Del via

Behandle hendelser i Microsoft Defender

  • Artikkel
  • Gjelder for:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Hendelsesbehandling er avgjørende for å sikre at hendelser blir navngitt, tilordnet og merket for å optimalisere tiden i hendelsesarbeidsflyten og raskere inneholde og håndtere trusler.

Administrer hendelsene dine fra undersøkelse & responshendelser > & varsler hendelser > på hurtigstartlinjen i Microsoft Defender-portalen (security.microsoft.com). Her er et eksempel.

Skjermbilde som viser hendelseskøen og hurtigstartruten i Microsoft Defender-portalen.

Denne artikkelen viser deg hvordan du utfører ulike hendelsesbehandlingsoppgaver knyttet til ulike faser i en hendelses livssyklus.

Hendelsestriage:

Hendelsesundersøkelse og løsning:

Hendelseslogging og -rapportering:

Tips

Defender Boxed, en serie kort som viser organisasjonens sikkerhetssuksesser, forbedringer og responshandlinger de siste seks månedene/året, vises i en begrenset periode i løpet av januar og juli hvert år. Finn ut hvordan du kan dele uthevingene i Defender Boxed .

Få tilgang til ruten Administrer hendelse

De fleste av disse oppgavene er tilgjengelige fra ruten Administrer hendelse for en hendelse. Du kan nå denne ruten fra en hvilken som helst plassering.

Fra hendelseskøen

  1. Velg Undersøkelse & responsHendelser > & varsler hendelser > på hurtigstartlinjen i Microsoft Defender-portalen.

  2. Gå til ruten Administrer hendelse fra hendelseskøen på én av to måter:

    • Merk av for en hendelse, og velg Administrer hendelser fra verktøylinjen over filtrene. Administrer mange hendelser samtidig ved å merke av for flere avmerkingsbokser.

    • Velg raden for en hendelse (uten å velge hendelsesnavnet), slik at ruten for hendelsesdetaljer vises, og velg Administrer hendelse fra hendelsesdetaljruten.

      Skjermbilde som viser hvordan du administrerer hendelser fra hendelseskøen i Microsoft Defender-portalen.

Fra hendelsessiden

  1. Velg Undersøkelse & responsHendelser > & varsler hendelser > på hurtigstartlinjen i Microsoft Defender-portalen.

  2. Velg navnet på en hendelse fra køen. Eller velg raden for en hendelse i køen, og velg deretter Åpne hendelsesside fra hendelsesdetaljruten.

  3. Velg Administrer hendelse fra det øverste panelet på hendelsessiden.

    Hvis Administrer hendelse ikke er synlig, velger du de tre prikkene øverst til høyre (synlig i følgende skjermbilde ved siden av «Administrer hendelse»), og velger den fra menyen som vises.

    Skjermbilde som viser hvordan du administrerer en hendelse fra hendelsessiden i Microsoft Defender-portalen.

Hendelsestriage

Følgende administrasjonsoppgaver er nært knyttet til hendelsestriage, selv om de kan utføres når som helst.

Tilordne en hendelse til en eier

Som standard opprettes nye hendelser uten eier. Ideelt sett bør SecOps-teamet ha mekanismer og prosedyrer på plass for å automatisk tilordne hendelser til eiere. Det kan hende du må tilordne en hendelse på nytt ved eskalering eller feilaktig opprinnelig tilordning.

Tilordne en eier

Hvis du vil tilordne en ny eier til en hendelse manuelt, gjør du følgende:

  1. Følg instruksjonene i åpningsdelen for å få tilgang til ruten Administrer hendelse.

  2. Velg Tilordne til-boksen . En rullegardinliste over foreslåtte tilordnere vises.

  3. Hvis du ser brukeren eller gruppekontoen du vil tilordne hendelsen til, velger du den.

    Ellers begynner du å skrive inn navnet eller konto-ID-en til den ønskede brukeren eller gruppen i tekstboksen øverst i listen. Listen oppdateres dynamisk, filtrert etter det du skriver inn. Når du ser brukeren eller gruppen du vil bruke, velger du den.

  4. Hvis du vil fjerne en eksisterende tildeling, inkludert eventuelle du nettopp la til, velger du X ved siden av kontonavnet. Velg deretter Tilordne til-boksen hvis du vil legge til en ny oppgave.

    Bare én bruker- eller gruppekonto kan tilordnes til en hendelse.

  5. Velg Lagre.

Tilordning av eierskap til en hendelse tilordner det samme eierskapet til alle varslene som er knyttet til den.

Skjermbilde som viser hvordan du tilordner en eier i ruten Administrer hendelse i Microsoft Defender-portalen.

