Správa incidentů v Microsoft Defender
Správa incidentů je nezbytná k zajištění toho, aby incidenty byly pojmenovány, přiřazovány a označeny, aby se optimalizoval čas v pracovním postupu incidentů a rychleji se zachytávají a řešily hrozby.
Spravujte incidenty z webu Investigation & response > Incidenty & výstrahy > Incidenty na rychlém spuštění portálu Microsoft Defender (security.microsoft.com). Tady je příklad.
V tomto článku se dozvíte, jak provádět různé úlohy správy incidentů spojené s různými fázemi životního cyklu incidentu.
- Přiřaďte incident vlastníkovi.
- Přiřaďte nebo změňte závažnost.
- Přidejte značky incidentů.
- Změňte stav incidentu.
Vyšetřování a řešení incidentů:
Protokolování a hlášení incidentů:
- Upravte název incidentu.
- Vyhodnoťte audit aktivity a přidejte do protokolu aktivit komentáře.
- Exportujte data incidentů do PDF.
Přístup k podoknu Spravovat incident
Většina z těchto úloh je pro incident přístupná z podokna Spravovat incident . K tomuto podoknu se dostanete z libovolného umístění.
Z fronty incidentů
Na rychlém spuštění portálu Microsoft Defender vyberte Vyšetřování & reakce > Incidenty & výstrahy > Incidenty.
Z fronty incidentů přejděte do podokna Spravovat incident jedním ze dvou způsobů:
Zaškrtněte políčko incidentu a na panelu nástrojů nad filtry vyberte Spravovat incidenty . Můžete spravovat mnoho incidentů najednou tak, že zaškrtnete více zaškrtávacích políček.
Vyberte řádek incidentu (bez výběru názvu incidentu), aby se zobrazilo podokno podrobností incidentu, a v podokně podrobností incidentu vyberte Spravovat incident .
Na stránce incidentu
Na rychlém spuštění portálu Microsoft Defender vyberte Vyšetřování & reakce > Incidenty & výstrahy > Incidenty.
Vyberte název incidentu z fronty. Nebo vyberte řádek incidentu ve frontě a pak v podokně podrobností incidentu vyberte Otevřít stránku incidentu .
Na stránce incidentu v horním panelu vyberte Spravovat incident .
Pokud možnost Spravovat incident není viditelná, vyberte tři tečky v pravém horním rohu (viditelné na následujícím snímku obrazovky vedle položky Spravovat incident) a vyberte je v zobrazené nabídce.
Posouzení incidentů
Následující úlohy správy jsou úzce spojené s posouzením incidentů, i když je možné je kdykoli provést.
- Přiřaďte incident vlastníkovi.
- Přiřaďte nebo změňte závažnost.
- Přidejte značky incidentů.
- Změňte stav incidentu.
Přiřazení incidentu vlastníkovi
Ve výchozím nastavení se nové incidenty vytvářejí bez vlastníka. V ideálním případě by váš tým SecOps měl mít zavedené mechanismy a postupy pro automatické přiřazování incidentů vlastníkům. V případě eskalace nebo chybného původního přiřazení možná budete muset incident přiřadit znovu.
Přiřazení vlastníka
Pokud chcete k incidentu přiřadit nového vlastníka ručně, proveďte následující kroky:
Podle pokynů v úvodní části přejděte k podoknu Správa incidentu.
Zaškrtněte políčko Přiřadit k . Zobrazí se rozevírací seznam navrhovaných přiřazených.
Pokud se zobrazí účet uživatele nebo skupiny, ke kterému chcete incident přiřadit, vyberte ho.
V opačném případě začněte do textového pole v horní části seznamu psát jméno nebo ID účtu požadovaného uživatele nebo skupiny. Seznam se dynamicky aktualizuje a filtruje se podle toho, co píšete. Až uvidíte požadovaného uživatele nebo skupinu, vyberte ho.
Pokud chcete odebrat existující přiřazení, včetně toho, které jste právě přidali, vyberte X vedle názvu účtu. Pokud chcete přidat další přiřazení, zaškrtněte políčko Přiřadit k.
K incidentu je možné přiřadit pouze jeden uživatelský nebo skupinový účet.
Vyberte Uložit.
