Tapausten hallinta Microsoft Defender

• Koskee seuraavia::

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Tapausten hallinta on tärkeää, jotta voidaan varmistaa, että tapaukset nimetään, määritetään ja merkitään, jotta tapausten työnkulun aika voidaan optimoida ja uhat voidaan hillitä ja käsitellä nopeasti.

Hallitse tapauksiasi investigation & response > incidents -kohdasta & hälytyksiä > Tapaukset Microsoft Defender portaalin (security.microsoft.com) pikakäynnistyksessä. Tässä on esimerkki.

Tässä artikkelissa kerrotaan, miten voit suorittaa erilaisia tapauksen elinkaaren eri vaiheisiin liittyviä tapaustenhallintatehtäviä.

Tapauskommentti:

• Määritä tapaus omistajalle.
• Määritä vakavuus tai muuta sen vakavuutta.
• Lisää tapahtumatunnisteita.
• Muuta tapahtuman tilaa.

Tapaustutkimus ja ratkaisu:

• Ratkaise tapaus.
• Määritä tapahtuman luokitus.
• Lisää kommentteja tapahtumaan.

Tapausten kirjaaminen ja raportointi:

• Muokkaa tapauksen nimeä.
• Arvioi toiminnan valvonta ja lisää kommentteja toimintalokiin.
• Vie tapaustiedot PDF-muotoon.

Tapauksen hallinta -ruudun käyttäminen

Useimmat näistä tehtävistä ovat käytettävissä Tapahtuman hallinta -ruudussa. Voit tavoittaa tämän ruudun mistä tahansa useista sijainneista.

Tapausjonosta

1. Valitse Tutkinta & vastaustapaukset > & hälytyksiä > Tapaukset Microsoft Defender portaalin pikakäynnistyksessä.

2. Siirry tapausjonossa Tapausten hallinta -ruutuun kahdella tavalla:

   • Valitse tapahtuman valintaruutu ja valitse Suodattimien yläpuolella olevalta työkaluriviltä Tapausten hallinta . Voit hallita monia tapauksia kerralla valitsemalla useita valintaruutuja.

   • Valitse tapahtuman rivi (valitsematta tapahtuman nimeä) niin, että tapahtuman tiedot -ruutu tulee näkyviin, ja valitse Tapahtuman hallinta Tapahtuman tiedot -ruudusta.

     

Tapaussivulta

1. Valitse Tutkinta & vastaustapaukset > & hälytyksiä > Tapaukset Microsoft Defender portaalin pikakäynnistyksessä.

2. Valitse tapahtuman nimi jonosta. Voit myös valita tapahtuman rivin jonossa ja valita sitten Tapahtuman tiedot -ruudusta Avaa tapaus -sivun .

3. Valitse tapaussivun yläpaneelista Tapauksen hallinta .

   Jos Tapahtuman hallinta ei ole näkyvissä, valitse kolme pistettä oikeasta yläkulmasta (näkyy seuraavassa näyttökuvassa Tapahtuman hallinta -kohdan vieressä) ja valitse se avautuvasta valikosta.

   

Tapauskonagenssi

Seuraavat hallintatehtävät liittyvät läheisesti tapauskonageen, mutta ne voidaan suorittaa milloin tahansa.

• Määritä tapaus omistajalle.
• Määritä vakavuus tai muuta sen vakavuutta.
• Lisää tapahtumatunnisteita.
• Muuta tapahtuman tilaa.

Tapauksen määrittäminen omistajalle

Oletusarvoisesti uusia tapauksia luodaan ilman omistajaa. Ihannetapauksessa SecOps-tiimilläsi pitäisi olla käytössä mekanismit ja menettelyt tapausten määrittämiseksi automaattisesti omistajille. Jos kyseessä on eskalointi tai alkuperäinen määritys on virheellinen, sinun on ehkä määritettävä tapaus uudelleen.