Vis hendelser tilordnet til en bestemt eier

Hvis du vil se listen over hendelser tilordnet til en bestemt bruker eller gruppe, filtrerer du hendelseskøen:

  1. Velg hendelsestildelingsfilteret fra hendelseskøen. En rullegardinliste over foreslåtte tilordnere vises.

    Hvis du ikke ser hendelsestildelingen blant filtrene, velger du Legg til filter, velger Hendelsestildeling fra rullegardinlisten og velger Legg til.

  2. Hvis du ser brukerkontoen hvis tilordnede hendelser du vil vise, velger du den.

    Ellers begynner du å skrive inn navnet eller konto-ID-en til den ønskede brukeren eller gruppen i tekstboksen øverst i listen. Listen oppdateres dynamisk, filtrert etter det du skriver inn. Når du ser brukeren eller gruppen du vil bruke, velger du den.

    I motsetning til å tilordne hendelser, kan du her velge mer enn én tilordner for å filtrere listen etter. Hvis du vil legge til en annen bruker- eller gruppekonto i filteret, merker du tekstboksen (ved siden av den eksisterende kontoen i filteret), og listen over foreslåtte tilordnere vises på nytt.

  3. Velg Bruk.

    Skjermbilde som viser hvordan du viser hendelser tilordnet til en eier i hendelseskøsiden i Microsoft Defender-portalen.

Hvis du vil lagre en kobling til hendelseskøen med gjeldende filtre aktivert, velger du Kopier liste-koblingen fra verktøylinjen på siden for hendelseskøen. Opprett en snarvei i favoritter eller på skrivebordet, og lim inn koblingen i den.

Tilordne eller endre alvorsgrad for hendelser

Alvorlighetsgraden av en hendelse bestemmes av den høyeste alvorlighetsgraden av varslene som er knyttet til den. Alvorlighetsgraden av en hendelse kan settes til høy, middels, lav eller informasjonsmessig.

Hvis du vil tilordne eller endre alvorlighetsgraden av en hendelse manuelt, gjør du følgende:

  1. Følg instruksjonene i åpningsdelen for å få tilgang til ruten Administrer hendelse.

  2. Velg alvorsgradverdien du vil bruke, fra rullegardinlisten Alvorlighetsgrad i ruten Administrer hendelse .

  3. Velg Lagre.

Legg til hendelseskoder

Egendefinerte koder legger til informasjon for å gi kontekst til en hendelse. Et merke kan for eksempel merke en gruppe hendelser med en felles egenskap. Merker er et vilkår for filtrering, slik at du senere kan filtrere hendelseskøen for alle hendelser som inneholder en bestemt kode. Slik bruker du et merke på en hendelse:

  1. Følg instruksjonene i åpningsdelen for å få tilgang til ruten Administrer hendelse.

  2. Begynn å skrive inn navnet på koden du vil bruke, i hendelseskodefeltet . Mens du skriver, vises en liste over tidligere brukte og valgte koder. Hvis du ser koden du vil bruke i listen, velger du den.

    Skjermbilde som viser hvordan du oppretter en hendelseskode i ruten Administrer hendelser.

    Hvis du skrev inn et merkenavn som ikke har vært brukt før, velger du den siste oppføringen i listen, som er teksten du skrev inn etterfulgt av (Opprett ny)."

    Skjermbilde som viser hvordan du velger et merke som skal brukes på en hendelse, i ruten Administrer hendelser.

    Koden vises deretter som en etikett i hendelseskodefeltet. Gjenta dette trinnet for å legge til flere koder etter ønske.

    Skjermbilde som viser hvordan en valgt kode vises i hendelseskodefeltet.

  3. Velg Lagre.

En hendelse kan ha systemkoder og/eller egendefinerte koder med bestemte fargebakgrunner. Egendefinerte koder bruker den hvite bakgrunnen, mens systemkoder vanligvis bruker røde eller svarte bakgrunnsfarger. Systemkoder identifiserer følgende i en hendelse:

  • En type angrep, for eksempel phishing for legitimasjon eller BEC-svindel
  • Automatiske handlinger, for eksempel automatisk undersøkelse og respons og automatisk angrepsavbrudd
  • Defender-eksperter som håndterer en hendelse
  • Kritiske eiendeler involvert i hendelsen

Tips

Microsofts Security Exposure Management, basert på forhåndsdefinerte klassifiseringer, automatisk merker enheter, identiteter og skyressurser som en kritisk ressurs. Denne ut-av-boksen-funksjonen sikrer beskyttelse av organisasjonens verdifulle og viktigste ressurser. Det hjelper også sikkerhetsoperasjonsteamene med å prioritere undersøkelse og utbedring. Vit mer om kritisk kapitalforvaltning.

