Zarządzanie zdarzeniami w Microsoft Defender
Zarządzanie zdarzeniami ma kluczowe znaczenie dla zapewnienia, że zdarzenia są nazwane, przypisane i oznakowane, aby zoptymalizować czas w przepływie pracy zdarzenia oraz szybciej ograniczać zagrożenia i rozwiązywać je.
Zarządzanie zdarzeniami z witryny Investigation & response > Incidents & alerts > Incidents on the quick launch of the Microsoft Defender portal (security.microsoft.com). Oto przykład.
W tym artykule przedstawiono sposób wykonywania różnych zadań zarządzania zdarzeniami skojarzonych z różnymi etapami cyklu życia zdarzenia.
- Przypisz zdarzenie do właściciela.
- Przypisywanie lub zmienianie ważności.
- Dodaj tagi zdarzeń.
- Zmień stan zdarzenia.
Badanie i rozwiązywanie incydentów:
Rejestrowanie i raportowanie zdarzeń:
- Edytuj nazwę zdarzenia.
- Oceń inspekcję działania i dodaj komentarze w dzienniku aktywności.
- Eksportowanie danych zdarzeń do formatu PDF.
Uzyskiwanie dostępu do okienka Zarządzanie zdarzeniami
Większość z tych zadań jest dostępna w okienku Zarządzanie zdarzeniami dla zdarzenia. Możesz uzyskać dostęp do tego okienka z dowolnej z kilku lokalizacji.
Z kolejki zdarzeń
Wybierz pozycję Badanie & odpowiedzi > zdarzenia & alerty > Zdarzenia na szybkie uruchomienie portalu Microsoft Defender.
Z kolejki zdarzeń uzyskaj dostęp do okienka Zarządzanie incydentami na jeden z dwóch sposobów:
Zaznacz pole wyboru zdarzenia i wybierz pozycję Zarządzaj zdarzeniami na pasku narzędzi powyżej filtrów. Zarządzaj wieloma zdarzeniami jednocześnie, zaznaczając wiele pól wyboru.
Wybierz wiersz zdarzenia (bez wybierania nazwy zdarzenia), aby wyświetlić okienko szczegóły zdarzenia, a następnie wybierz pozycję Zarządzaj zdarzeniem w okienku szczegółów zdarzenia.
Na stronie zdarzenia
Wybierz pozycję Badanie & odpowiedzi > zdarzenia & alerty > Zdarzenia na szybkie uruchomienie portalu Microsoft Defender.
Wybierz nazwę zdarzenia z kolejki. Możesz też wybrać wiersz zdarzenia w kolejce, a następnie wybrać pozycję Otwórz stronę zdarzenia w okienku szczegółów zdarzenia.
Na stronie zdarzenia wybierz pozycję Zarządzaj incydentem w górnym panelu.
Jeśli zarządzanie zdarzeniem nie jest widoczne, wybierz trzy kropki w prawym górnym rogu (widoczne na poniższym zrzucie ekranu obok pozycji "Zarządzanie zdarzeniem" i wybierz je z wyświetlonego menu.
Klasyfikacja zdarzeń
Poniższe zadania zarządzania są ściśle związane z klasyfikacją zdarzeń, chociaż mogą być wykonywane w dowolnym momencie.
- Przypisz zdarzenie do właściciela.
- Przypisywanie lub zmienianie ważności.
- Dodaj tagi zdarzeń.
- Zmień stan zdarzenia.
Przypisywanie zdarzenia do właściciela
Domyślnie tworzone są nowe zdarzenia bez właściciela. Najlepiej byłoby, gdyby zespół SecOps dysponował mechanizmami i procedurami umożliwiającymi automatyczne przypisywanie zdarzeń do właścicieli. Może być konieczne ponowne przypisanie zdarzenia w przypadku eskalacji lub błędnego oryginalnego przypisania.
Przypisywanie właściciela
Aby ręcznie przypisać nowego właściciela do zdarzenia, wykonaj następujące kroki:
Postępuj zgodnie z instrukcjami w sekcji otwierającej, aby uzyskać dostęp do okienka Zarządzanie incydentami.
