Del via

Administrer hændelser i Microsoft Defender

  • Artikel
  • Gælder for:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Administration af hændelser er afgørende for at sikre, at hændelser navngives, tildeles og mærkes for at optimere tiden i din hændelsesarbejdsproces og hurtigere indeholde og håndtere trusler.

Administrer dine hændelser fra Undersøgelse & svar > Hændelser & beskeder > Hændelser på hurtig start af Microsoft Defender-portalen (security.microsoft.com). Her er et eksempel.

Skærmbillede, der viser hændelseskøen og ruden Hurtig start på portalen Microsoft Defender.

I denne artikel kan du se, hvordan du udfører forskellige opgaver til administration af hændelser, der er knyttet til forskellige faser i en hændelses livscyklus.

Hændelses triage:

Undersøgelse og løsning af hændelse:

Logføring og rapportering af hændelser:

Tip

Defender Boxed, en række kort, der viser din organisations sikkerhedsmæssige succeser, forbedringer og svarhandlinger i løbet af de seneste seks måneder/år, vises i en begrænset periode i januar og juli hvert år. Få mere at vide om, hvordan du kan dele dine Defender Boxed-fremhævninger .

Få adgang til ruden Administrer hændelse

De fleste af disse opgaver er tilgængelige fra ruden Administrer hændelse for en hændelse. Du kan nå denne rude fra en hvilken som helst af flere placeringer.

Fra hændelseskøen

  1. Vælg Undersøgelse & svar > Hændelser & beskeder > Hændelser på hurtig start af Microsoft Defender-portalen.

  2. Fra hændelseskøen skal du få adgang til ruden Administrer hændelse på en af to måder:

    • Markér afkrydsningsfeltet for en hændelse, og vælg Administrer hændelser på værktøjslinjen over filtrene. Administrer mange hændelser på én gang ved at markere flere afkrydsningsfelter.

    • Vælg rækken for en hændelse (uden at vælge hændelsesnavnet), så ruden med oplysninger om hændelsen vises, og vælg Administrer hændelse i ruden med oplysninger om hændelse.

      Skærmbillede, der viser, hvordan du administrerer hændelser fra hændelseskøen i Microsoft Defender portal.

Fra hændelsessiden

  1. Vælg Undersøgelse & svar > Hændelser & beskeder > Hændelser på hurtig start af Microsoft Defender-portalen.

  2. Vælg navnet på en hændelse fra køen. Du kan også vælge rækken for en hændelse i køen og derefter vælge Åbn hændelsesside i ruden med oplysninger om hændelse.

  3. På hændelsessiden skal du vælge Administrer hændelse i det øverste panel.

    Hvis Administrer hændelse ikke er synlig, skal du vælge de tre prikker i øverste højre hjørne (synlig på følgende skærmbillede ud for "Administrer hændelse"), og vælge den i den viste menu.

    Skærmbillede, der viser, hvordan du administrerer en hændelse fra hændelsessiden på Microsoft Defender portal.

Hændelsestriage

Følgende administrationsopgaver er tæt forbundet med hændelsestriage, selvom de kan udføres når som helst.

Tildel en hændelse til en ejer

Nye hændelser oprettes som standard uden ejer. Ideelt set skal dit SecOps-team have mekanismer og procedurer på plads til automatisk at tildele hændelser til ejere. Du skal muligvis omfordele en hændelse i tilfælde af eskalering eller forkert oprindelig tildeling.

Tildel en ejer

Hvis du vil tildele en ny ejer til en hændelse manuelt, skal du benytte følgende fremgangsmåde:

  1. Følg vejledningen i afsnittet åbning for at få adgang til ruden Administrer hændelse.

  2. Markér feltet Tildel til . Der vises en rulleliste over foreslåede tildelinger.

  3. Hvis du kan se den bruger- eller gruppekonto, du vil tildele hændelsen til, skal du vælge den.

    Ellers skal du begynde at skrive navnet eller konto-id'et for den ønskede bruger eller gruppe i tekstfeltet øverst på listen. Listen opdateres dynamisk og filtreres efter det, du skriver. Når du ser den ønskede bruger eller gruppe, skal du vælge den.

  4. Hvis du vil fjerne en eksisterende tildeling, herunder alle de tildelinger, du lige har tilføjet, skal du vælge X ud for kontonavnet. Markér derefter feltet Tildel til , hvis du vil tilføje en anden tildeling.

    Der kan kun tildeles én bruger- eller gruppekonto til en hændelse.

  5. Vælg Gem.

Tildeling af ejerskab for en hændelse tildeler det samme ejerskab til alle de beskeder, der er knyttet til den.

Skærmbillede, der viser, hvordan du tildeler en ejer i ruden Administrer hændelse på Microsoft Defender portal.

