Udostępnij za pośrednictwem


Zarządzanie zdarzeniami w Microsoft Defender

Zarządzanie zdarzeniami ma kluczowe znaczenie dla zapewnienia, że zdarzenia są nazwane, przypisane i oznakowane, aby zoptymalizować czas w przepływie pracy zdarzenia oraz szybciej ograniczać zagrożenia i rozwiązywać je.

Zarządzanie zdarzeniami z witryny Investigation & response > Incidents & alerts > Incidents on the quick launch of the Microsoft Defender portal (security.microsoft.com). Oto przykład.

Zrzut ekranu przedstawiający kolejkę zdarzeń i okienko szybkiego uruchamiania w portalu Microsoft Defender.

W tym artykule przedstawiono sposób wykonywania różnych zadań zarządzania zdarzeniami skojarzonych z różnymi etapami cyklu życia zdarzenia.

Klasyfikacja zdarzeń:

Badanie i rozwiązywanie incydentów:

Rejestrowanie i raportowanie zdarzeń:

Uzyskiwanie dostępu do okienka Zarządzanie zdarzeniami

Większość z tych zadań jest dostępna w okienku Zarządzanie zdarzeniami dla zdarzenia. Możesz uzyskać dostęp do tego okienka z dowolnej z kilku lokalizacji.

Z kolejki zdarzeń

  1. Wybierz pozycję Badanie & odpowiedzi > zdarzenia & alerty > Zdarzenia na szybkie uruchomienie portalu Microsoft Defender.

  2. Z kolejki zdarzeń uzyskaj dostęp do okienka Zarządzanie incydentami na jeden z dwóch sposobów:

    • Zaznacz pole wyboru zdarzenia i wybierz pozycję Zarządzaj zdarzeniami na pasku narzędzi powyżej filtrów. Zarządzaj wieloma zdarzeniami jednocześnie, zaznaczając wiele pól wyboru.

    • Wybierz wiersz zdarzenia (bez wybierania nazwy zdarzenia), aby wyświetlić okienko szczegóły zdarzenia, a następnie wybierz pozycję Zarządzaj zdarzeniem w okienku szczegółów zdarzenia.

      Zrzut ekranu przedstawiający sposób zarządzania zdarzeniami z kolejki zdarzeń w portalu Microsoft Defender.

Na stronie zdarzenia

  1. Wybierz pozycję Badanie & odpowiedzi > zdarzenia & alerty > Zdarzenia na szybkie uruchomienie portalu Microsoft Defender.

  2. Wybierz nazwę zdarzenia z kolejki. Możesz też wybrać wiersz zdarzenia w kolejce, a następnie wybrać pozycję Otwórz stronę zdarzenia w okienku szczegółów zdarzenia.

  3. Na stronie zdarzenia wybierz pozycję Zarządzaj incydentem w górnym panelu.

    Jeśli zarządzanie zdarzeniem nie jest widoczne, wybierz trzy kropki w prawym górnym rogu (widoczne na poniższym zrzucie ekranu obok pozycji "Zarządzanie zdarzeniem" i wybierz je z wyświetlonego menu.

    Zrzut ekranu przedstawiający sposób zarządzania zdarzeniem ze strony zdarzenia w portalu Microsoft Defender.

Klasyfikacja zdarzeń

Poniższe zadania zarządzania są ściśle związane z klasyfikacją zdarzeń, chociaż mogą być wykonywane w dowolnym momencie.

Przypisywanie zdarzenia do właściciela

Domyślnie tworzone są nowe zdarzenia bez właściciela. Najlepiej byłoby, gdyby zespół SecOps dysponował mechanizmami i procedurami umożliwiającymi automatyczne przypisywanie zdarzeń do właścicieli. Może być konieczne ponowne przypisanie zdarzenia w przypadku eskalacji lub błędnego oryginalnego przypisania.

Przypisywanie właściciela

Aby ręcznie przypisać nowego właściciela do zdarzenia, wykonaj następujące kroki:

  1. Postępuj zgodnie z instrukcjami w sekcji otwierającej, aby uzyskać dostęp do okienka Zarządzanie incydentami.

  2. Wybierz pole Przypisz do . Zostanie wyświetlona lista rozwijana sugerowanych przypisańców.

  3. Jeśli widzisz konto użytkownika lub grupy, do które chcesz przypisać zdarzenie, wybierz je.

    W przeciwnym razie zacznij wpisywać nazwę lub identyfikator konta żądanego użytkownika lub grupy w polu tekstowym w górnej części listy. Lista jest dynamicznie aktualizowana i filtrowana według wpisywanych elementów. Gdy zobaczysz żądanego użytkownika lub grupę, wybierz go.