Wybierz pole Przypisz do . Zostanie wyświetlona lista rozwijana sugerowanych przypisańców.
Jeśli widzisz konto użytkownika lub grupy, do które chcesz przypisać zdarzenie, wybierz je.
W przeciwnym razie zacznij wpisywać nazwę lub identyfikator konta żądanego użytkownika lub grupy w polu tekstowym w górnej części listy. Lista jest dynamicznie aktualizowana i filtrowana według wpisywanych elementów. Gdy zobaczysz żądanego użytkownika lub grupę, wybierz go.
Aby usunąć istniejące przypisanie, w tym wszystkie dodane wcześniej elementy, wybierz znak X obok nazwy konta. Następnie wybierz pole Przypisz do , jeśli chcesz dodać kolejne przypisanie.
Do zdarzenia można przypisać tylko jedno konto użytkownika lub grupy.
Wybierz Zapisz.
Przypisanie własności zdarzenia przypisuje tę samą własność do wszystkich alertów z nim skojarzonych.
Wyświetlanie zdarzeń przypisanych do określonego właściciela
Aby wyświetlić listę zdarzeń przypisanych do określonego użytkownika lub grupy, przefiltruj kolejkę zdarzeń:
W kolejce zdarzeń wybierz filtr Przypisania zdarzenia . Zostanie wyświetlona lista rozwijana sugerowanych przypisańców.
Jeśli nie widzisz przypisania zdarzenia wśród filtrów, wybierz pozycję Dodaj filtr, wybierz pozycję Przypisanie zdarzenia z listy rozwijanej, a następnie wybierz pozycję Dodaj.
Jeśli widzisz konto użytkownika, którego przypisane zdarzenia chcesz wyświetlić, wybierz je.
W przeciwnym razie zacznij wpisywać nazwę lub identyfikator konta żądanego użytkownika lub grupy w polu tekstowym w górnej części listy. Lista jest dynamicznie aktualizowana i filtrowana według wpisywanych elementów. Gdy zobaczysz żądanego użytkownika lub grupę, wybierz go.
W przeciwieństwie do przypisywania zdarzeń, tutaj możesz wybrać więcej niż jednego przypisanego do filtrowania listy według. Aby dodać inne konto użytkownika lub grupy do filtru, zaznacz pole tekstowe (obok istniejącego konta w filtrze), a lista sugerowanych przypisańców pojawi się ponownie.
Wybierz pozycję Zastosuj.
Aby zapisać link do kolejki zdarzeń z zastosowanymi bieżącymi filtrami, wybierz pozycję Kopiuj link listy z paska narzędzi na stronie kolejki zdarzeń. Utwórz skrót w ulubionych lub na pulpicie i wklej do niego link.
Przypisywanie lub zmienianie ważności zdarzenia
Ważność zdarzenia zależy od najwyższej ważności skojarzonych z nim alertów. Ważność zdarzenia można ustawić na wysoką, średnią, niską lub informacyjną.
Aby ręcznie przypisać lub zmienić ważność zdarzenia, wykonaj następujące kroki:
Postępuj zgodnie z instrukcjami w sekcji otwierającej, aby uzyskać dostęp do okienka Zarządzanie incydentami.
Wybierz wartość ważności, którą chcesz zastosować z listy rozwijanej Ważność w okienku Zarządzanie zdarzeniami .
Wybierz Zapisz.
Dodawanie tagów zdarzeń
Tagi niestandardowe dodają informacje, aby udzielić kontekstu zdarzeniu. Na przykład tag może oznaczać grupę zdarzeń o wspólnej cechie. Tagi są kryteriami filtrowania, dzięki czemu można później filtrować kolejkę zdarzeń pod kątem wszystkich zdarzeń zawierających określony tag. Aby zastosować tag do zdarzenia:
Postępuj zgodnie z instrukcjami w sekcji otwierającej, aby uzyskać dostęp do okienka Zarządzanie incydentami.