Få vist hændelser, der er tildelt en bestemt ejer

Hvis du vil se en liste over hændelser, der er tildelt en bestemt bruger eller gruppe, skal du filtrere hændelseskøen:

  1. Vælg filteret Hændelsestildeling i hændelseskøen. Der vises en rulleliste over foreslåede tildelinger.

    Hvis du ikke kan se Hændelsestildeling blandt filtrene, skal du vælge Tilføj filter, vælge Hændelsestildeling på rullelisten og vælge Tilføj.

  2. Hvis du kan se den brugerkonto, hvis tildelte hændelser du vil have vist, skal du vælge den.

    Ellers skal du begynde at skrive navnet eller konto-id'et for den ønskede bruger eller gruppe i tekstfeltet øverst på listen. Listen opdateres dynamisk og filtreres efter det, du skriver. Når du ser den ønskede bruger eller gruppe, skal du vælge den.

    I modsætning til tildeling af hændelser kan du her vælge mere end én tildeling for at filtrere listen efter. Hvis du vil føje en anden bruger- eller gruppekonto til filteret, skal du markere tekstfeltet (ud for den eksisterende konto i filteret), hvorefter listen over foreslåede brugere vises igen.

  3. Vælg Anvend.

    Skærmbillede, der viser, hvordan du får vist hændelser, der er tildelt en ejer på hændelseskøsiden på Microsoft Defender portalen.

Hvis du vil gemme et link til hændelseskøen med de aktuelle filtre anvendt, skal du vælge Kopiér listelink på værktøjslinjen på hændelseskøsiden. Opret en genvej i dine favoritter eller på skrivebordet, og indsæt linket i den.

Tildel eller skift hændelses alvorsgrad

Alvorsgraden af en hændelse bestemmes af den højeste alvorsgrad af de beskeder, der er knyttet til den. Alvorsgraden af en hændelse kan angives til høj, mellem, lav eller oplysende.

Hvis du vil tildele eller ændre alvorsgraden af en hændelse manuelt, skal du benytte følgende fremgangsmåde:

  1. Følg vejledningen i afsnittet åbning for at få adgang til ruden Administrer hændelse.

  2. Vælg den alvorsgradsværdi, du vil anvende, på rullelisten Alvorsgrad i ruden Administrer hændelse .

  3. Vælg Gem.

Tilføj hændelseskoder

Brugerdefinerede mærker tilføjer oplysninger for at udlåne kontekst til en hændelse. Et tag kan f.eks. forsyne en gruppe hændelser med en fælles egenskab. Mærker er et kriterium for filtrering, så du senere kan filtrere hændelseskøen for alle hændelser, der indeholder et bestemt mærke. Sådan anvender du et mærke på en hændelse:

  1. Følg vejledningen i afsnittet åbning for at få adgang til ruden Administrer hændelse.

  2. I feltet Hændelseskoder skal du begynde at skrive navnet på det mærke, du vil anvende. Mens du skriver, vises en liste over tidligere anvendte og valgte mærker. Hvis du kan se det mærke, du vil anvende, på listen, skal du vælge det.

    Skærmbillede, der viser, hvordan du opretter et hændelsesmærke i ruden Administrer hændelser.

    Hvis du har skrevet et kodenavn, der ikke er blevet brugt før, skal du vælge det sidste element på listen, som er den tekst, du har skrevet efterfulgt af "(Opret ny)."

    Skærmbillede, der viser, hvordan du vælger et mærke, der skal anvendes på en hændelse i ruden Administrer hændelser.

    Koden vises derefter som en mærkat i feltet Hændelseskoder. Gentag dette trin for at tilføje flere mærker, som du vil.

    Skærmbillede, der viser, hvordan et markeret mærke vises i feltet Hændelseskoder.

  3. Vælg Gem.

En hændelse kan have systemkoder og/eller brugerdefinerede mærker med visse farvebaggrunde. Brugerdefinerede mærker bruger den hvide baggrund, mens systemkoder typisk bruger røde eller sorte baggrundsfarver. Systemkoder identificerer følgende i en hændelse:

  • En type angreb, f.eks. phishing med legitimationsoplysninger eller BEC-svindel
  • Automatiske handlinger, f.eks. automatisk undersøgelse og svar og automatisk afbrydelse af angreb
  • Defender Experts, der håndterer en hændelse
  • Kritiske aktiver , der er involveret i hændelsen

Tip

Microsofts Security Exposure Management, der er baseret på foruddefinerede klassificeringer, mærker automatisk enheder, identiteter og cloudressourcer som et vigtigt aktiv. Denne "out-of-the-box"-funktionalitet sikrer beskyttelse af en organisations værdifulde og vigtigste aktiver. Det hjælper også sikkerhedsteams med at prioritere undersøgelse og afhjælpning. Få mere at vide om kritisk ressourcestyring.