  4. Aby usunąć istniejące przypisanie, w tym wszystkie dodane wcześniej elementy, wybierz znak X obok nazwy konta. Następnie wybierz pole Przypisz do , jeśli chcesz dodać kolejne przypisanie.

    Do zdarzenia można przypisać tylko jedno konto użytkownika lub grupy.

  5. Wybierz Zapisz.

Przypisanie własności zdarzenia przypisuje tę samą własność do wszystkich alertów z nim skojarzonych.

Zrzut ekranu przedstawiający sposób przypisywania właściciela w okienku Zarządzanie incydentami w portalu Microsoft Defender.

Wyświetlanie zdarzeń przypisanych do określonego właściciela

Aby wyświetlić listę zdarzeń przypisanych do określonego użytkownika lub grupy, przefiltruj kolejkę zdarzeń:

  1. W kolejce zdarzeń wybierz filtr Przypisania zdarzenia . Zostanie wyświetlona lista rozwijana sugerowanych przypisańców.

    Jeśli nie widzisz przypisania zdarzenia wśród filtrów, wybierz pozycję Dodaj filtr, wybierz pozycję Przypisanie zdarzenia z listy rozwijanej, a następnie wybierz pozycję Dodaj.

  2. Jeśli widzisz konto użytkownika, którego przypisane zdarzenia chcesz wyświetlić, wybierz je.

    W przeciwnym razie zacznij wpisywać nazwę lub identyfikator konta żądanego użytkownika lub grupy w polu tekstowym w górnej części listy. Lista jest dynamicznie aktualizowana i filtrowana według wpisywanych elementów. Gdy zobaczysz żądanego użytkownika lub grupę, wybierz go.

    W przeciwieństwie do przypisywania zdarzeń, tutaj możesz wybrać więcej niż jednego przypisanego do filtrowania listy według. Aby dodać inne konto użytkownika lub grupy do filtru, zaznacz pole tekstowe (obok istniejącego konta w filtrze), a lista sugerowanych przypisańców pojawi się ponownie.

  3. Wybierz pozycję Zastosuj.

    Zrzut ekranu przedstawiający sposób wyświetlania zdarzeń przypisanych do właściciela na stronie kolejki zdarzeń w portalu Microsoft Defender.

Aby zapisać link do kolejki zdarzeń z zastosowanymi bieżącymi filtrami, wybierz pozycję Kopiuj link listy z paska narzędzi na stronie kolejki zdarzeń. Utwórz skrót w ulubionych lub na pulpicie i wklej do niego link.

Przypisywanie lub zmienianie ważności zdarzenia

Ważność zdarzenia zależy od najwyższej ważności skojarzonych z nim alertów. Ważność zdarzenia można ustawić na wysoką, średnią, niską lub informacyjną.

Aby ręcznie przypisać lub zmienić ważność zdarzenia, wykonaj następujące kroki:

  1. Postępuj zgodnie z instrukcjami w sekcji otwierającej, aby uzyskać dostęp do okienka Zarządzanie incydentami.

  2. Wybierz wartość ważności, którą chcesz zastosować z listy rozwijanej Ważność w okienku Zarządzanie zdarzeniami .

  3. Wybierz Zapisz.

Dodawanie tagów zdarzeń

Tagi niestandardowe dodają informacje, aby udzielić kontekstu zdarzeniu. Na przykład tag może oznaczać grupę zdarzeń o wspólnej cechie. Tagi są kryteriami filtrowania, dzięki czemu można później filtrować kolejkę zdarzeń pod kątem wszystkich zdarzeń zawierających określony tag. Aby zastosować tag do zdarzenia:

  1. Postępuj zgodnie z instrukcjami w sekcji otwierającej, aby uzyskać dostęp do okienka Zarządzanie incydentami.

  2. W polu Tagi zdarzeń rozpocznij wpisywanie nazwy tagu, który chcesz zastosować. Podczas wpisywania zostanie wyświetlona lista wcześniej używanych i wybranych tagów. Jeśli na liście zostanie wyświetlony tag, który chcesz zastosować, wybierz go.

    Zrzut ekranu przedstawiający sposób tworzenia tagu zdarzenia w okienku Zarządzanie zdarzeniami.