Määritä omistaja

Jos haluat määrittää tapahtumalle manuaalisesti uuden omistajan, toimi seuraavasti:

1. Seuraa avaavan osion ohjeita Jaa Tapahtuman hallinta -ruutu.

2. Valitse Määritä kohteeseen - ruutu. Näkyviin tulee ehdotettujen vastuuhenkilöiden avattava luettelo.

3. Jos näet käyttäjä- tai ryhmätilin, jolle haluat määrittää tapahtuman, valitse se.

   Muussa tapauksessa ala kirjoittaa haluamasi käyttäjän tai ryhmän nimeä tai tilitunnusta luettelon yläosassa olevaan tekstiruutuun. Luettelo päivitetään dynaamisesti ja suodatetaan kirjoittamasi mukaan. Kun näet haluamasi käyttäjän tai ryhmän, valitse se.

4. Jos haluat poistaa olemassa olevan varauksen, mukaan lukien juuri lisäämäsi, valitse tilin nimen vieressä oleva X . Valitse sitten Määritä kohteeseen - ruutu, jos haluat lisätä toisen varauksen.

   Tapahtumaan voidaan määrittää vain yksi käyttäjä- tai ryhmätili.

5. Valitse Tallenna.

Tapauksen omistajuuden määrittäminen määrittää saman omistajuuden kaikille siihen liittyville hälytyksille.

Tiettyyn omistajaan määritettyjen tapausten tarkasteleminen

Jos haluat nähdä luettelon tietylle käyttäjälle tai ryhmälle määritetyistä tapauksista, suodata tapausjono:

1. Valitse tapausjonosta Tapausmääritys-suodatin . Näkyviin tulee ehdotettujen vastuuhenkilöiden avattava luettelo.

   Jos suodattimissa ei näy Tapaus-määritystä , valitse Lisää suodatin, valitse avattavasta luettelosta Tapausmääritys ja valitse Lisää.

2. Jos näet käyttäjätilin, jonka määrittämät tapaukset haluat näyttää, valitse se.

   Muussa tapauksessa ala kirjoittaa haluamasi käyttäjän tai ryhmän nimeä tai tilitunnusta luettelon yläosassa olevaan tekstiruutuun. Luettelo päivitetään dynaamisesti ja suodatetaan kirjoittamasi mukaan. Kun näet haluamasi käyttäjän tai ryhmän, valitse se.

   Tapausten määrittämisestä poiketen tässä voit valita useamman kuin yhden vastuuhenkilön luettelon suodattamiseksi. Jos haluat lisätä suodattimeen toisen käyttäjän tai ryhmän tilin, valitse tekstiruutu (suodattimessa olevan olemassa olevan tilin vieressä), jolloin ehdotettujen vastuuhenkilöiden luettelo tulee uudelleen näkyviin.

3. Valitse Käytä.

   

Jos haluat tallentaa linkki tapahtumajonoon käyttäen käytössä olevia suodattimia, valitse Kopioi luettelo -linkki tapahtumajonosivun työkaluriviltä. Luo pikakuvake suosikkeihin tai työpöydälle ja liitä linkki siihen.

Tapauksen vakavuuden määrittäminen tai muuttaminen

Tapahtuman vakavuus määräytyy siihen liittyvien hälytysten suurimman vakavuuden mukaan. Tapahtuman vakavuus voidaan määrittää korkeaksi, keskitasoksi, alhaiseksi tai tietoisaksi.

Voit manuaalisesti määrittää tapahtuman vakavuuden tai muuttaa sitä seuraavasti:

1. Seuraa avaavan osion ohjeita Jaa Tapahtuman hallinta -ruutu.

2. Valitse käytettävä vakavuusarvo Tapahtumatilanteiden hallinta -ruudun avattavasta Vakavuus-valikosta.

3. Valitse Tallenna.

Tapahtumatunnisteiden lisääminen

Mukautetut tunnisteet lisäävät tietoja, jotka antavat kontekstin tapahtumalle. Tunnisteella voidaan esimerkiksi merkitä joukko tapauksia, joilla on yhteinen ominaisuus. Tunnisteet ovat suodatuksen ehto, joten voit myöhemmin suodattaa tapausjonon kaikille tapauksille, jotka sisältävät tietyn tunnisteen. Tunnisteen käyttäminen tapahtumassa:

1. Seuraa avaavan osion ohjeita Jaa Tapahtuman hallinta -ruutu.

2. Kirjoita Tapaustunnisteet-kenttään sen tunnisteen nimi, jota haluat käyttää. Kirjoittaessasi näkyviin tulee luettelo aiemmin käytetyistä ja valituista tunnisteista. Jos näet luettelossa tunnisteen, jota haluat käyttää, valitse se.