Skift hændelsesstatus

Hændelser begynder livet med statussen Aktiv. Når du arbejder på en hændelse, skal du ændre Status til Igangværende.

Undersøgelse og løsning af hændelse

Følgende administrationsopgaver er tæt forbundet med undersøgelse og løsning af hændelser, selvom de kan udføres når som helst.

Løs en hændelse

Når en hændelse afhjælpes og løses, skal du udføre følgende handlinger for at registrere løsningen:

  1. Følg vejledningen i afsnittet åbning for at få adgang til ruden Administrer hændelse.

  2. Skift status. Vælg Løst på rullelisten Status . Når du ændrer status for en hændelse til Løst, vises der et nyt felt umiddelbart efter feltet Status .

  3. Angiv en note i dette felt, der forklarer, hvorfor du mener, at hændelsen er løst. Denne note er synlig i aktivitetsloggen for hændelsen i nærheden af posten, der registrerer hændelsens opløsning.

    Skærmbillede af panelet for administration af hændelser med note om løsning af hændelser.

    Løsningsnoten er også synlig i panelet Hændelsesoplysninger på både hændelseskøsiden og hændelsessiden for en løst hændelse.

    Skærmbillede af visning af løsningsnote i panelet med hændelsesoplysninger.

  4. Vælg Gem.

Løsning af en hændelse løser også alle de linkede og aktive beskeder, der er relateret til hændelsen. En hændelse, der ikke er løst, vises som Aktiv.

Angiv klassificeringen af hændelsen

Når du løser en hændelse eller på et tidspunkt i en hændelses undersøgelse, skal du angive feltet Klassificering i overensstemmelse hermed, så snart du bliver opmærksom på, hvordan hændelsen skal klassificeres.

  1. Følg vejledningen i afsnittet åbning for at få adgang til ruden Administrer hændelse.

  2. Vælg den relevante værdi på rullelisten Klassificering :

    • Ikke angivet (standard).
    • Sand positiv med en form for trussel. Brug denne klassificering til hændelser, der nøjagtigt angiver en reel trussel. Angivelse af trusselstypen hjælper dit sikkerhedsteam med at se trusselsmønstre og reagere for at forsvare din organisation mod dem.
    • Oplysende, forventet aktivitet med en aktivitetstype. Brug indstillingerne i denne kategori til at klassificere hændelser for sikkerhedstests, rød teamaktivitet og forventet usædvanlig funktionsmåde fra apps og brugere, der er tillid til.
    • Falsk positiv for typer af hændelser, som du finder, kan ignoreres, fordi de teknisk set er unøjagtige eller vildledende.

    Se de tilgængelige typer aktiviteter og trusler for hver af disse klassificeringer på følgende skærmbillede.

  3. Vælg Gem.

    Skærmbillede, der viser klassificeringsindstillingerne for hændelser.

Klassificering af hændelser og angivelse af deres status og type hjælper med at justere Microsoft Defender for at sikre bedre registreringsbestemmelse over tid.

Føj kommentarer til en hændelse

I løbet af undersøgelsen og hændelsen kan du tilføje kommentarer for at registrere dine aktiviteter, indsigter og konklusioner.

  1. Åbn hændelsesaktivitetsloggen. På hændelsessiden eller fra panelet med hændelsesoplysninger på siden med hændelseskøen skal du vælge de tre prikker i øverste højre hjørne, og i den resulterende menu skal du vælge Aktivitetslog.

    Skærmbillede, der viser, hvordan du får adgang til en hændelses aktivitetslog.

  2. Skriv din kommentar i tekstfeltet. Kommentarfeltet understøtter tekst og formatering, links og billeder. Hver kommentar er begrænset til 30.000 tegn.

    Skærmbillede, der viser, hvordan du føjer en kommentar til en hændelse.

  3. Vælg Gem.

Alle kommentarer føjes til de historiske hændelser i hændelsen. Du kan se kommentarerne og historikken for en hændelse fra linket Kommentarer og historik på siden Oversigt .

Logføring og rapportering af hændelser

Følgende administrationsopgaver kan knyttes til overvågning og rapportering i forbindelse med efterforskninger af hændelser, selvom de kan udføres når som helst.

Rediger hændelsesnavnet

Microsoft Defender tildeler automatisk et navn baseret på beskedattributter, f.eks. antallet af berørte slutpunkter, berørte brugere, registreringskilder eller kategorier. Hændelsesnavnet giver dig mulighed for hurtigt at forstå omfanget af hændelsen. Eksempel: Hændelse med flere faser på flere slutpunkter rapporteret af flere kilder.

Hvis du vil redigere hændelsesnavnet, skal du benytte følgende fremgangsmåde:

  1. Følg vejledningen i afsnittet åbning for at få adgang til ruden Administrer hændelse.

  2. Skriv et nyt navn i feltet Hændelsesnavn i ruden Administrer hændelse .

  3. Vælg Gem.

Bemærk!