    Jeśli wpisano nazwę tagu, która nie była wcześniej używana, wybierz ostatni wpis na liście, czyli tekst wpisany, po którym następuje "(Utwórz nowy)."

    Zrzut ekranu przedstawiający sposób wybierania tagu do zastosowania do zdarzenia w okienku Zarządzanie zdarzeniami.

    Tag jest następnie wyświetlany jako etykieta w polu Tagi zdarzeń. Powtórz ten krok, aby dodać więcej tagów w dowolny sposób.

    Zrzut ekranu przedstawiający sposób wyświetlania wybranego tagu w polu Tagi zdarzeń.

  3. Wybierz Zapisz.

Zdarzenie może mieć tagi systemowe i/lub tagi niestandardowe z określonymi kolorami tła. Tagi niestandardowe używają białego tła, podczas gdy tagi systemowe zwykle używają kolorów czerwonego lub czarnego tła. Tagi systemowe identyfikują następujące elementy w zdarzeniu:

  • Rodzaj ataku, taki jak wyłudzanie poświadczeń lub oszustwo BEC
  • Automatyczne akcje, takie jak automatyczne badanie i reagowanie na ataki oraz automatyczne zakłócenia ataku
  • Eksperci usługi Defender zajmujący się zdarzeniem
  • Krytyczne zasoby biorące udział w zdarzeniu

Porada

Zarządzanie stopniem zagrożenia bezpieczeństwa firmy Microsoft na podstawie wstępnie zdefiniowanych klasyfikacji automatycznie oznacza urządzenia, tożsamości i zasoby w chmurze jako element zawartości o krytycznym znaczeniu. Ta wbudowana funkcja zapewnia ochronę cennych i najważniejszych zasobów organizacji. Pomaga również zespołom ds. operacji zabezpieczeń w ustalaniu priorytetów badania i korygowania. Dowiedz się więcej o krytycznym zarządzaniu zasobami.

Zmienianie stanu zdarzenia

Zdarzenia rozpoczynają życie ze stanem Aktywne. Podczas pracy nad zdarzeniem zmień stan na W toku.

Badanie i rozwiązywanie incydentów

Poniższe zadania zarządzania są ściśle związane z badaniem i rozwiązywaniem zdarzeń, chociaż mogą być wykonywane w dowolnym momencie.

Rozwiązywanie zdarzenia

Po skorygowaniu i rozwiązaniu zdarzenia wykonaj następujące czynności, aby zarejestrować rozwiązanie:

  1. Postępuj zgodnie z instrukcjami w sekcji otwierającej, aby uzyskać dostęp do okienka Zarządzanie incydentami.

  2. Zmień stan. Wybierz pozycję Rozwiązano z listy rozwijanej Stan . Po zmianie stanu zdarzenia na Rozwiązano zostanie wyświetlone nowe pole bezpośrednio po polu Stan .

  3. Wprowadź w tym polu notatkę, która wyjaśnia, dlaczego uważasz, że zdarzenie zostało rozwiązane. Ta notatka jest widoczna w dzienniku aktywności zdarzenia, w pobliżu wpisu rejestrującego rozwiązanie zdarzenia.

    Zrzut ekranu panelu zarządzania zdarzeniami z notatką dotyczącą rozwiązywania zdarzeń.

    Notatka dotycząca rozwiązania jest również widoczna w panelu Szczegóły zdarzenia zarówno na stronie kolejki zdarzeń, jak i na stronie zdarzenia rozpoznanego zdarzenia.

    Zrzut ekranu przedstawiający wygląd notatki dotyczącej rozwiązania w panelu szczegółów zdarzenia.

  4. Wybierz Zapisz.

Rozwiązanie zdarzenia rozwiązuje również wszystkie połączone i aktywne alerty związane ze zdarzeniem. Zdarzenie, które nie zostało rozwiązane, jest wyświetlane jako Aktywne.

Określanie klasyfikacji zdarzenia

Gdy rozwiążesz zdarzenie lub w dowolnym momencie badania zdarzenia, gdy tylko dowiesz się, w jaki sposób incydent powinien zostać sklasyfikowany, ustaw odpowiednio pole Klasyfikacja .