   

   Jos olet kirjoittanut tunnisteen nimen, jota ei ole käytetty aiemmin, valitse luettelon viimeinen merkintä, joka on kirjoittamasi teksti ja sen jälkeen "(Luo uusi)."

   

   Tunniste näkyy sitten otsikkona Incident-tunnisteet-kentässä. Toista tämä vaihe, jos haluat lisätä tunnisteita haluamallasi tavalla.

   

3. Valitse Tallenna.

Tapahtuma voi sisältää järjestelmätunnisteita ja/tai mukautettuja tunnisteita, joilla on tietyt väritaustat. Mukautetuissa tunnisteissa käytetään valkoista taustaa, kun taas järjestelmätunnisteissa käytetään yleensä punaisia tai mustia taustavärejä. Järjestelmätunnisteet tunnistavat tapahtuman seuraavat:

• Hyökkäystyyppi, kuten tunnistetietojen tietojenkalastelu tai BEC-petos
• Automaattiset toiminnot, kuten automaattinen tutkinta ja reagointi sekä automaattisen hyökkäyksen häiriöt
• Defender-asiantuntijat käsittelevät tapausta
• Tapahtumaan osallistuneet kriittiset resurssit

Vihje

Microsoftin Suojauksen altistumishallinta, joka perustuu ennalta määritettyihin luokituksiin, merkitsee laitteet, käyttäjätiedot ja pilviresurssit automaattisesti kriittiseksi resurssiksi. Tämä valmiilla toiminnolla varmistetaan organisaation arvokkaimpien ja tärkeimpien resurssien suojaus. Se auttaa myös suojaustiimiä priorisoimaan tutkimuksia ja korjauksia. Lisätietoja kriittisestä resurssienhallinnasta.

Muuta tapahtuman tilaa

Tapaukset alkavat elämästä, ja tila on Aktiivinen. Kun käsittelet tapausta, muuta tilaksiKeskeneräinen.

Tapausten tutkiminen ja ratkaiseminen

Seuraavat hallintatehtävät liittyvät tiiviisti tapaustutkimukseen ja ratkaisuun, vaikka ne voidaan suorittaa milloin tahansa.

• Ratkaise tapaus.
• Määritä tapahtuman luokitus.
• Lisää kommentteja tapahtumaan.

Tapauksen ratkaiseminen

Kun tapaus korjataan ja ratkaistaan, tallenna ratkaisu seuraavasti:

1. Seuraa avaavan osion ohjeita Jaa Tapahtuman hallinta -ruutu.

2. Muuta tilaa. Valitse ratkaistu avattavasta Tila-luettelosta . Kun muutat tapahtuman tilaksi Ratkaistu, tilakentän jälkeen näytetään heti uusi kenttä Tila-kentän jälkeen.

3. Kirjoita tähän kenttään huomautus, jossa kerrotaan, miksi tapaus on mielestäsi ratkaistu. Tämä muistiinpano näkyy tapahtuman toimintalokissa lähellä merkintää, joka tallentaa tapahtuman ratkaisun.

   

   Ratkaisuhuomautus näkyy myös Tapauksen tiedot -paneelissa sekä tapausten jonosivulla että ratkaistun tapauksen tapaussivulla.

   

4. Valitse Tallenna.

Tapauksen ratkaiseminen ratkaisee myös kaikki tapahtumaan liittyvät linkitetyt ja aktiiviset hälytykset. Tapaus, jota ei ole ratkaistu, näkyy aktiivisena.

Tapahtuman luokituksen määrittäminen

Kun ratkaiset tapauksen tai tapauksen tutkinnan milloin tahansa, heti kun saat tietää, miten tapaus tulisi luokitella, määritä Luokitus-kenttä vastaavasti.