Přiřazení vlastnictví incidentu přiřadí stejné vlastnictví všem výstrahám, které jsou k němu přidružené.
Zobrazení incidentů přiřazených konkrétnímu vlastníkovi
Pokud chcete zobrazit seznam incidentů přiřazených konkrétnímu uživateli nebo skupině, vyfiltrujte frontu incidentů:
Ve frontě incidentů vyberte filtr Přiřazení incidentů . Zobrazí se rozevírací seznam navrhovaných přiřazených.
Pokud mezi filtry nevidíte přiřazení incidentu , vyberte Přidat filtr, v rozevíracím seznamu vyberte Přiřazení incidentu a vyberte Přidat.
Pokud se zobrazí uživatelský účet, jehož přiřazené incidenty chcete zobrazit, vyberte ho.
V opačném případě začněte do textového pole v horní části seznamu psát jméno nebo ID účtu požadovaného uživatele nebo skupiny. Seznam se dynamicky aktualizuje a filtruje se podle toho, co píšete. Až uvidíte požadovaného uživatele nebo skupinu, vyberte ho.
Na rozdíl od přiřazování incidentů zde můžete vybrat více než jednu přiřazenou adresu, podle které chcete seznam filtrovat. Pokud chcete do filtru přidat další uživatelský nebo skupinový účet, vyberte textové pole (vedle existujícího účtu ve filtru) a znovu se zobrazí seznam navrhovaných příjemců.
Vyberte Použít.
Pokud chcete uložit odkaz na frontu incidentů s použitými aktuálními filtry, vyberte z panelu nástrojů na stránce fronty incidentů možnost Kopírovat odkaz na seznam . Vytvořte zástupce v oblíbených nebo na ploše a vložte do něj odkaz.
Přiřazení nebo změna závažnosti incidentu
Závažnost incidentu je určena nejvyšší závažností výstrah, které jsou k němu přidruženy. Závažnost incidentu může být nastavená na vysokou, střední, nízkou nebo informační.
Pokud chcete ručně přiřadit nebo změnit závažnost incidentu, proveďte následující kroky:
Podle pokynů v úvodní části přejděte k podoknu Správa incidentu.
V rozevíracím seznamu Závažnost v podokně Spravovat incident vyberte hodnotu závažnosti, kterou chcete použít.
Vyberte Uložit.
Přidání značek incidentů
Vlastní značky přidávají informace, které incidentu propůjčují kontext. Značka může například označit skupinu incidentů společnou charakteristikou. Značky jsou kritériem pro filtrování, takže později můžete filtrovat frontu incidentů pro všechny incidenty, které obsahují konkrétní značku. Použití značky u incidentu:
Podle pokynů v úvodní části přejděte k podoknu Správa incidentu.
Do pole Značky incidentů začněte psát název značky, kterou chcete použít. Při psaní se zobrazí seznam dříve použitých a vybraných značek. Pokud se v seznamu zobrazí značka, kterou chcete použít, vyberte ji.
Pokud jste zadali název značky, který se ještě nepoužil, vyberte poslední položku v seznamu, což je zadaný text následovaný textem (Vytvořit nový).
Značka se pak zobrazí jako popisek v poli Značky incidentů. Tento krok opakujte, pokud chcete přidat další značky.
Vyberte Uložit.
Incident může mít systémové značky nebo vlastní značky s určitými barevnými pozadími. Vlastní značky používají bílé pozadí, zatímco systémové značky obvykle používají červené nebo černé barvy pozadí. Systémové značky identifikují v incidentu následující:
- Typ útoku, jako je phishing s přihlašovacími údaji nebo podvod BEC
- Automatické akce, jako je automatické vyšetřování a reakce a automatické přerušení útoku
- Experti defenderu zpracovávající incident
- Kritické prostředky zapojené do incidentu
Tip
Správa míry rizika zabezpečení Microsoftu na základě předdefinovaných klasifikací automaticky označí zařízení, identity a cloudové prostředky jako kritický prostředek. Tato předefinované funkce zajišťuje ochranu nejcennějších a nejdůležitějších prostředků organizace. Pomáhá také týmům pro operace zabezpečení určit prioritu vyšetřování a nápravy. Přečtěte si další informace o správě důležitých prostředků.
