Jaa


Microsoft Defender for Endpoint tapahtumien hallinta

Koskee seuraavia:

Haluatko kokea Microsoft Defender for Endpointin? Rekisteröidy maksuttomaan kokeiluversioon.

Tapausten hallinta on tärkeä osa jokaista kyberturvallisuusoperaatiota. Voit hallita tapauksia valitsemalla tapahtuman Tapahtumat-jonosta tai Tapausten hallinta -ruudusta.

Tapauksen valitseminen Tapaus-jonosta tuo esiin Tapausten hallinta -ruudun , jossa voit avata tapaussivun lisätietoja varten.

Tapausten hallintaruutu

Voit määrittää tapahtumia itsellesi, muuttaa tilaa ja luokitusta, nimetä niitä uudelleen tai kommentoida niitä seurataksesi niiden edistymistä.

Vihje

Jos haluat lisänäkyvyyden yhdellä silmäyksellä, tapausten nimet luodaan automaattisesti hälytysmääritteiden, kuten niiden päätepisteiden määrän, joita ongelma koskee, tunnistuslähteiden tai luokkien perusteella. Näin voit nopeasti ymmärtää tapahtuman laajuuden.

Esimerkki: Monivaiheinen tapaus useille useiden lähteiden ilmoittamalle päätepisteelle.

Tapaukset, jotka olivat olemassa ennen automaattisen tapausten nimeämisen käyttöönottoa, säilyttävät nimensä.

Tapahtuman tietosivu

Tapausten määrittäminen

Jos tapausta ei ole vielä määritetty, voit määrittää tapahtuman itsellesi valitsemalla Määritä minulle . Tämä edellyttää, että tapahtuman lisäksi myös kaikki siihen liittyvät hälytykset omistavat sen.

Määritä tila ja luokitus

Tapahtuman tila

Voit luokitella tapaukset ( aktiivisiksi tai ratkaistuiksi) muuttamalla niiden tilaa tutkimusten edetessä. Tämä auttaa organisoimaan ja hallitsemaan sitä, miten tiimisi voi reagoida tapauksiin.

Soc-analyytikkosi voi esimerkiksi tarkistaa päivän kiireelliset aktiiviset tapaukset ja päättää määrittää ne itselleen tutkimusta varten.

Vaihtoehtoisesti SOC-analyytikkosi voi määrittää tapahtuman ratkaistuksi , jos tapaus on korjattu.

Luokitus

Voit päättää, ettei luokitusta määritetä, tai määrittää, onko tapaus tosi vai epätosi. Tämä auttaa tiimiä näkemään kuvioita ja oppimaan niistä.

Kommenttien lisääminen

Voit lisätä kommentteja ja tarkastella tapahtuman historiallisia tapahtumia nähdäksesi siihen tehdyt aiemmat muutokset.

Aina kun ilmoituksiin tehdään muutos tai kommentti, se tallennetaan Kommentit ja historia -osioon.

Lisätyt kommentit näkyvät heti ruudussa.

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.