在 Microsoft Defender 中管理事件

  • 项目

适用于:

  • Microsoft Defender XDR
  • Microsoft Defender统一的安全运营中心 (SOC) 平台

事件管理对于确保事件命名、分配和标记以优化事件工作流中的时间并更快地包含和解决威胁至关重要。

提示

在 2024 年 1 月的有限时间内,当您访问 “事件 ”页时,将显示 Defender Boxed。 Defender Boxed 重点介绍组织在 2023 年的安全成功、改进和响应操作。 若要重新打开 Defender Boxed,请在Microsoft Defender门户中转到“事件”,然后选择“你的 Defender Boxed”。

在快速启动Microsoft Defender门户 (security.microsoft.com) 时,可以从事件 & 警报>事件管理事件。 下面是一个示例。

突出显示Microsoft Defender门户中事件队列和快速启动窗格中的管理事件选项

下面是管理事件的方法:

可以从事件的“管理事件”窗格管理事件。 下面是一个示例。

Microsoft Defender门户中的“管理事件”窗格

可以从以下位置上的 “管理事件 ”链接显示此窗格:

  • 警报情景 页。
  • 事件队列中事件的“属性”窗格。
  • 事件的摘要页。
  • 位于“事件”页面右上方的“管理事件”选项。

如果要将警报从一个事件移到另一个事件,也可以从“ 警报 ”选项卡执行此操作,从而创建包含所有相关警报的更大或更小的事件。

编辑事件名称

Microsoft Defender根据警报属性(例如受影响的终结点数、受影响的用户、检测源或类别)自动分配名称。 事件名称使你能够快速了解事件的范围。 例如: 多个源报告的多个终结点上的多阶段事件。

可以从“管理事件”窗格上的“ 事件名称 ”字段编辑 事件名称

注意

在推出自动事件命名功能之前存在的事件将保留其名称。

分配或更改事件严重性

可以从“管理事件”窗格的“严重性”字段中分配或更改事件的严重性。 事件的严重性由与其关联的警报的最高严重性决定。 事件的严重性可以设置为高、中、低或信息性。

添加事件标记

可以向事件添加自定义标记,例如,标记一组具有共同特征的事件。 以后可以对包含特定标记的所有事件的事件队列进行筛选。

开始键入后,将显示从以前使用的标记列表和所选标记中进行选择的选项。

分配事件

可以选中“ 分配到 ”框,并指定要分配事件的用户帐户。 若要重新分配事件,请删除当前分配帐户,方法是选择帐户名称旁边的“x”,然后选择“ 分配到 ”框。 分配事件的所有权会将相同的所有权分配给与其关联的所有警报。

可以通过筛选事件队列来获取分配给你的事件列表。

  1. 在事件队列中,选择“ 筛选器”。
  2. “事件分配 ”部分中,清除 “全选”。 选择 “分配给我”、“ 分配给其他用户”或“ 分配给用户组”。
  3. 选择“ 应用”,然后关闭“ 筛选器 ”窗格。

然后,可以在浏览器中将生成的 URL 保存为书签,以快速查看分配给你的事件列表。

解决事件

选择“ 解决事件 ”,在修正事件时将切换开关移到右侧。 解决事件还可以解决与事件相关的所有链接警报和活动警报。

未解决的事件显示为 “活动”。

指定分类

“分类 ”字段中,指定事件是否为:

  • (默认) 设置。
  • 具有某种威胁的真正值。 对于准确指示实际威胁的事件,请使用此分类。 指定威胁类型可帮助安全团队查看威胁模式,并采取措施以保护组织免受威胁。
  • 具有某种类型活动的信息性预期活动。 使用此类别中的选项对安全测试、红队活动和受信任应用和用户的预期异常行为的事件进行分类。
  • 对于确定的事件类型可以忽略的误报,因为它们在技术上不准确或具有误导性。

对事件进行分类并指定其状态和类型有助于优化Microsoft Defender XDR,以便随着时间的推移提供更好的检测确定。

添加备注

可以使用“注释”字段向事件添加多个 注释 。 注释字段支持文本和格式设置、链接和图像。 每个注释限制为 30,000 个字符。

所有注释都会添加到事件的历史事件中。 可以从“摘要”页上的“批注和历史记录”链接查看事件的批注和历史记录

活动日志

活动日志显示对事件执行的所有注释和操作的列表,称为“审核和注释”。 用户或系统对事件所做的所有更改都记录在活动日志中。 活动日志可从事件页或事件端窗格中的“ 活动日志 ”选项获取。

突出显示Microsoft Defender门户中事件页中的活动日志选项

可以按注释和操作筛选日志中的活动。 单击 “内容:审核”、“批注 ”,然后选择要筛选活动的内容类型。 下面是一个示例。

从Microsoft Defender门户中的事件页突出显示活动日志窗格中的筛选器选项

还可以使用活动日志中提供的注释框添加自己的注释。 注释框接受文本和格式设置、链接和图像。

突出显示Microsoft Defender门户中事件页中的注释框

将事件数据导出到 PDF

重要

本文中的某些信息与预发行的产品有关,该产品在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。

导出事件数据功能目前可供具有 Microsoft Copilot 安全许可证的Microsoft Defender XDR和Microsoft Defender统一安全运营中心 (SOC) 平台客户使用。

可以通过“将事件导出为 PDF”函数将事件的数据 导出为 PDF ,并将其保存为 PDF 格式。 此函数允许安全团队在任何给定时间脱机查看事件的详细信息。

导出的事件数据包括以下信息:

下面是导出的 PDF 的示例:

导出的 PDF 的第一页的屏幕截图。

如果你有安全 Copilot许可证,则导出的 PDF 包含以下附加事件数据:

生成的事件报告的 Copilot 侧面板中也提供了导出到 PDF 函数。

事件报告结果卡中的其他操作的屏幕截图。

若要生成 PDF,请执行以下步骤:

  1. 打开事件页面。 选择右上角的 “更多操作 ”省略号 (...) ,然后选择“ 将事件导出为 PDF”。 生成 PDF 时,函数将灰显。

    突出显示“将事件导出为 PDF”选项的屏幕截图。

  2. 此时会显示一个对话框,指示正在生成 PDF。 选择“ 已获取 ”以关闭对话框。 此外,事件标题下方会显示一条指示下载当前状态的状态消息。 导出过程可能需要几分钟时间,具体取决于事件的复杂性和要导出的数据量。

    突出显示下载前的导出消息和状态的屏幕截图。

  3. PDF 准备就绪后,状态消息指示 PDF 已准备就绪,并显示另一个对话框。 从对话框中选择“ 下载 ”,将 PDF 保存到设备。

    突出显示下载可用时的导出消息和状态的屏幕截图。

报表将缓存几分钟。 如果尝试在短时间内再次导出同一事件,系统会提供以前生成的 PDF。 若要生成较新版本的 PDF,请等待几分钟,让缓存过期。

后续步骤

对于新事件,请开始 调查

对于进程内事件,请继续 调查

对于已解决的事件,请执行 事后评审

另请参阅

提示

想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender XDR技术社区