W polu Tagi zdarzeń rozpocznij wpisywanie nazwy tagu, który chcesz zastosować. Podczas wpisywania zostanie wyświetlona lista wcześniej używanych i wybranych tagów. Jeśli na liście zostanie wyświetlony tag, który chcesz zastosować, wybierz go.
Jeśli wpisano nazwę tagu, która nie była wcześniej używana, wybierz ostatni wpis na liście, czyli tekst wpisany, po którym następuje "(Utwórz nowy)."
Tag jest następnie wyświetlany jako etykieta w polu Tagi zdarzeń. Powtórz ten krok, aby dodać więcej tagów w dowolny sposób.
Wybierz Zapisz.
Zdarzenie może mieć tagi systemowe i/lub tagi niestandardowe z określonymi kolorami tła. Tagi niestandardowe używają białego tła, podczas gdy tagi systemowe zwykle używają kolorów czerwonego lub czarnego tła. Tagi systemowe identyfikują następujące elementy w zdarzeniu:
- Rodzaj ataku, taki jak wyłudzanie poświadczeń lub oszustwo BEC
- Automatyczne akcje, takie jak automatyczne badanie i reagowanie na ataki oraz automatyczne zakłócenia ataku
- Eksperci usługi Defender zajmujący się zdarzeniem
- Krytyczne zasoby biorące udział w zdarzeniu
Porada
Zarządzanie stopniem zagrożenia bezpieczeństwa firmy Microsoft na podstawie wstępnie zdefiniowanych klasyfikacji automatycznie oznacza urządzenia, tożsamości i zasoby w chmurze jako element zawartości o krytycznym znaczeniu. Ta wbudowana funkcja zapewnia ochronę cennych i najważniejszych zasobów organizacji. Pomaga również zespołom ds. operacji zabezpieczeń w ustalaniu priorytetów badania i korygowania. Dowiedz się więcej o krytycznym zarządzaniu zasobami.
Zmienianie stanu zdarzenia
Zdarzenia rozpoczynają życie ze stanem Aktywne. Podczas pracy nad zdarzeniem zmień stan na W toku.
Badanie i rozwiązywanie incydentów
Poniższe zadania zarządzania są ściśle związane z badaniem i rozwiązywaniem zdarzeń, chociaż mogą być wykonywane w dowolnym momencie.
Rozwiązywanie zdarzenia
Po skorygowaniu i rozwiązaniu zdarzenia wykonaj następujące czynności, aby zarejestrować rozwiązanie:
Postępuj zgodnie z instrukcjami w sekcji otwierającej, aby uzyskać dostęp do okienka Zarządzanie incydentami.
Zmień stan. Wybierz pozycję Rozwiązano z listy rozwijanej Stan . Po zmianie stanu zdarzenia na Rozwiązano zostanie wyświetlone nowe pole bezpośrednio po polu Stan .
Wprowadź w tym polu notatkę, która wyjaśnia, dlaczego uważasz, że zdarzenie zostało rozwiązane. Ta notatka jest widoczna w dzienniku aktywności zdarzenia, w pobliżu wpisu rejestrującego rozwiązanie zdarzenia.
Notatka dotycząca rozwiązania jest również widoczna w panelu Szczegóły zdarzenia zarówno na stronie kolejki zdarzeń, jak i na stronie zdarzenia rozpoznanego zdarzenia.
Wybierz Zapisz.
Rozwiązanie zdarzenia rozwiązuje również wszystkie połączone i aktywne alerty związane ze zdarzeniem. Zdarzenie, które nie zostało rozwiązane, jest wyświetlane jako Aktywne.
Określanie klasyfikacji zdarzenia
Gdy rozwiążesz zdarzenie lub w dowolnym momencie badania zdarzenia, gdy tylko dowiesz się, w jaki sposób incydent powinien zostać sklasyfikowany, ustaw odpowiednio pole Klasyfikacja .
Postępuj zgodnie z instrukcjami w sekcji otwierającej, aby uzyskać dostęp do okienka Zarządzanie incydentami.
Wybierz odpowiednią wartość z listy rozwijanej Klasyfikacja :
- Nie ustawiono (wartość domyślna).
