Просмотр и упорядочивание очереди инцидентов Microsoft Defender для конечной точки
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender XDR
Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
В очереди Инциденты отображается коллекция инцидентов, которые были помечены с устройств в сети. Это помогает сортировать инциденты для определения приоритетности и создания обоснованного ответного решения информационной безопасности.
По умолчанию в очереди отображаются инциденты, наблюдаемые за последние шесть месяцев, с самым последним инцидентом в верхней части списка, что поможет вам увидеть самые последние инциденты в первую очередь.
Существует несколько вариантов настройки представления очереди инцидентов.
В верхней области навигации можно:
- Настройка столбцов для добавления или удаления столбцов
- Изменение количества элементов для просмотра на странице
- Выбор элементов для отображения на странице
- Пакетный выбор инцидентов для назначения
- Переход между страницами
- Применение фильтров
- Настройка и применение диапазонов дат
Совет
В течение января и июля каждого года в течение ограниченного времени отображается серия карточек Defender Boxed, демонстрирующих успехи в области безопасности, улучшения и действия по реагированию в вашей организации за последние шесть месяцев в год. Узнайте, как поделиться основными выделениями Defender Boxed .
Сортировка и фильтрация очереди инцидентов
Вы можете применить следующие фильтры, чтобы ограничить список инцидентов и получить более подробное представление.
Severity
| Серьезность инцидента | Описание |
|---|---|
| Высокий (красный) |
Угрозы часто связаны с расширенными постоянными угрозами (APT). Эти инциденты указывают на высокий риск из-за серьезности ущерба, который они могут нанести устройствам. |
| Средний (оранжевый) |
Угрозы, редко наблюдаемые в организации, такие как аномальное изменение реестра, выполнение подозрительных файлов и наблюдаемое поведение, типичное для этапов атаки. |
| Низкий (желтый) |
Угрозы, связанные с распространенными вредоносными программами и инструментами взлома, которые не обязательно указывают на расширенную угрозу, нацеленную на организацию. |
| Информационный (серый) |
Информационные инциденты не могут считаться вредными для сети, но могут быть полезны для отслеживания. |
Кому назначено
Вы можете отфильтровать список, выбрав по назначению кому-либо или выбрав те, которые назначены вам.
Категория
Инциденты классифицируются на основе описания этапа, на котором находится цепочка уничтожения кибербезопасности. Это представление помогает аналитику угроз определить приоритет, срочность и соответствующую стратегию реагирования для развертывания на основе контекста.
Состояние
Чтобы узнать, какие из них активны или решены, вы можете ограничить список инцидентов, отображаемых на основе их состояний.
Конфиденциальность данных
Используйте этот фильтр для отображения инцидентов, содержащих метки конфиденциальности.
Именование инцидентов
Чтобы быстро понять область инцидента, имена инцидентов автоматически создаются на основе атрибутов оповещений, таких как количество затронутых конечных точек, затронутых пользователей, источников обнаружения или категорий.
Например: многоэтапный инцидент на нескольких конечных точках, сообщаемых несколькими источниками.
Примечание.
Инциденты, существовавшие до развертывания автоматического именования инцидентов, сохраняют свое исходное имя.
См. также
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.