Hantera ärenden i Microsoft 365 Defender
Viktigt
Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.
Gäller för:
- Microsoft 365 Defender
Incidenthantering är viktigt för att säkerställa att hoten finns och hanteras.
Du kan hantera ärenden från & och > incidenter i snabbstartsportalen (Microsoft 365 Defender security.microsoft.com). Här är ett exempel.
Du kan hantera dina incidenter på följande sätt:
- Redigera incidentens namn
- Lägg till incidenttaggar
- Tilldela incidenten till ett användarkonto
- Lösa dem
- Ange dess klassificering och avgörande
- Lägga till kommentarer
Du kan hantera incidenter i fönstret Hantera incidenter för ett incident. Här är ett exempel.
Du kan visa det här fönstret från länken Hantera incident på:
- Egenskapsfönster för en incident i incidentkön.
- Sammanfattningssida för en incident.
I de fall du vill flytta aviseringar från en händelse till en annan kan du även göra det från fliken Aviseringar, vilket innebär att en större eller mindre incident som inkluderar alla relevanta aviseringar skapas.
Redigera incidentens namn
Microsoft 365 Defender tilldelar automatiskt ett namn baserat på aviseringsattribut, till exempel antalet slutpunkter som påverkas, användare som påverkas, identifieringskällor eller kategorier. På så sätt kan du snabbt förstå incidentens omfattning. Till exempel: Incident i flera steg på flera slutpunkter som rapporterats av flera källor.
Du kan redigera incidentnamnet från fältet Incidentnamn i fönstret Hantera incident.
Anteckning
Incidenter som fanns innan namnfunktionen för automatiska incidenter distribuerades behåller sitt namn.
Lägg till incidenttaggar
Du kan lägga till anpassade taggar för en händelse, till exempel för att flagga en grupp med incidenter med en gemensam egenskap. Du kan senare filtrera incidentkön för alla incidenter som innehåller en viss tagg.
När du börjar skriva kan du välja i en lista med valda taggar.
Tilldela ett incident
Om en incident ännu inte har tilldelats kan du markera rutan Tilldela till och ange användarkontot. Om du vill tilldela en incident på nytt tar du bort det aktuella tilldelningskontot genom att välja "x" bredvid kontonamnet och sedan markera rutan Tilldela till. När du tilldelar ägarskap för en händelse tilldelas samma ägarskap till alla aviseringar som är kopplade till den.
Du kan få en lista över incidenter tilldelade till dig genom att filtrera incidentkön.
- Välj Filter från incidentkön.
- i avsnittet Incidenttilldelning avmarkerar du Markera alla och väljer Tilldelad till mig.
- Välj Använd och stäng sedan fönstret Filter.
Du kan sedan spara den resulterande URL-adressen i webbläsaren som ett bokmärke för att snabbt visa en lista över incidenter som har tilldelats dig.
Lösa ett problem
Om incidenten har åtgärdats väljer du Lös incidenten för att flytta reglaget till höger. Tänk på att när du löser en incident åtgärdas även alla länkade och aktiva aviseringar som är relaterade till händelsen.
En incident som inte åtgärdas visas som Aktiv.
Ange klassificering och avgörande
Incidentklassificeringshändelsen är oavsett om det var en verklig avisering eller en falsk avisering som du konfigurerar från fältet Klassificering.
Om det var en verklig varning bör du också ange vilken typ av hot det var med fältet Determination. Om du anger hottypen kan säkerhetsteamet se hotmönster och agera för att försvara organisationen från dem.
Lägga till kommentarer
Du kan lägga till flera kommentarer till en händelse med fältet Kommentar. Varje kommentar läggs till i de historiska händelserna för händelsen. Du kan se kommentarer och historik för en händelse via länken Kommentarer och historik på sidan Sammanfattning.
Nästa steg
Påbörja din undersökning för nya incidenter.
Fortsätt din undersökning för pågående ärenden.
För lösta incidenter utför du en granskning efter incidenten.