在 Microsoft Defender 中管理事件

  • 發行項

適用於:

  • Microsoft Defender XDR
  • Microsoft Defender整合安全性作業中心 (SOC) 平臺

事件管理對於確保事件的命名、指派和標記非常重要,以優化事件工作流程中的時間,並更快速地包含和解決威脅。

提示

在 2024 年 1 月的有限時間內,當您流覽 [事件 ] 頁面時,會出現 Defender Boxed。 Defender Boxed 強調貴組織在 2023 年的安全性成功、改進和響應動作。 若要重新開啟 Defender Boxed,請在 Microsoft Defender 入口網站中,移至 [事件],然後選取 [您的 Defender Boxed]

您可以在快速啟動 Microsoft Defender 入口網站 (security.microsoft.com) 時,從事件 & 警示>事件管理事件。 以下為範例。

在 Microsoft Defender 入口網站中醒目提示事件佇列和快速啟動窗格內的管理事件選項

以下是您可以管理事件的方式:

您可以從事件的 [管理事件]窗格管理事件。 以下為範例。

Microsoft Defender 入口網站中的 [管理事件] 窗格

您可以從下列上的 [ 管理事件 ] 連結顯示此窗格:

  • 警示劇本 頁面。
  • 事件佇列中事件的 [屬性] 窗格。
  • 事件的摘要頁面。
  • 管理位於 [事件] 頁面右上角的事件選項。

如果您想要將警示從一個事件移到另一個事件,您也可以從 [ 警示] 索 引卷標執行此動作,進而建立包含所有相關警示的較大或較小的事件。

編輯事件名稱

Microsoft Defender 會根據警示屬性自動指派名稱,例如受影響的端點數目、受影響的使用者、偵測來源或類別。 事件名稱可讓您快速瞭解事件的範圍。 例如: 多個來源所報告之多個端點上的多階段事件。

您可以從 [管理事件] 窗格的 [ 事件名稱 ] 字段編輯 事件 名稱。

注意事項

在自動事件命名功能推出之前存在的事件將會保留其名稱。

指派或變更事件嚴重性

您可以從 [管理事件] 窗格的 [ 嚴重性 ] 字段指派或變更 事件 的嚴重性。 事件的嚴重性取決於與其相關聯之警示的最高嚴重性。 事件的嚴重性可以設定為高、中、低或資訊。

新增事件標籤

您可以為事件新增自訂標籤,例如使用常見特性來標記一組事件。 您可以稍後篩選包含特定標籤的所有事件的事件佇列。

開始輸入之後,就會出現從先前使用和選取的標籤清單中選取的選項。

指派事件

您可以選取 [ 指派給] 方塊,並指定要指派事件的用戶帳戶。 若要重新指派事件,請選取帳戶名稱旁邊的 「x」 來移除目前的指派帳戶,然後選取 [ 指派給] 方塊。 指派事件的擁有權會將相同的擁有權指派給與其相關聯的所有警示。

您可以篩選事件佇列,以取得指派給您的事件清單。

  1. 從事件佇列中,選取 [ 篩選]
  2. 在 [ 事件指派] 區段中,清除 [全選]。 選 取 [指派給我][指派給另一個使用者] 或 [ 指派給使用者群組]
  3. 取 [套用],然後關閉 [ 篩選] 窗格。

然後,您可以將產生的 URL 儲存在瀏覽器中作為書籤,以快速查看指派給您的事件清單。

解決事件

取 [解決事件 ],以在事件修復時將切換移至右側。 解決事件也會解決與事件相關的所有連結和作用中警示。

未解決的事件會顯示為 [作用中]

指定分類

從 [ 分類] 欄位中,指定事件是否為:

  • 未設定 (預設) 。
  • 確判 為威脅類型。 針對精確指出實際威脅的事件,請使用此分類。 指定威脅類型可協助您的安全性小組查看威脅模式,並採取行動以為組織防禦該威脅。
  • 具有活動類型的資訊、預期活動。 使用此類別中的選項來分類安全性測試、紅色小組活動的事件,以及信任的應用程式和使用者預期的異常行為。
  • 您判斷的事件類型為判,可能會因為技術上不正確或誤導而予以忽略。