- Wartość prawdziwie dodatnia z typem zagrożenia. Użyj tej klasyfikacji w przypadku zdarzeń, które dokładnie wskazują rzeczywiste zagrożenie. Określenie typu zagrożenia ułatwia zespołowi ds. zabezpieczeń wyświetlanie wzorców zagrożeń i działanie w celu ochrony organizacji przed nimi.
- Działanie informacyjne, oczekiwane z typem działania. Użyj opcji w tej kategorii, aby sklasyfikować zdarzenia na potrzeby testów zabezpieczeń, działania czerwonego zespołu i oczekiwanego nietypowego zachowania zaufanych aplikacji i użytkowników.
- Wyniki fałszywie dodatnie dla typów zdarzeń, które można określić, mogą być ignorowane, ponieważ są technicznie niedokładne lub wprowadzające w błąd.
Zobacz dostępne typy działań i zagrożeń dla każdej z tych klasyfikacji na poniższym zrzucie ekranu.
Wybierz Zapisz.
Klasyfikowanie zdarzeń oraz określanie ich stanu i typu pomaga dostroić Microsoft Defender w celu zapewnienia lepszego wykrywania w czasie.
Dodawanie komentarzy do zdarzenia
W trakcie badania i zdarzeń dodaj komentarze do rejestrowania działań, szczegółowych informacji i wniosków.
Otwórz dziennik aktywności zdarzenia. Na stronie zdarzenia lub na panelu szczegółów zdarzenia na stronie kolejki zdarzeń wybierz trzy kropki w prawym górnym rogu, a następnie z menu wynikowego wybierz pozycję Dziennik aktywności.
Wpisz swój komentarz w polu tekstowym. Pole komentarza obsługuje tekst i formatowanie, linki i obrazy. Każdy komentarz jest ograniczony do 30 000 znaków.
Wybierz Zapisz.
Wszystkie komentarze są dodawane do zdarzeń historycznych zdarzenia. Komentarze i historia zdarzenia można wyświetlić za pomocą linku Komentarze i historia na stronie Podsumowanie .
Rejestrowanie i raportowanie zdarzeń
Poniższe zadania zarządzania mogą być skojarzone z inspekcją i raportowaniem dotyczących badań zdarzeń, chociaż można je wykonywać w dowolnym momencie.
- Edytuj nazwę zdarzenia.
- Oceń inspekcję działania i dodaj komentarze w dzienniku aktywności.
- Eksportowanie danych zdarzeń do formatu PDF.
Edytowanie nazwy zdarzenia
Microsoft Defender automatycznie przypisuje nazwę na podstawie atrybutów alertów, takich jak liczba punktów końcowych, których dotyczy problem, użytkowników, których dotyczy problem, źródła wykrywania lub kategorie. Nazwa zdarzenia pozwala szybko zrozumieć zakres zdarzenia. Na przykład: Zdarzenie wieloetapowe w wielu punktach końcowych zgłaszanych przez wiele źródeł.
Aby edytować nazwę zdarzenia, wykonaj następujące kroki:
Postępuj zgodnie z instrukcjami w sekcji otwierającej, aby uzyskać dostęp do okienka Zarządzanie incydentami.
Wpisz nową nazwę w polu Nazwa zdarzenia w okienku Zarządzanie zdarzeniem .
Wybierz Zapisz.
Uwaga
Zdarzenia, które istniały przed wdrożeniem funkcji automatycznego nazewnictwa zdarzeń, zachowują swoje nazwy.
Jeśli inny incydent zostanie scalony w zdarzenie o zmienionej nazwie, usługa Defender nada incydentowi nową nazwę, zastępując wcześniej dowolną nazwę niestandardową.
Wyświetlanie dziennika aktywności zdarzenia
Podczas wykonywania sekcji po zdarzeniu wyświetl dziennik aktywności zdarzenia, aby wyświetlić historię akcji wykonywanych w zdarzeniu (o nazwie "Audits") i wszelkie zarejestrowane komentarze. Wszystkie zmiany wprowadzone w zdarzeniu, czy to przez użytkownika, czy przez system, są rejestrowane w dzienniku aktywności.
