Svara på din första incident i Microsoft Defender XDR
Gäller för:
- Microsoft Defender XDR
Den här guiden visar Microsoft-resurser för nya Microsoft Defender XDR användare för att kunna utföra dagliga incidenthanteringsuppgifter när de använder portalen. De avsedda resultaten av att använda den här guiden är:
- Du lär dig snabbt att använda Microsoft Defender XDR för att svara på incidenter och aviseringar.
- Du kommer att upptäcka portalens funktioner för att hjälpa till med incidentundersökning och reparation via videor och självstudier.
Microsoft Defender XDR kan du se relevanta hothändelser för alla tillgångar (enheter, identiteter, postlådor, molnappar med mera). Portalen konsoliderar signaler från Defender-skyddspaketet, Microsoft Sentinel och andra siem-lösningar (integrerad säkerhetsinformation och händelsehantering). Korrelerad attackinformation med fullständig kontext i en enda fönsterruta gör att du kan försvara och skydda din organisation.
Den här guiden innehåller tre huvudavsnitt:
- Förstå incidenter: åtkomst, sortering och hantering av incidenter i portalen
- Analysera attacker: en samling videor och självstudier om hur du undersöker specifika attacker med hjälp av portalens funktioner.
- Åtgärdsattacker: visar en lista över automatiserade och manuella åtgärder som är tillgängliga i portalen för att åtgärda hot. Det här avsnittet innehåller länkar till videor och självstudier.
Förstå incidenter
En incident är en kedja av processer som skapats, kommandon och åtgärder som kanske inte sammanföll. En incident ger en helhetsbild och kontext av misstänkt eller skadlig aktivitet. En enskild incident ger dig en attacks fullständiga kontext i stället för att triaging hundratals aviseringar från flera tjänster.
Tips
Under en begränsad tid under januari 2024, när du besöker sidan Incidenter , visas Defender Boxed. Defender Boxed visar organisationens säkerhetsframgångar, förbättringar och svarsåtgärder under 2023. Öppna Defender Boxed igen genom att gå till Incidenter i Microsoft Defender-portalen och sedan välja Din Defender Boxed.
Microsoft Defender XDR har många funktioner som du kan använda för att svara på en incident. Du kan navigera i incidenterna genom att välja Visa alla incidenter i kortet Aktiva incidenter på startsidan eller via Incidenter & aviseringar i det vänstra navigeringsfönstret.
bild 1. Kortet Aktiva incidenter på startsidan för Microsoft Defender XDR
Figur 2. Incidentkö
Varje incident innehåller automatiskt korrelerade aviseringar från olika identifieringskällor och kan omfatta olika slutpunkter, identiteter eller molnappar.
Incidenttriage
Incidentprioriteringen varierar per svarare, säkerhetsteam och organisation. Incidenthanteringsplaner och säkerhetsteams riktning kan kräva incidentprioritet.
Microsoft Defender XDR har olika indikatorer som allvarlighetsgrad för incidenter, typer av användare eller hottyper för att prioritera och prioritera incidenter. Du kan använda valfri kombination av dessa indikatorer som är lättillgängliga via incidentköfiltren .
Ett exempel på att fastställa incidentprioritet är att kombinera följande faktorer för en incident:
- Incidenten har hög allvarlighetsgrad.
- Automatiseringsundersökningstillståndet misslyckades.
- Det finns 5 påverkade tillgångar där två av tillgångarna taggas med mycket konfidentiell datakänslighet.
- Incidentstatusen är ny.
- Incidenten har inte tilldelats någon teammedlem för undersökning.
Du kan tilldela en hög prioritet till incidenten med hjälp av informationen ovan. Du kan påbörja din incidentundersökning när en prioritet har fastställts.
Obs!
Microsoft Defender XDR bestämmer automatiskt filter som allvarlighetsgrad, undersökningstillstånd, påverkade tillgångar och incidentstatusar. Informationen baseras på organisationens nätverksaktiviteter som kontextualiseras med hotinformationsflöden och de automatiserade reparationsåtgärder som tillämpas.
Hantera incidenter
Du kan bidra till incidenthanteringseffektiviteten genom att tillhandahålla viktig information i incidenter och aviseringar. När du lägger till information i följande filter från när du sorterar och analyserar varje incident ger du ytterligare kontext till den incidenten som andra svarare kan dra nytta av:
- Klassificera incidenter och aviseringar
- Namnge incidenter
- Lägga till taggar
- Ge kommentarer
Lär dig hur du klassificerar incidenter och aviseringar via den här videon:
Nästa steg
- Analysera din första incident
- Åtgärda din första incident
- Titta på demonstrationer och portalens nya utveckling i praktiken i Microsoft Defender XDR Virtual Ninja Training
Se även
- Integrera Microsoft Defender XDR i dina säkerhetsåtgärder
- Svara på vanliga attacker med hjälp av spelböcker för incidenthantering
- Lär dig portalens funktioner via Microsoft Defender XDR Ninja-träning
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för