Endre hendelsesstatusen

Hendelser begynner livet med statusen Aktiv. Når du arbeider med en hendelse, endrer du statusen til pågår.

Hendelsesundersøkelse og løsning

Følgende administrasjonsoppgaver er nært knyttet til hendelsesundersøkelse og løsning, selv om de kan utføres når som helst.

Løse en hendelse

Når en hendelse utbedres og løses, gjør du følgende for å registrere løsningen:

  1. Følg instruksjonene i åpningsdelen for å få tilgang til ruten Administrer hendelse.

  2. Endre statusen. Velg Løst fra rullegardinlisten Status . Når du endrer statusen for en hendelse til Løst, vises et nytt felt umiddelbart etter Status-feltet .

  3. Skriv inn et notat i dette feltet som forklarer hvorfor du anser hendelsen som løst. Dette notatet er synlig i aktivitetsloggen for hendelsen, i nærheten av oppføringen som registrerer hendelsens løsning.

    Skjermbilde av hendelsesbehandlingspanel med hendelsesløsningsnotat.

    Løsningsnotatet er også synlig i hendelsesdetaljpanelet på både hendelseskøsiden og hendelsessiden for en løst hendelse.

    Skjermbilde av utseendet på løsningsnotatet i panelet for hendelsesdetaljer.

  4. Velg Lagre.

Å løse en hendelse løser også alle koblede og aktive varsler knyttet til hendelsen. En hendelse som ikke er løst, vises som Aktiv.

Angi hendelsens klassifisering

Når du løser en hendelse, eller når som helst i en hendelsesundersøkelse, så snart du blir oppmerksom på hvordan hendelsen skal klassifiseres, angir du Klassifisering-feltet tilsvarende.

  1. Følg instruksjonene i åpningsdelen for å få tilgang til ruten Administrer hendelse.

  2. Velg den riktige verdien fra rullegardinlisten Klassifisering :

    • Ikke angitt (standard).
    • Sann positiv med en type trussel. Bruk denne klassifiseringen for hendelser som nøyaktig angir en reell trussel. Hvis du angir trusseltypen, kan sikkerhetsteamet se trusselmønstre og handle for å forsvare organisasjonen mot dem.
    • Informasjon, forventet aktivitet med en type aktivitet. Bruk alternativene i denne kategorien til å klassifisere hendelser for sikkerhetstester, rød teamaktivitet og forventet uvanlig oppførsel fra klarerte apper og brukere.
    • Falsk positiv for typer hendelser som du bestemmer kan ignoreres fordi de er teknisk unøyaktige eller villedende.

    Se de tilgjengelige typene aktiviteter og trusler for hver av disse klassifiseringene i følgende skjermbilde.

  3. Velg Lagre.

    Skjermbilde som viser klassifiseringsalternativene for hendelser.

Klassifisering av hendelser og angivelse av status og type bidrar til å justere Microsoft Defender for å gi bedre oppdagelsesbestemmelse over tid.

Legge til kommentarer i en hendelse

I løpet av undersøkelser og hendelser kan du legge til kommentarer for å registrere aktiviteter, innsikt og konklusjoner.

  1. Åpne aktivitetsloggen for hendelsen. Velg de tre prikkene øverst til høyre på hendelsessiden, eller fra hendelsesdetaljpanelet på siden for hendelseskøen, og velg Aktivitetslogg fra resultatmenyen.

    Skjermbilde som viser hvordan du får tilgang til aktivitetsloggen for en hendelse.

  2. Skriv inn kommentaren i tekstfeltet. Kommentarfeltet støtter tekst og formatering, koblinger og bilder. Hver kommentar er begrenset til 30 000 tegn.

    Skjermbilde som viser hvordan du legger til en kommentar i en hendelse.

  3. Velg Lagre.

Alle kommentarer legges til de historiske hendelsene i hendelsen. Du kan se kommentarene og loggen til en hendelse fra koblingen Kommentarer og loggSammendrag-siden .

Hendelseslogging og -rapportering

Følgende administrasjonsoppgaver kan knyttes til revisjon og rapportering av hendelsesundersøkelser, selv om de kan utføres når som helst.

Rediger hendelsesnavnet

Microsoft Defender tilordner automatisk et navn basert på varselattributter, for eksempel antall berørte endepunkter, berørte brukere, gjenkjenningskilder eller kategorier. Med hendelsesnavnet kan du raskt forstå omfanget av hendelsen. Eksempel: Hendelse med flere faser på flere endepunkter rapportert av flere kilder.

Hvis du vil redigere hendelsesnavnet, gjør du følgende:

  1. Følg instruksjonene i åpningsdelen for å få tilgang til ruten Administrer hendelse.

  2. Skriv inn et nytt navn i hendelsesnavnfeltet i ruten Administrer hendelse .

  3. Velg Lagre.

Obs!