1. Seuraa avaavan osion ohjeita Jaa Tapahtuman hallinta -ruutu.

2. Valitse sopiva arvo avattavasta Luokitus-luettelosta :

   • Ei määritetty (oletus).
   • Tosi positiivinen ja uhkatyyppi. Käytä tätä luokitusta tapauksiin, jotka ilmaisevat tarkasti todellisen uhan. Uhkatyypin määrittäminen auttaa suojaustiimiäsi näkemään uhkamalleja ja toimimaan organisaatiosi puolustamiseksi heiltä.
   • Tietoinen, odotettu toiminto , jolla on aktiviteettityyppi. Tämän luokan vaihtoehtojen avulla voit luokitella tietoturvatestejä, punaisen tiimin toimintaa ja luotettavien sovellusten ja käyttäjien odotettua epätavallista toimintaa.
   • Epätosi-positiivinen tapauksille, jotka olet määrittänyt, voidaan jättää huomiotta, koska ne ovat teknisesti virheellisiä tai harhaanjohtavia.

   Seuraavassa näyttökuvassa on kunkin luokituksen käytettävissä olevat toiminto- ja uhkatyypit.

3. Valitse Tallenna.

   

Tapausten luokittelu ja niiden tilan ja tyypin määrittäminen auttavat hienosäätämään Microsoft Defender, jotta tunnistaminen voidaan määrittää paremmin ajan kuluessa.

Kommenttien lisääminen tapahtumaan

Lisää kommentteja toiminnan, merkityksellisten tietojen ja päätelmien tallentamiseksi tutkinnan ja tapausten käsittelyn aikana.

1. Avaa tapahtuman toimintaloki. Valitse tapaussivulta tai tapaustietopaneelista tapahtumajonosivulta kolme pistettä oikeasta yläkulmasta ja valitse tulokseksi saatavasta valikosta Toimintaloki.

   

2. Kirjoita kommentti tekstikenttään. Kommenttikenttä tukee tekstiä ja muotoilua, linkkejä ja kuvia. Jokainen kommentti on rajoitettu 30 000 merkkiin.

   

3. Valitse Tallenna.

Kaikki kommentit lisätään tapahtuman historiallisiin tapahtumiin. Näet tapahtuman kommentit ja historian Yhteenveto-sivunKommentit ja historia -linkistä.

Tapausten kirjaaminen ja raportointi

Seuraavat hallintatehtävät voidaan liittää tapausten tutkinnan valvontaan ja raportointiin, mutta ne voidaan suorittaa milloin tahansa.

• Muokkaa tapauksen nimeä.
• Arvioi toiminnan valvonta ja lisää kommentteja toimintalokiin.
• Vie tapaustiedot PDF-muotoon.

Tapauksen nimen muokkaaminen

Microsoft Defender määrittää automaattisesti nimen, joka perustuu hälytysmääritteisiin, kuten niiden päätepisteiden määrään, joita ongelma koskee, käyttäjiin, tunnistuslähteisiin tai luokkiin. Tapahtuman nimen avulla voit nopeasti ymmärtää tapahtuman laajuuden. Esimerkki: Monivaiheinen tapaus useille useiden lähteiden ilmoittamalle päätepisteelle.

Voit muokata tapauksen nimeä seuraavasti:

1. Seuraa avaavan osion ohjeita Jaa Tapahtuman hallinta -ruutu.

2. Kirjoita uusi nimi Tapauksen nimi -kenttään Tapahtuman hallinta -ruudussa.

3. Valitse Tallenna.

Huomautus

• Tapaukset, jotka olivat olemassa ennen automaattisen tapausten nimeämisominaisuuden käyttöönottoa, säilyttävät nimensä.

• Jos toinen tapaus yhdistetään uudelleennimetyksi tapahtumaksi, Defender antaa tapahtumalle uuden nimen ja korvaa minkä tahansa mukautetun nimen, jonka annoit sille etukäteen.

Tapauksen toimintalokin tarkasteleminen

Kun suoritat tapahtuman ruumiinavauksen, katso tapahtuman toimintalokista tapahtuman suoritettujen toimien historia (nimeltään "Audits") ja kaikki tallennetut kommentit. Kaikki tapahtumaan tehdyt muutokset, olivatpa ne käyttäjän tai järjestelmän tekemiä, kirjataan toimintolokiin.

