Undersöka incidenter

  • 4 minuter

Incidentsidan innehåller följande information och navigeringslänkar.

Incidentöversikt

Översiktssidan ger dig en översikt över de viktigaste sakerna att lägga märke till om incidenten.

Screenshot of the Incident overview pane.

Attackkategorierna ger dig en visuell och numerisk vy över hur avancerat attacken har utvecklats mot kill-kedjan. Precis som med andra Microsoft-säkerhetsprodukter är Microsoft Defender XDR anpassat till MITRE ATT&CK-ramverket™.

Omfångsavsnittet ger dig en lista över de mest påverkade tillgångarna som ingår i den här incidenten. Om det finns specifik information om den här tillgången, till exempel risknivå, undersökningsprioritet och eventuella taggar på tillgångarna, visas den också i det här avsnittet.

Tidslinjen för aviseringar ger en smygtitt på den kronologiska ordning i vilken aviseringarna inträffade och orsakerna till att aviseringarna är kopplade till den här incidenten.

Och sist – bevisavsnittet innehåller en sammanfattning av hur många olika artefakter som ingick i incidenten och deras reparationsstatus, så att du omedelbart kan identifiera om någon åtgärd behövs i slutet.

Den här översikten kan hjälpa den första prioriteringen av incidenten genom att ge insikt i de viktigaste egenskaperna för incidenten som du bör känna till.

Aviseringar

Du kan visa alla aviseringar som är relaterade till incidenten och annan information om dem, till exempel allvarlighetsgrad, entiteter som var inblandade i aviseringen, källan till aviseringarna (Microsoft Defender för identitet, Microsoft Defender för Endpoint, Microsoft Defender för Office 365) och orsaken till att de länkades ihop.

Som standard ordnas aviseringarna kronologiskt så att du först kan se hur attacken utspelade sig över tid. Om du klickar på varje avisering kommer du till relevant aviseringssida, där du kan utföra en djupgående undersökning av aviseringen.

Enheter

På fliken Enheter visas alla enheter där aviseringar som är relaterade till incidenten visas.

Om du klickar på namnlänken för den dator där attacken utfördes navigerar du till sidan Enhet. På sidan Enhet kan du se aviseringar som utlöstes på den och relaterade händelser som tillhandahålls för att underlätta undersökningen.

Användare

Se användare som har identifierats vara en del av eller relaterade till en viss incident.

När du klickar på användarnamnet navigerar du till användarens Microsoft Defender för molnet Apps-sida, där ytterligare undersökning kan utföras.

Postlådor

Undersök postlådor som har identifierats vara en del av eller relaterade till en incident.

Appar

Undersök appar som har identifierats vara en del av eller relaterade till en incident.

Utredningar

Välj Undersökningar för att se alla automatiserade undersökningar som utlöses av aviseringar i den här incidenten. Undersökningarna utför reparationsåtgärder eller väntar på analytikernas godkännande av åtgärder.

Välj en undersökning för att gå till sidan Undersökningsinformation för att få fullständig information om undersöknings- och reparationsstatusen. Om några åtgärder väntar på godkännande som en del av undersökningen visas de på fliken Väntande åtgärder.

Bevis och svar

Microsoft Defender XDR undersöker automatiskt alla händelser som stöds av incidenter och misstänkta entiteter i aviseringarna, vilket ger dig autorespons och information om viktiga filer, processer, tjänster, e-postmeddelanden med mera. Detta hjälper till att snabbt identifiera och blockera potentiella hot i incidenten.

Var och en av de analyserade entiteterna markeras med en bedömning (skadlig, misstänkt, ren) och en reparationsstatus. Detta hjälper dig att förstå reparationsstatusen för hela incidenten och nästa steg för att ytterligare åtgärda.

Diagram

Diagrammet visualiserar information om associerade cybersäkerhetshot i en incident så att du kan se mönster och korrelationer som kommer in från olika datapunkter. Du kan visa en sådan korrelation via incidentdiagrammet.

The Graph berättar historien om cybersäkerhetsattacken. Den visar till exempel startpunkten, vilken indikator på kompromiss eller aktivitet som observerades på vilken enhet osv.

Du kan välja cirklarna i incidentdiagrammet för att visa information om skadliga filer, associerade filidentifieringar, hur många instanser som har funnits över hela världen, om det har observerats i din organisation, i så fall hur många instanser.