Svara på en incident med hjälp av Defender-portalen

• Gäller för:

  Microsoft Sentinel in the Microsoft Defender portal

Den här artikeln beskriver hur du svarar på en incident genom att använda Microsoft Sentinel i Defender-portalen och täcker prioritering, undersökning och åtgärd.

Förutsättningar

Undersöka incidenter i Defender-portalen:

• Din Log Analytics-arbetsyta som används för Microsoft Sentinel måste vara registrerad på Defender-portalen. Mer information finns i Ansluta Microsoft Sentinel till Microsoft Defender-portalen.

Process för incidenthantering

När du arbetar i Defender-portalen utför du dina inledande sorterings-, lösnings- och uppföljningssteg som du annars skulle göra. När du undersöker, se till att:

• Förstå incidenten och dess omfång genom att granska tillgångstidslinjerna.
• Granska väntande åtgärder för självreparation, åtgärda entiteter manuellt och utför direktrespons.
• Lägg till förebyggande åtgärder.

Det tillagda området Microsoft Sentinel i Defender-portalen hjälper dig att fördjupa din undersökning, inklusive:

• Förstå incidentens omfattning genom att korrelera den med dina säkerhetsprocesser, principer och procedurer (3P).
• Utföra 3P-automatiserade undersöknings- och reparationsåtgärder och skapa anpassade spelböcker för säkerhetsorkestrering, automatisering och svar (SOAR).
• Registrera bevis för incidenthantering.
• Lägga till anpassade mått.

Mer information finns i:

• Undersöka incidenter i Microsoft Defender XDR-
• incidenthantering med Microsoft Defender XDR-
• Entitetssidor i Microsoft Sentinel

Automatisering med Microsoft Sentinel

Se till att dra nytta av Microsoft Sentinels spelboks- och automatiseringsregelfunktioner:

• En spelbok är en samling undersöknings- och reparationsåtgärder som kan köras från Microsoft Sentinel-portalen som en rutin. Spelböcker kan hjälpa dig att automatisera och orkestrera ditt hotsvar. De kan köras manuellt på begäran på incidenter, entiteter och aviseringar, eller ställas in på att köras automatiskt som svar på specifika aviseringar eller incidenter när de utlöses av en automatiseringsregel. Mer information finns i Automatisera hotsvar med spelböcker.

• Automation-regler är ett sätt att centralt hantera automatisering i Microsoft Sentinel, genom att låta dig definiera och samordna en liten uppsättning regler som kan tillämpas i olika scenarier. Mer information finns i Automatisera hotsvar i Microsoft Sentinel med automatiseringsregler.

När du har registrerat din Microsoft Sentinel-arbetsyta på den enhetliga säkerhetsåtgärdsplattformen bör du tänka på att det finns skillnader i hur automatisering fungerar på din arbetsyta. Mer information finns i Automation med den enhetliga säkerhetsåtgärdsplattformen.

Svar efter incident

När du har löst incidenten rapporterar du incidenten till din incidenthanteringsledning för eventuell uppföljning för att fastställa fler åtgärder. Till exempel:

• Informera säkerhetsanalytiker på nivå 1 för att bättre identifiera attacken tidigt.
• Utforska attacken i Microsoft Defender XDR Threat Analytics och säkerhetscommunityn för en trend för säkerhetsattacker. Mer information finns i Threat Analytics i Microsoft Defender XDR.
• Vid behov registrerar du arbetsflödet som du använde för att lösa incidenten och uppdatera dina standardarbetsflöden, processer, principer och spelböcker.
• Ta reda på om det behövs ändringar i säkerhetskonfigurationen och implementera dem.
• Skapa en spelbok för orkestrering för att automatisera och samordna ditt hotsvar för en liknande risk i framtiden. Mer information finns i Automatisera hotsvar med spelböcker i Microsoft Sentinel.

Relaterat innehåll

Mer information finns i:

• incidenter och aviseringar i Microsoft Defender-portalen
• Hantera incidenter