1. Avaa tapahtuman toimintaloki. Valitse tapaussivulta tai tapaustietopaneelista tapahtumajonosivulta kolme pistettä oikeasta yläkulmasta ja valitse tulokseksi saatavasta valikosta Toimintaloki.

   

2. Suodata lokin toiminnot kommenttien ja toimintojen mukaan. Valitse Sisältö: Valvonta, Kommentit ja valitse sitten sisältötyyppi toimintojen suodattamiseksi. Tässä on esimerkki.

   

3. Valitse Käytä.

Voit myös lisätä omia kommenttejasi toimintolokissa käytettävissä olevan kommenttiruudun avulla. Kommenttiruutu hyväksyy tekstin ja muotoilun, linkit ja kuvat.

Tärkeää

Jotkin tämän artikkelin tiedot liittyvät tuotteen ennakkoversioon, joka voi erota huomattavasti tuotteen kaupallisesta julkaisuversiosta. Microsoft ei anna nimenomaisia eikä oletettuja takuita tässä annetuista tiedoista.

Tapahtumatietojen vieminen PDF-muotoon

Voit viedä tapahtuman tiedot PDF-muotoon Vie tapaus PDF-tiedostona - toiminnon kautta ja tallentaa ne PDF-muotoon. Tämän toiminnon avulla suojaustiimit voivat tarkastella tapauksen tietoja offline-tilassa milloin tahansa.

Viedyt tapahtumatiedot sisältävät seuraavat tiedot:

• Yleiskatsaus, joka sisältää tapahtuman tiedot
• Hyökkäystarinakaavio ja uhkaluokat
• Kohdevarallisuus, joka kattaa enintään 10 resurssia kullekin kohdetyypille
• Näyttöluettelo, joka kattaa enintään 100 kohdetta
• Tukitiedot, mukaan lukien kaikki toimintolokiin tallennetut liittyvät hälytykset ja toiminnot

Tässä on esimerkki viedystä PDF-tiedostosta:

Jos sinulla on Copilot for Security -käyttöoikeus, viety PDF sisältää seuraavat tapahtumatiedot:

• Tapauksen yhteenveto
• Tapausraportti

Vienti PDF-muotoon -funktio on käytettävissä myös Copilot-sivupaneelissa. Kun valitset Lisää toimintoja -ellipsikuvakkeen (...) tapausraportin tuloskortin oikeasta yläkulmasta, voit valita Vie tapaus PDF-tiedostona.

Voit luoda PDF-tiedoston seuraavasti:

1. Avaa tapaussivu. Valitse Lisää toimintoja -ellipsi (...) oikeasta yläkulmasta ja valitse Vie tapaus PDF-tiedostona.

   

2. Vahvista seuraavaksi avautuvassa valintaikkunassa tapaustiedot, jotka haluat sisällyttää PDF-tiedostoon tai jättää pois. Kaikki tapaustiedot valitaan oletusarvoisesti. Jatka valitsemalla Vie PDF .

   

3. Tilasanoma, joka ilmaisee latauksen nykyisen tilan, näkyy tapahtuman otsikon alla. Vientiprosessi voi kestää muutamia minuutteja tapahtuman monimutkaisuuden ja vietävien tietojen määrän mukaan.

   

4. Näyttöön avautuu toinen valintaikkuna, joka ilmaisee, että PDF on valmis. Tallenna PDF-tiedosto laitteeseesi valitsemalla valintaikkunasta Lataa . Tapahtuman otsikon alla oleva tilasanoma päivittyy myös sen ilmaisemiseksi, että lataus on saatavilla.

   

Raportti on tallennettu välimuistiin pariksi minuutiksi. Järjestelmä tarjoaa aiemmin luodun PDF-tiedoston, jos yrität viedä saman tapauksen uudelleen lyhyessä ajassa. Jos haluat luoda uudemman PDF-version, odota muutama minuutti, kunnes välimuisti vanhenee.

Seuraavat vaiheet

Jos kyseessä on uusi tapahtuma, jatka tapahtumatutkimusta.

Suorita ratkaistujen tapausten osalta tapausten jälkeinen tarkastelu.

Tutustu myös seuraaviin ohjeartikkeleihin:

• Tapausten yleiskatsaus
• Priorisoi tapaukset
• Tapausten tutkiminen

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.