Změna stavu incidentu
Incidenty začínají se stavem Aktivní. Když pracujete na incidentu, změňte stav na Probíhá.
Vyšetřování a řešení incidentů
Následující úlohy správy jsou úzce spojeny s vyšetřováním a řešením incidentů, i když je možné je kdykoli provést.
Řešení incidentu
Při nápravě a vyřešení incidentu proveďte následující akce k zaznamenání řešení:
Podle pokynů v úvodní části přejděte k podoknu Správa incidentu.
Změňte stav. V rozevíracím seznamu Stav vyberte Vyřešeno. Když změníte stav incidentu na Vyřešeno, zobrazí se nové pole hned za polem Stav .
Do tohoto pole zadejte poznámku, která vysvětluje, proč považujete incident za vyřešený. Tato poznámka je viditelná v protokolu aktivit incidentu v blízkosti položky, která zaznamenává řešení incidentu.
Poznámka k řešení je také viditelná na panelu Podrobnosti incidentu na stránce fronty incidentů i na stránce incidentu u vyřešeného incidentu.
Vyberte Uložit.
Řešení incidentu také vyřeší všechny propojené a aktivní výstrahy související s incidentem. Incident, který se nevyřešil, se zobrazí jako Aktivní.
Určení klasifikace incidentu
Při řešení incidentu nebo v jakémkoli okamžiku vyšetřování incidentu nastavte odpovídajícím způsobem pole Klasifikace , jakmile se dozvíte, jak by se incident měl klasifikovat.
Podle pokynů v úvodní části přejděte k podoknu Správa incidentu.
V rozevíracím seznamu Klasifikace zvolte příslušnou hodnotu:
- Nenastaví se (výchozí).
- Pravdivě pozitivní s typem hrozby. Tuto klasifikaci použijte pro incidenty, které přesně označují skutečnou hrozbu. Určení typu hrozby pomůže vašemu bezpečnostnímu týmu vidět vzory hrozeb a jednat tak, aby před nimi chránil vaši organizaci.
- Informační, očekávaná aktivita s typem aktivity. Pomocí možností v této kategorii můžete klasifikovat incidenty pro testy zabezpečení, aktivitu červeného týmu a očekávané neobvyklé chování důvěryhodných aplikací a uživatelů.
- Falešně pozitivní u typů incidentů, které určíte, je možné ignorovat, protože jsou technicky nepřesné nebo zavádějící.
Dostupné typy aktivit a hrozeb pro každou z těchto klasifikací najdete na následujícím snímku obrazovky.
Vyberte Uložit.
Klasifikace incidentů a určení jejich stavu a typu pomáhá ladit Microsoft Defender tak, aby poskytovaly lepší zjišťování v průběhu času.
Přidání komentářů k incidentu
V průběhu vyšetřování a incidentu přidejte komentáře, které zaznamenají vaše aktivity, poznatky a závěry.
Otevřete protokol aktivit incidentu. Na stránce incidentu nebo na panelu podrobností incidentu na stránce fronty incidentů vyberte tři tečky v pravém horním rohu a ve výsledné nabídce vyberte Protokol aktivit.
Do textového pole zadejte komentář. Pole komentáře podporuje text a formátování, odkazy a obrázky. Každý komentář je omezený na 30 000 znaků.
Vyberte Uložit.
Všechny komentáře se přidají k historickým událostem incidentu. Komentáře a historii incidentu můžete zobrazit pomocí odkazu Komentáře a historie na stránce Souhrn .
Protokolování a hlášení incidentů
Následující úlohy správy se dají přidružit k auditování a hlášení o vyšetřování incidentů, i když je možné je kdykoli provést.
- Upravte název incidentu.
- Vyhodnoťte audit aktivity a přidejte do protokolu aktivit komentáře.
- Exportujte data incidentů do PDF.
Úprava názvu incidentu
Microsoft Defender automaticky přiřadí název na základě atributů upozornění, jako je počet ovlivněných koncových bodů, ovlivněných uživatelů, zdroje detekce nebo kategorie. Název incidentu umožňuje rychle porozumět rozsahu incidentu. Příklad: Vícefázový incident na více koncových bodech hlášených několika zdroji.
