Hantera incidenter i skydd mot Microsoft ThreatManage incidents in Microsoft Threat Protection

Viktigt

Välkommen till microsoft 365 Defender, det nya namnet på Microsoft Threat Protection.Welcome to Microsoft 365 Defender, the new name for Microsoft Threat Protection. Läs mer om den här och andra uppdateringar här.Read more about this and other updates here. Vi kommer att uppdatera namn i produkter och i dokumenten i nära framtidWe'll be updating names in products and in the docs in the near future

Gäller för:Applies to:

  • Microsoft HotskyddMicrosoft Threat Protection

Det är viktigt att hantera incidenter för att säkerställa att hoten är placerade och riktade.Managing incidents is critical in ensuring that threats are contained and addressed. I Microsoft Threat Protection har du åtkomst till hantering av incidenter på enheter, användare och post lådor.In Microsoft Threat Protection, you have access to managing incidents on devices, users, and mailboxes.

Du kan hantera incidenter genom att välja en incident från kön med incidenter.You can manage incidents by selecting an incident from the Incidents queue.

Du kan redigera namnet på en olycka, lösa det och ange dess klassificering och analys.You can edit the name of an incident, resolve it, set its classification and determination. Du kan också koppla dig själv, lägga till incident märkningar och kommentarer.You can also assign the incident to yourself, add incident tags and comments.

I de fall där du skulle vilja flytta aviseringar från en incident till en annan kan du även göra det på fliken aviseringar och på så sätt skapa en större eller mindre olycka som innehåller alla relevanta aviseringar.In cases where while investigating you would like to move alerts from one incident to another you can also do so from the Alerts tab, thus creating a larger or smaller incident that include all relevant alerts.

Redigera incident namnEdit incident name

Incidenter tilldelas automatiskt ett namn baserat på notifieringsregler, till exempel antalet slut punkter som påverkas, användare som påverkas, identifierings källor eller kategorier.Incidents are automatically assigned a name based on alert attributes such as the number of endpoints affected, users affected, detection sources or categories. Då kan du snabbt förstå omfattningen av incidenten.This allows you to quickly understand the scope of the incident.

Till exempel: flera händelser på flera faser som rapporter ATS av flera källor.For example: Multi-stage incident on multiple endpoints reported by multiple sources.

Du kan ändra namnet på incidenten så att det passar bättre.You can modify the incident name to better align with your preferred naming convention.

Anteckning

Incidenter som fanns före lanseringen av funktionen för automatisk anmälan av tillbud behåller sitt namn.Incidents that existed prior the rollout of the automatic incident naming feature will retain their name.

Koppla incidenterAssign incidents

Om en olycka ännu inte har tilldelats kan du välja tilldela till mig för att koppla dig själv.If an incident has not yet been assigned, you can select Assign to me to assign the incident to yourself. Detta innebär att ägandet av inte bara är det som är associerat med den.Doing so assumes ownership of not just the incident, but also all the alerts associated with it.

Ange status och klassificeringSet status and classification

Incident statusIncident status

Du kan kategorisera incidenter (som aktivaeller stängda) genom att ändra deras status allteftersom undersökningen fortskrider.You can categorize incidents (as Active, or Resolved) by changing their status as your investigation progresses. Det hjälper dig att organisera och hantera hur ditt team kan reagera på händelser.This helps you organize and manage how your team can respond to incidents.

Ditt SOC analytiker kan till exempel granska brådskande aktiva tillbud för dagen och besluta att tilldela dem själv för undersökning.For example, your SOC analyst can review the urgent Active incidents for the day, and decide to assign them to herself for investigation.

Alternativt kan SOC analytiker ställa in händelsen som löst om incidenten har åtgärd ATS.Alternatively, your SOC analyst might set the incident as Resolved if the incident has been remediated. När du löser ett samtal stängs alla aviseringar som är en del av incidenten och fortfarande öppen.Resolving an incident will automatically close all alerts that are part of the incident and still open.

Klassificering och bestämningClassification and determination

Du kan välja att inte ange en klassificering eller välja om en incident är sann eller falsk.You can choose not to set a classification, or decide to specify whether an incident is true or false. Om du gör det kan teamet se mönster och lära sig mer om dem.Doing so helps the team see patterns and learn from them.

Lägga till kommentarerAdd comments

Du kan lägga till kommentarer och Visa historiska händelser om en olycka för att se tidigare gjorda ändringar.You can add comments and view historical events about an incident to see previous changes made to it.

När en ändring eller kommentar görs i en avisering sparas den i avsnittet kommentarer och historik.Whenever a change or comment is made to an alert, it is recorded in the Comments and history section.

Tillagda kommentarer visas direkt i fönstret.Added comments instantly appear on the pane.

Lägga till incident koderAdd incident tags

Du kan lägga till egna taggar till en olycka, till exempel för att flagga en grupp med incidenter med gemensamma egenskaper.You can add custom tags to an incident, for example to flag a group of incidents with a common characteristics. Du kan senare filtrera händelse kön för alla händelser som innehåller en viss tagg.You can later filter the incidents queue for all incidents that contain a specific tag.