Otwórz dziennik aktywności zdarzenia. Na stronie zdarzenia lub na panelu szczegółów zdarzenia na stronie kolejki zdarzeń wybierz trzy kropki w prawym górnym rogu, a następnie z menu wynikowego wybierz pozycję Dziennik aktywności.
Filtruj działania w dzienniku według komentarzy i akcji. Wybierz pozycję Zawartość: Inspekcje, Komentarze, a następnie wybierz typ zawartości do filtrowania działań. Oto przykład.
Wybierz pozycję Zastosuj.
Możesz również dodać własne komentarze przy użyciu pola komentarza dostępnego w dzienniku aktywności. Pole komentarza akceptuje tekst i formatowanie, linki i obrazy.
Ważna
Niektóre informacje zawarte w tym artykule odnoszą się do wersji wstępnej produktu, który może zostać znacznie zmodyfikowany do czasu wydania wersji komercyjnej. Firma Microsoft nie udziela żadnych gwarancji, wyraźnych ani dorozumianych, w odniesieniu do podanych tutaj informacji.
Eksportowanie danych zdarzeń do formatu PDF
Dane zdarzenia można wyeksportować do pliku PDF za pośrednictwem funkcji Eksportuj zdarzenie jako plik PDF i zapisać je w formacie PDF. Ta funkcja umożliwia zespołom ds. zabezpieczeń przeglądanie szczegółów zdarzenia w trybie offline w dowolnym momencie.
Wyeksportowane dane zdarzenia zawierają następujące informacje:
- Omówienie zawierające szczegóły zdarzenia
- Wykres scenariusza ataku i kategorie zagrożeń
- Zasoby, których dotyczy problem, obejmujące maksymalnie 10 aktywów dla każdego typu zasobu
- Lista dowodów obejmująca do 100 elementów
- Dane pomocnicze, w tym wszystkie powiązane alerty i działania zarejestrowane w dzienniku aktywności
Oto przykład wyeksportowanego pliku PDF:
Jeśli masz licencję Copilot for Security , wyeksportowany plik PDF zawiera następujące dodatkowe dane zdarzenia:
Funkcja eksportowania do formatu PDF jest również dostępna w panelu bocznym Copilot. Po wybraniu wielokropka Więcej akcji (...) w prawym górnym rogu karty wyników raportu zdarzeń możesz wybrać pozycję Eksportuj zdarzenie jako plik PDF.
Aby wygenerować plik PDF, wykonaj następujące kroki:
Otwórz stronę zdarzenia. Wybierz wielokropek Więcej akcji (...) w prawym górnym rogu i wybierz pozycję Eksportuj zdarzenie jako plik PDF.
W wyświetlonym oknie dialogowym potwierdź informacje o zdarzeniu, które chcesz uwzględnić lub wykluczyć w pliku PDF. Wszystkie informacje o zdarzeniu są domyślnie wybierane. Wybierz pozycję Eksportuj plik PDF , aby kontynuować.
Pod tytułem zdarzenia zostanie wyświetlony komunikat o stanie wskazujący bieżący stan pobierania. Proces eksportowania może potrwać kilka minut w zależności od złożoności zdarzenia i ilości danych do wyeksportowania.
Zostanie wyświetlone inne okno dialogowe wskazujące, że plik PDF jest gotowy. Wybierz pozycję Pobierz w oknie dialogowym, aby zapisać plik PDF na urządzeniu. Komunikat o stanie pod tytułem zdarzenia jest również aktualizowany, aby wskazać, że pobieranie jest dostępne.
Raport jest buforowany przez kilka minut. System udostępnia wcześniej wygenerowany plik PDF, jeśli spróbujesz ponownie wyeksportować to samo zdarzenie w krótkim czasie. Aby wygenerować nowszą wersję pliku PDF, poczekaj kilka minut, aż pamięć podręczna wygaśnie.
Następne kroki
W przypadku nowych i w toku zdarzeń kontynuuj badanie incydentów.
W przypadku rozwiązanych zdarzeń wykonaj przegląd po zdarzeniu.
Zobacz też
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.