Pokud chcete upravit název incidentu, proveďte následující kroky:
Podle pokynů v úvodní části přejděte k podoknu Správa incidentu.
Do pole Název incidentu v podokně Spravovat incident zadejte nový název.
Vyberte Uložit.
Poznámka
Incidenty, které existovaly před uvedením funkce automatického pojmenování incidentů, si zachovají svoje názvy.
Pokud se jiný incident sloučí do přejmenovaného incidentu, Defender mu dá nový název a přepíše libovolný vlastní název, který jste mu dali předem.
Zobrazení protokolu aktivit incidentu
Když provádíte postsmrtu incidentu, podívejte se na protokol aktivit incidentu a zobrazte historii akcí provedených s incidentem (označované jako audity) a všechny zaznamenané komentáře. Všechny změny incidentu provedené uživatelem nebo systémem se zaznamenají do protokolu aktivit.
Otevřete protokol aktivit incidentu. Na stránce incidentu nebo na panelu podrobností incidentu na stránce fronty incidentů vyberte tři tečky v pravém horním rohu a ve výsledné nabídce vyberte Protokol aktivit.
Aktivity v protokolu můžete filtrovat podle komentářů a akcí. Vyberte Obsah: Audity, Komentáře a pak vyberte typ obsahu pro filtrování aktivit. Tady je příklad.
Vyberte Použít.
Můžete také přidat vlastní komentáře pomocí pole komentáře, které je k dispozici v protokolu aktivit. Pole komentáře umožňuje text a formátování, odkazy a obrázky.
Důležité
Některé informace v tomto článku se týkají předem vydaného produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje v souvislosti se zde uvedenými informacemi žádné výslovné ani předpokládané záruky.
Export dat incidentů do PDF
Data incidentu můžete exportovat do PDF prostřednictvím funkce Exportovat incident jako PDF a uložit je do formátu PDF. Tato funkce umožňuje bezpečnostním týmům kdykoli offline kontrolovat podrobnosti incidentu.
Exportovaná data incidentu obsahují následující informace:
- Přehled obsahující podrobnosti incidentu
- Graf scénáře útoku a kategorie hrozeb
- Ovlivněná aktiva, která pokrývají až 10 aktiv pro každý typ prostředku
- Seznam důkazů zahrnující až 100 položek
- Podpůrná data, včetně všech souvisejících výstrah a aktivit zaznamenaných v protokolu aktivit
Tady je příklad exportovaného SOUBORU PDF:
Pokud máte licenci Copilot for Security , exportovaný soubor PDF obsahuje následující další data incidentu:
Funkce exportu do PDF je k dispozici také na bočním panelu Copilot. Když v pravém horním rohu karty výsledků sestavy incidentů vyberete tři tečky Další akce (...), můžete zvolit Exportovat incident jako PDF.
Pokud chcete soubor PDF vygenerovat, proveďte následující kroky:
Otevřete stránku incidentu. Vyberte tři tečky Další akce (...) v pravém horním rohu a zvolte Exportovat incident jako PDF.
V dialogovém okně, které se zobrazí jako další, potvrďte informace o incidentu, které chcete zahrnout nebo vyloučit do SOUBORU PDF. Ve výchozím nastavení jsou vybrané všechny informace o incidentech. Pokračujte výběrem možnosti Exportovat PDF .
Pod názvem incidentu se zobrazí stavová zpráva s informací o aktuálním stavu stahování. Proces exportu může trvat několik minut v závislosti na složitosti incidentu a množství exportovaných dat.
Zobrazí se další dialogové okno s oznámením, že soubor PDF je připravený. V dialogovém okně vyberte Stáhnout a uložte soubor PDF do zařízení. Aktualizuje se také stavová zpráva pod názvem incidentu, která značí, že je stahování k dispozici.
Sestava se pár minut ukládá do mezipaměti. Systém poskytuje dříve vygenerovaný soubor PDF, pokud se pokusíte exportovat stejný incident znovu během krátké doby. Pokud chcete vygenerovat novější verzi SOUBORU PDF, počkejte několik minut, než vyprší platnost mezipaměti.
Další kroky
V případě nových a procesních incidentů pokračujte ve vyšetřování incidentu.
V případě vyřešených incidentů proveďte závěrečné vyhodnocení incidentu.
Viz také
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.