Administrer Microsoft Defender for endepunkt hendelser
Gjelder for:
- Microsoft Defender for endepunkt plan 1
- Microsoft Defender for endepunkt plan 2
- Microsoft Defender XDR
Vil du oppleve Microsoft Defender for endepunkt? Registrer deg for en gratis prøveperiode.
Administrasjon av hendelser er en viktig del av alle cybersikkerhetsoperasjoner. Du kan administrere hendelser ved å velge en hendelse fra Hendelser-køen eller hendelsesbehandlingsruten.
Hvis du velger en hendelse fra Hendelser-køen, åpnes hendelsesbehandlingsruten der du kan åpne hendelsessiden for mer informasjon.
Du kan tilordne hendelser til deg selv, endre status og klassifisering, gi nytt navn til eller kommentere dem for å holde oversikt over fremdriften.
Tips
Hvis du vil ha mer synlighet med et øyekast, genereres hendelsesnavn automatisk basert på varselattributter, for eksempel antall berørte endepunkter, berørte brukere, gjenkjenningskilder eller kategorier. Dette gjør at du raskt kan forstå omfanget av hendelsen.
Eksempel: Hendelse med flere faser på flere endepunkter rapportert av flere kilder.
Hendelser som eksisterte før utrullingen av automatisk navngiving av hendelser, beholder navnene deres.
Tilordne hendelser
Hvis en hendelse ikke er tilordnet ennå, kan du velge Tilordne til meg for å tilordne hendelsen til deg selv. Dette forutsetter eierskap av ikke bare hendelsen, men også alle varslene knyttet til den.
Angi status og klassifisering
Hendelsesstatus
Du kan kategorisere hendelser (som aktive eller løste) ved å endre statusen etter hvert som etterforskningen går fremover. Dette hjelper deg med å organisere og administrere hvordan teamet kan reagere på hendelser.
SOC-analytikeren kan for eksempel se gjennom de presserende aktive hendelsene for dagen, og bestemme seg for å tilordne dem til seg selv for undersøkelse.
Eventuelt kan SOC-analytikeren angi hendelsen som Løst hvis hendelsen er utbedret.
Klassifisering
Du kan velge ikke å angi en klassifisering, eller bestemme deg for å angi om en hendelse er sann eller usann. Når du gjør dette, kan teamet se mønstre og lære av dem.
Legge til kommentarer
Du kan legge til kommentarer og vise historiske hendelser om en hendelse for å se tidligere endringer i den.
Når en endring eller kommentar gjøres i et varsel, registreres den i kommentar- og loggdelen.
Kommentarer som er lagt til, vises umiddelbart i ruten.
Beslektede emner
Tips
Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.