  1. Postępuj zgodnie z instrukcjami w sekcji otwierającej, aby uzyskać dostęp do okienka Zarządzanie incydentami.

  2. Wybierz odpowiednią wartość z listy rozwijanej Klasyfikacja :

    • Nie ustawiono (wartość domyślna).
    • Wartość prawdziwie dodatnia z typem zagrożenia. Użyj tej klasyfikacji w przypadku zdarzeń, które dokładnie wskazują rzeczywiste zagrożenie. Określenie typu zagrożenia ułatwia zespołowi ds. zabezpieczeń wyświetlanie wzorców zagrożeń i działanie w celu ochrony organizacji przed nimi.
    • Działanie informacyjne, oczekiwane z typem działania. Użyj opcji w tej kategorii, aby sklasyfikować zdarzenia na potrzeby testów zabezpieczeń, działania czerwonego zespołu i oczekiwanego nietypowego zachowania zaufanych aplikacji i użytkowników.
    • Wyniki fałszywie dodatnie dla typów zdarzeń, które można określić, mogą być ignorowane, ponieważ są technicznie niedokładne lub wprowadzające w błąd.

    Zobacz dostępne typy działań i zagrożeń dla każdej z tych klasyfikacji na poniższym zrzucie ekranu.

  3. Wybierz Zapisz.

    Zrzut ekranu przedstawiający opcje klasyfikacji zdarzeń.

Klasyfikowanie zdarzeń oraz określanie ich stanu i typu pomaga dostroić Microsoft Defender w celu zapewnienia lepszego wykrywania w czasie.

Dodawanie komentarzy do zdarzenia

W trakcie badania i zdarzeń dodaj komentarze do rejestrowania działań, szczegółowych informacji i wniosków.

  1. Otwórz dziennik aktywności zdarzenia. Na stronie zdarzenia lub na panelu szczegółów zdarzenia na stronie kolejki zdarzeń wybierz trzy kropki w prawym górnym rogu, a następnie z menu wynikowego wybierz pozycję Dziennik aktywności.

    Zrzut ekranu przedstawiający sposób uzyskiwania dostępu do dziennika aktywności zdarzenia.

  2. Wpisz swój komentarz w polu tekstowym. Pole komentarza obsługuje tekst i formatowanie, linki i obrazy. Każdy komentarz jest ograniczony do 30 000 znaków.

    Zrzut ekranu przedstawiający sposób dodawania komentarza do zdarzenia.

  3. Wybierz Zapisz.

Wszystkie komentarze są dodawane do zdarzeń historycznych zdarzenia. Komentarze i historia zdarzenia można wyświetlić za pomocą linku Komentarze i historia na stronie Podsumowanie .

Rejestrowanie i raportowanie zdarzeń

Poniższe zadania zarządzania mogą być skojarzone z inspekcją i raportowaniem dotyczących badań zdarzeń, chociaż można je wykonywać w dowolnym momencie.

Edytowanie nazwy zdarzenia

Microsoft Defender automatycznie przypisuje nazwę na podstawie atrybutów alertów, takich jak liczba punktów końcowych, których dotyczy problem, użytkowników, których dotyczy problem, źródła wykrywania lub kategorie. Nazwa zdarzenia pozwala szybko zrozumieć zakres zdarzenia. Na przykład: Zdarzenie wieloetapowe w wielu punktach końcowych zgłaszanych przez wiele źródeł.

Aby edytować nazwę zdarzenia, wykonaj następujące kroki:

  1. Postępuj zgodnie z instrukcjami w sekcji otwierającej, aby uzyskać dostęp do okienka Zarządzanie incydentami.

  2. Wpisz nową nazwę w polu Nazwa zdarzenia w okienku Zarządzanie zdarzeniem .

  3. Wybierz Zapisz.

Uwaga

  • Zdarzenia, które istniały przed wdrożeniem funkcji automatycznego nazewnictwa zdarzeń, zachowują swoje nazwy.

  • Jeśli inny incydent zostanie scalony w zdarzenie o zmienionej nazwie, usługa Defender nada incydentowi nową nazwę, zastępując wcześniej dowolną nazwę niestandardową.

Wyświetlanie dziennika aktywności zdarzenia

Podczas wykonywania sekcji po zdarzeniu wyświetl dziennik aktywności zdarzenia, aby wyświetlić historię akcji wykonywanych w zdarzeniu (o nazwie "Audits") i wszelkie zarejestrowane komentarze. Wszystkie zmiany wprowadzone w zdarzeniu, czy to przez użytkownika, czy przez system, są rejestrowane w dzienniku aktywności.

  1. Otwórz dziennik aktywności zdarzenia. Na stronie zdarzenia lub na panelu szczegółów zdarzenia na stronie kolejki zdarzeń wybierz trzy kropki w prawym górnym rogu, a następnie z menu wynikowego wybierz pozycję Dziennik aktywności.

