Operations Center)

Incidenthantering är viktigt för att säkerställa att incidenter namnges, tilldelas och taggas för att optimera tiden i ditt incidentarbetsflöde och snabbare begränsa och åtgärda hot.

Tips

Under en begränsad tid under januari 2024, när du besöker sidan Incidenter , visas Defender Boxed. Defender Boxed visar organisationens säkerhetsframgångar, förbättringar och svarsåtgärder under 2023. Öppna Defender Boxed igen genom att gå till Incidenter i Microsoft Defender-portalen och sedan välja Din Defender Boxed.

Du kan hantera incidenter från incidenter & aviseringar > Incidenter vid snabbstart av Microsoft Defender-portalen (security.microsoft.com). Här är ett exempel.

Markera alternativet hantera incident i incidentkön och snabbstartsfönstret i Microsoft Defender-portalen

Här är de sätt som du kan hantera dina incidenter på:

Du kan hantera incidenter från fönstret Hantera incident för en incident. Här är ett exempel.

Fönstret Hantera incident i Microsoft Defender-portalen

Du kan visa det här fönstret från länken Hantera incident på:

  • Sida för aviseringsberättelse .
  • Egenskapsfönstret för en incident i incidentkön.
  • Sammanfattningssida för en incident.
  • Hantera incidentalternativet längst upp till höger på sidan Incident.

I de fall där du vill flytta aviseringar från en incident till en annan kan du också göra det från fliken Aviseringar , vilket skapar en större eller mindre incident som innehåller alla relevanta aviseringar.

Redigera incidentnamnet

Microsoft Defender tilldelar automatiskt ett namn baserat på aviseringsattribut, till exempel antalet slutpunkter som påverkas, användare som påverkas, identifieringskällor eller kategorier. Med incidentnamnet kan du snabbt förstå incidentens omfattning. Exempel: Incident i flera steg på flera slutpunkter som rapporterats av flera källor.

Du kan redigera incidentnamnet från fältet Incidentnamn i fönstret Hantera incident .

Obs!

Incidenter som fanns före distributionen av funktionen för automatisk incidentnamngivning behåller sitt namn.

Tilldela eller ändra allvarlighetsgrad för incidenter

Du kan tilldela eller ändra allvarlighetsgraden för en incident från fältet Allvarlighetsgrad i fönstret Hantera incident . Allvarlighetsgraden för en incident bestäms av den högsta allvarlighetsgraden för de aviseringar som är associerade med den. Allvarlighetsgraden för en incident kan vara hög, medel, låg eller informationsbaserad.

Lägga till incidenttaggar

Du kan lägga till anpassade taggar i en incident, till exempel för att flagga en grupp incidenter med en gemensam egenskap. Du kan senare filtrera incidentkön för alla incidenter som innehåller en specifik tagg.

Alternativet att välja från en lista över tidigare använda och valda taggar visas när du har börjat skriva.

Tilldela en incident

Du kan välja rutan Tilldela till och ange användarkontot för att tilldela en incident. Om du vill tilldela om en incident tar du bort det aktuella tilldelningskontot genom att välja "x" bredvid kontonamnet och sedan välja rutan Tilldela till . När du tilldelar ägarskap för en incident tilldelas samma ägarskap till alla aviseringar som är associerade med den.

Du kan hämta en lista över incidenter som tilldelats dig genom att filtrera incidentkön.

  1. I incidentkön väljer du Filter.
  2. I avsnittet Incidenttilldelning avmarkerar du Välj alla. Välj Tilldelad till mig, Tilldelad till en annan användare eller Tilldelad till en användargrupp.
  3. Välj Använd och stäng sedan fönstret Filter .

Du kan sedan spara den resulterande URL:en i webbläsaren som ett bokmärke för att snabbt se listan över incidenter som tilldelats dig.

Lösa en incident

Välj Lös incident för att flytta växlingsknappen till höger när en incident åtgärdas. Att lösa en incident löser också alla länkade och aktiva aviseringar som är relaterade till incidenten.

En incident som inte har lösts visas som Aktiv.

Ange klassificeringen

I fältet Klassificering anger du om incidenten är:

  • Inte inställt (standard).
  • Sant positivt med en typ av hot. Använd den här klassificeringen för incidenter som korrekt anger ett verkligt hot. Genom att ange hottypen kan säkerhetsteamet se hotmönster och agera för att skydda din organisation från dem.
  • Information, förväntad aktivitet med en typ av aktivitet. Använd alternativen i den här kategorin för att klassificera incidenter för säkerhetstester, red team-aktivitet och förväntat ovanligt beteende från betrodda appar och användare.
  • Falska positiva identifieringar för typer av incidenter som du fastställer kan ignoreras eftersom de är tekniskt felaktiga eller vilseledande.