  • Hændelser, der fandtes før udrulningen af funktionen til automatisk navngivning af hændelser, bevarer deres navne.

  • Hvis en anden hændelse flettes med en omdøbt hændelse, giver Defender hændelsen et nyt navn og overskriver det brugerdefinerede navn, du har givet den på forhånd.

Få vist aktivitetsloggen for en hændelse

Når du udfører en postmortem for en hændelse, kan du få vist hændelsens aktivitetslog for at se historikken over handlinger, der er udført på hændelsen (kaldet "Overvågninger") og eventuelle kommentarer, der er registreret. Alle ændringer, der foretages af hændelsen, uanset om det er af en bruger eller af systemet, registreres i aktivitetsloggen.

  1. Åbn hændelsesaktivitetsloggen. På hændelsessiden eller fra panelet med hændelsesoplysninger på siden med hændelseskøen skal du vælge de tre prikker i øverste højre hjørne, og i den resulterende menu skal du vælge Aktivitetslog.

    Skærmbillede, der fremhæver indstillingen aktivitetslog på hændelsessiden på Microsoft Defender-portalen.

  2. Filtrer aktiviteterne i logfilen efter kommentarer og handlinger. Vælg Indhold: Overvågninger, Kommentarer, og vælg derefter indholdstypen for at filtrere aktiviteter. Her er et eksempel.

    Skærmbillede, der fremhæver filterindstillingerne i ruden aktivitetslog fra hændelsessiden på Microsoft Defender portalen.

  3. Vælg Anvend.

Du kan også tilføje dine egne kommentarer ved hjælp af kommentarfeltet, der er tilgængeligt i aktivitetsloggen. Kommentarfeltet accepterer tekst og formatering, links og billeder.

Vigtigt!

Nogle oplysninger i denne artikel er relateret til et produkt, der er ikke er udgivet endnu, og som kan blive ændret væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier, hverken udtrykkelige eller underforståede, med hensyn til de oplysninger, der gives her.

Eksportér hændelsesdata til PDF

Du kan eksportere data fra en hændelse til PDF via funktionen Eksportér som PDF og gemme dem i PDF-format. Denne funktion gør det muligt for sikkerhedsteams at gennemse oplysninger om en hændelse offline når som helst.

De eksporterede hændelsesdata indeholder følgende oplysninger:

Her er et eksempel på den eksporterede PDF-fil:

Skærmbillede af den første side i den eksporterede PDF-fil.

Hvis du har licensen Copilot for Security , indeholder den eksporterede PDF-fil følgende yderligere hændelsesdata:

Funktionen eksport til PDF er også tilgængelig på Copilot-sidepanelet. Når du vælger ellipsen Flere handlinger (...) i øverste højre hjørne af resultatkortet for hændelsesrapporten, kan du vælge Eksportér hændelse som PDF.

Skærmbillede af yderligere handlinger på hændelsesrapportens resultatkort.

Hvis du vil generere PDF-filen, skal du udføre følgende trin:

  1. Åbn en hændelsesside. Vælg ellipsen Flere handlinger (...) i øverste højre hjørne, og vælg Eksportér hændelse som PDF.

    Skærmbillede, der fremhæver ellipsen Flere handlinger på hændelsessiden.

  2. I den dialogboks, der vises næste, skal du bekræfte de hændelsesoplysninger, du vil medtage eller udelade i PDF-filen. Alle hændelsesoplysninger er valgt som standard. Vælg Eksportér PDF for at fortsætte.

    Skærmbillede, der fremhæver indstillingen eksporthændelse til PDF.

  3. En statusmeddelelse, der angiver den aktuelle tilstand for downloaden, vises under hændelsestitel. Eksportprocessen kan tage et par minutter afhængigt af hændelsens kompleksitet og mængden af data, der skal eksporteres.

    Skærmbillede, der fremhæver eksportmeddelelse og status før download.

  4. Der vises en anden dialogboks, der angiver, at PDF-filen er klar. Vælg Download i dialogboksen for at gemme PDF-filen på din enhed. Statusmeddelelsen under hændelsestitel opdateres også for at angive, at downloaden er tilgængelig.

    Skærmbillede, der fremhæver eksportmeddelelse og status, når download er tilgængelig.

Rapporten cachelagres i et par minutter. Systemet leverer den tidligere genererede PDF-fil, hvis du forsøger at eksportere den samme hændelse igen inden for en kort tidsramme. Hvis du vil generere en nyere version af PDF-filen, skal du vente et par minutter, indtil cachen udløber.

Næste trin

For nye og igangværende hændelser skal du fortsætte din undersøgelse af hændelser.

Udfør en gennemgang efter hændelsen for løste hændelser.

Se også

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.