分類事件並指定事件的狀態和類型有助於微調 Microsoft Defender 全面偵測回應,以提供一段時間的更佳偵測判斷。

新增註解

您可以使用 [ 批注 ] 字段,將多個批註新增至事件。 批註欄位支援文字和格式設定、連結和影像。 每個批注限制為 30,000 個字元。

所有批注都會新增至事件的歷史事件。 您可以從 [摘要] 頁面上的 [批注和歷程記錄] 連結查看事件的批注和歷程記錄。

活動記錄

活動 記錄 會顯示對事件執行的所有批注和動作清單,稱為 稽核和批注。 無論是由使用者或系統對事件所做的所有變更,都會記錄在活動記錄中。 活動記錄可從事件頁面或事件端窗格上的 [ 活動記錄 ] 選項取得。

從 Microsoft Defender 入口網站中的事件頁面醒目提示活動記錄選項

您可以依批注和動作篩選記錄檔內的活動。 按兩下 [ 內容:稽核]、[批注], 然後選取要篩選活動的內容類型。 以下為範例。

從 Microsoft Defender 入口網站中的事件頁面,醒目提示活動記錄窗格內的篩選選項

您也可以使用活動記錄內可用的批注方塊來新增自己的批注。 批注方塊接受文字和格式設定、連結和影像。

在 Microsoft Defender 入口網站中反白顯示事件頁面中的批注方塊

將事件數據匯出至 PDF

重要事項

本文中的部分資訊與發行前版本產品有關,在產品正式發行前可能會大幅度修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。

導出事件數據功能目前可供 Microsoft Defender 全面偵測回應 和 Microsoft Defender 統一的安全性作業中心, (SOC) 平台客戶使用 Microsoft Copilot 安全性授權。

您可以透過將事件匯出 為 PDF 函式,將事件的數據匯出至 PDF,並將其儲存為 PDF 格式。 此函式可讓安全性小組在任何指定時間離線檢閱事件的詳細數據。

匯出的事件資料包含下列資訊:

以下是匯出的 PDF 範例:

匯出 PDF 第一頁的螢幕快照。

如果您有 Copilot for Security 授權,導出的 PDF 會包含下列其他事件資料:

匯出至 PDF 函式也可在所產生事件報告的 Copilot 側邊面板中取得。

事件報告結果卡片中其他動作的螢幕快照。

若要產生 PDF,請執行下列步驟:

  1. 開啟事件頁面。 選取右上角的 [ 其他動作 ] 省略號 (...) ,然後選擇 [將 事件匯出為 PDF]。 產生 PDF 時,函式會變成灰色。

    醒目提示 [將事件匯出至 PDF] 選項的螢幕快照。

  2. 對話框隨即出現,表示正在產生 PDF。 選 取 [取得] 以關閉對話框。 此外,事件標題下方會出現狀態消息,指出下載的目前狀態。 視事件的複雜度和要匯出的數據量而定,匯出程式可能需要幾分鐘的時間。

    醒目提示下載前匯出訊息和狀態的螢幕快照。

  3. PDF 準備就緒之後,狀態消息會指出 PDF 已就緒,並出現另一個對話方塊。 從對話框中選取 [ 下載 ],將 PDF 儲存到您的裝置。

    螢幕快照,醒目提示可下載時的導出訊息和狀態。

報表會快取幾分鐘。 如果您嘗試在短時間內再次匯出相同的事件,系統會提供先前產生的 PDF。 若要產生較新版本的 PDF,請等候幾分鐘讓快取過期。

後續步驟

針對新的事件,請開始 調查

針對處理中事件,請繼續 調查

針對已解決的事件,請執行 事件後檢閱

另請參閱

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:Microsoft Defender 全面偵測回應 技術社群。