Genom att klassificera incidenter och ange deras status och typ kan du finjustera Microsoft Defender XDR för att ge bättre identifieringsbestämning över tid.

Lägg till kommentarer

Du kan lägga till flera kommentarer till en incident med fältet Kommentar . Kommentarsfältet stöder text och formatering, länkar och bilder. Varje kommentar är begränsad till 30 000 tecken.

Alla kommentarer läggs till i de historiska händelserna i incidenten. Du kan se kommentarer och historik för en incident från länken Kommentarer och historik på sidan Sammanfattning .

Aktivitetslogg

Aktivitetsloggen visar en lista över alla kommentarer och åtgärder som utförts på incidenten, så kallade granskningar och kommentarer. Alla ändringar som görs i incidenten, antingen av en användare eller av systemet, registreras i aktivitetsloggen. Aktivitetsloggen är tillgänglig från alternativet Aktivitetslogg på incidentsidan eller i fönstret på incidentsidan.

Markera aktivitetsloggalternativet från incidentsidan i Microsoft Defender-portalen

Du kan filtrera aktiviteterna i loggen efter kommentarer och åtgärder. Klicka på Innehåll: Granskningar, Kommentarer och välj sedan innehållstyp för att filtrera aktiviteter. Här är ett exempel.

Markera filteralternativen i aktivitetsloggfönstret från incidentsidan i Microsoft Defender-portalen

Du kan också lägga till egna kommentarer med hjälp av kommentarsrutan som är tillgänglig i aktivitetsloggen. Kommentarsrutan accepterar text och formatering, länkar och bilder.

Markera kommentarsrutan från incidentsidan i Microsoft Defender-portalen

Exportera incidentdata till PDF

Viktigt

Viss information i den här artikeln gäller produkter som inte har släppts ännu och kan ändras avsevärt innan produkten släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.

Funktionen för exportincidentdata är för närvarande tillgänglig för Microsoft Defender XDR och Microsoft Defender SOC-plattformskunder (Unified Security Operations Center) med Microsoft Copilot för säkerhetslicens.

Du kan exportera en incident data till PDF via funktionen Exportera incident som PDF och spara dem i PDF-format. Med den här funktionen kan säkerhetsteam granska en incidentinformation offline vid en viss tidpunkt.

Incidentdata som exporteras innehåller följande information:

Här är ett exempel på den exporterade PDF-filen:

Skärmbild av den exporterade PDF-filens första sida.

Om du har Copilot for Security licens innehåller den exporterade PDF-filen följande ytterligare incidentdata:

Funktionen exportera till PDF finns också i Copilot-sidopanelen i en genererad incidentrapport.

Skärmbild av ytterligare åtgärder i resultatkortet för incidentrapporten.

Utför följande steg för att generera PDF-filen:

  1. Öppna en incidentsida. Välj ellipsen Fler åtgärder (...) i det övre högra hörnet och välj Exportera incident som PDF. Funktionen blir nedtonad medan PDF-filen genereras.

    Skärmbild som visar exportincidenten till PDF-alternativet.

  2. En dialogruta visas som anger att PDF-filen genereras. Välj Fick den för att stänga dialogrutan. Dessutom visas ett statusmeddelande som anger nedladdningens aktuella tillstånd under incidentrubriken. Exportprocessen kan ta några minuter beroende på incidentens komplexitet och mängden data som ska exporteras.

    Skärmbild som visar exportmeddelande och status före nedladdning.

  3. När PDF-filen är klar anger statusmeddelandet att PDF-filen är klar och att en annan dialogruta visas. Välj Ladda ned i dialogrutan för att spara PDF-filen på enheten.

    Skärmbild som visar exportmeddelande och status när nedladdning är tillgänglig.

Rapporten cachelagras i ett par minuter. Systemet tillhandahåller den tidigare genererade PDF-filen om du försöker exportera samma incident igen inom en kort tidsperiod. Om du vill generera en nyare version av PDF-filen väntar du några minuter tills cacheminnet upphör att gälla.

Nästa steg

För nya incidenter påbörjar du undersökningen.

Fortsätt undersökningen för pågående incidenter.

Utför en granskning efter incident för lösta incidenter.

Se även

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.