    Zrzut ekranu przedstawiający opcję dziennika aktywności na stronie zdarzenia w portalu Microsoft Defender.

  2. Filtruj działania w dzienniku według komentarzy i akcji. Wybierz pozycję Zawartość: Inspekcje, Komentarze, a następnie wybierz typ zawartości do filtrowania działań. Oto przykład.

    Zrzut ekranu przedstawiający opcje filtru w okienku dziennika aktywności ze strony zdarzenia w portalu Microsoft Defender.

  3. Wybierz pozycję Zastosuj.

Możesz również dodać własne komentarze przy użyciu pola komentarza dostępnego w dzienniku aktywności. Pole komentarza akceptuje tekst i formatowanie, linki i obrazy.

Ważna

Niektóre informacje zawarte w tym artykule odnoszą się do wersji wstępnej produktu, który może zostać znacznie zmodyfikowany do czasu wydania wersji komercyjnej. Firma Microsoft nie udziela żadnych gwarancji, wyraźnych ani dorozumianych, w odniesieniu do podanych tutaj informacji.

Eksportowanie danych zdarzeń do formatu PDF

Dane zdarzenia można wyeksportować do pliku PDF za pośrednictwem funkcji Eksportuj zdarzenie jako plik PDF i zapisać je w formacie PDF. Ta funkcja umożliwia zespołom ds. zabezpieczeń przeglądanie szczegółów zdarzenia w trybie offline w dowolnym momencie.

Wyeksportowane dane zdarzenia zawierają następujące informacje:

Oto przykład wyeksportowanego pliku PDF:

Zrzut ekranu przedstawiający pierwszą stronę wyeksportowanego pliku PDF.

Jeśli masz licencję Copilot for Security , wyeksportowany plik PDF zawiera następujące dodatkowe dane zdarzenia:

Funkcja eksportowania do formatu PDF jest również dostępna w panelu bocznym Copilot. Po wybraniu wielokropka Więcej akcji (...) w prawym górnym rogu karty wyników raportu zdarzeń możesz wybrać pozycję Eksportuj zdarzenie jako plik PDF.

Zrzut ekranu przedstawiający dodatkowe akcje na karcie wyników raportu o zdarzeniu.

Aby wygenerować plik PDF, wykonaj następujące kroki:

  1. Otwórz stronę zdarzenia. Wybierz wielokropek Więcej akcji (...) w prawym górnym rogu i wybierz pozycję Eksportuj zdarzenie jako plik PDF.

    Zrzut ekranu przedstawiający wielokropek Więcej akcji na stronie zdarzenia.

  2. W wyświetlonym oknie dialogowym potwierdź informacje o zdarzeniu, które chcesz uwzględnić lub wykluczyć w pliku PDF. Wszystkie informacje o zdarzeniu są domyślnie wybierane. Wybierz pozycję Eksportuj plik PDF , aby kontynuować.

    Zrzut ekranu przedstawiający opcję eksportowania zdarzenia do pliku PDF.

  3. Pod tytułem zdarzenia zostanie wyświetlony komunikat o stanie wskazujący bieżący stan pobierania. Proces eksportowania może potrwać kilka minut w zależności od złożoności zdarzenia i ilości danych do wyeksportowania.

    Zrzut ekranu z wyróżnionym komunikatem eksportowania i stanem przed pobraniem.

  4. Zostanie wyświetlone inne okno dialogowe wskazujące, że plik PDF jest gotowy. Wybierz pozycję Pobierz w oknie dialogowym, aby zapisać plik PDF na urządzeniu. Komunikat o stanie pod tytułem zdarzenia jest również aktualizowany, aby wskazać, że pobieranie jest dostępne.

    Zrzut ekranu z wyróżnionym komunikatem eksportowania i stanem, gdy jest dostępne pobieranie.

Raport jest buforowany przez kilka minut. System udostępnia wcześniej wygenerowany plik PDF, jeśli spróbujesz ponownie wyeksportować to samo zdarzenie w krótkim czasie. Aby wygenerować nowszą wersję pliku PDF, poczekaj kilka minut, aż pamięć podręczna wygaśnie.

Następne kroki

W przypadku nowych i w toku zdarzeń kontynuuj badanie incydentów.

W przypadku rozwiązanych zdarzeń wykonaj przegląd po zdarzeniu.

Zobacz też

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.