  • Hendelser som eksisterte før utrullingen av funksjonen for automatisk navngivning av hendelser, beholder navnene sine.

  • Hvis en annen hendelse slås sammen til en hendelse med nytt navn, gir Defender hendelsen et nytt navn, og overskriver et egendefinert navn du ga den på forhånd.

Vise aktivitetsloggen for en hendelse

Når du gjør en postmortem av en hendelse, kan du se hendelsens aktivitetslogg for å se loggen over handlinger utført på hendelsen (kalt "Revisjoner") og eventuelle kommentarer registrert. Alle endringer i hendelsen, enten av en bruker eller av systemet, registreres i aktivitetsloggen.

  1. Åpne aktivitetsloggen for hendelsen. Velg de tre prikkene øverst til høyre på hendelsessiden, eller fra hendelsesdetaljpanelet på siden for hendelseskøen, og velg Aktivitetslogg fra resultatmenyen.

    Skjermbilde som uthever aktivitetsloggalternativet fra hendelsessiden i Microsoft Defender-portalen.

  2. Filtrer aktivitetene i loggen etter kommentarer og handlinger. Velg Innhold: Revisjoner, Kommentarer , og velg deretter innholdstypen for å filtrere aktiviteter. Her er et eksempel.

    Skjermbilde som uthever filteralternativene i aktivitetsloggruten fra hendelsessiden i Microsoft Defender-portalen.

  3. Velg Bruk.

Du kan også legge til dine egne kommentarer ved hjelp av kommentarboksen som er tilgjengelig i aktivitetsloggen. Kommentarboksen godtar tekst og formatering, koblinger og bilder.

Viktig

Noe informasjon i denne artikkelen er knyttet til forhåndsutgitt produkt, som kan endres vesentlig før det utgis kommersielt. Microsoft gir ingen garantier, uttrykkelige eller underforståtte, med hensyn til informasjonen som er oppgitt her.

Eksporter hendelsesdata til PDF

Du kan eksportere en hendelses data til PDF gjennom Eksporter hendelsen som PDF-funksjon og lagre den i PDF-format. Denne funksjonen gjør det mulig for sikkerhetsteam å se gjennom detaljene for en hendelse i frakoblet modus til enhver tid.

De eksporterte hendelsesdataene inneholder følgende informasjon:

Her er et eksempel på den eksporterte PDF-filen:

Skjermbilde av den eksporterte PDF-filens første side.

Hvis du har Copilot for Security-lisensen , inneholder den eksporterte PDF-filen følgende tilleggshendelsesdata:

Eksport til PDF-funksjonen er også tilgjengelig i Copilot-sidepanelet. Når du velger ellipsen Flere handlinger (...) i øvre høyre hjørne av resultatkortet for hendelsesrapporten, kan du velge Eksporter hendelse som PDF.

Skjermbilde av flere handlinger i resultatkortet for hendelsesrapporten.

Gjør følgende for å generere PDF-filen:

  1. Åpne en hendelsesside. Velg ellipsen Flere handlinger (...) øverst til høyre, og velg Eksporter hendelse som PDF.

    Skjermbilde som uthever Flere handlinger-ellipsen på hendelsessiden.

  2. I dialogboksen som vises neste, bekrefter du hendelsesinformasjonen du vil inkludere eller ekskludere i PDF-filen. All hendelsesinformasjon er valgt som standard. Velg Eksporter PDF for å fortsette.

    Skjermbilde som uthever eksporthendelsen til PDF-alternativet.

  3. En statusmelding som angir gjeldende status for nedlastingen, vises under hendelsestittelen. Eksportprosessen kan ta noen minutter avhengig av hendelsens kompleksitet og mengden data som skal eksporteres.

    Skjermbilde som uthever eksportmelding og status før nedlasting.

  4. En annen dialogboks vises som angir at PDF-filen er klar. Velg Last ned fra dialogboksen for å lagre PDF-filen på enheten. Statusmeldingen under hendelsestittelen oppdateres også for å angi at nedlastingen er tilgjengelig.

    Skjermbilde som uthever eksportmelding og status når nedlasting er tilgjengelig.

Rapporten bufres i et par minutter. Systemet leverer den tidligere genererte PDF-filen hvis du prøver å eksportere den samme hendelsen på nytt innen kort tid. Hvis du vil generere en nyere versjon av PDF-filen, venter du noen minutter til hurtigbufferen utløper.

Neste trinn

For nye og pågår hendelser, fortsett hendelsesetterforskningen.

For løste hendelser utfører du en gjennomgang etter hendelsen.

Se også

Tips

Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.