共用方式為

在 Microsoft Defender 中管理事件

  • 發行項
  • 適用於:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

事件管理對於確保事件的命名、指派和標記非常重要,以優化事件工作流程中的時間,並更快速地包含和解決威脅。

在快速啟動 Microsoft Defender 入口網站 (security.microsoft.com) 時,從調查 & 回應>事件 & 警示>事件管理您的事件。 以下為範例。

顯示 Microsoft Defender 入口網站中事件佇列和快速啟動窗格的螢幕快照。

本文說明如何在事件生命週期中執行與不同階段相關聯的各種事件管理工作。

事件分級:

事件調查和解決方式:

事件記錄和報告:

存取 [ 管理事件] 窗格

這些工作大部分都可以從事件的 [ 管理事件 ] 窗格存取。 您可以從數個位置中的任何一個到達此窗格。

從事件佇列

  1. 在 Microsoft Defender 入口網站快速啟動時,選取 [調查 & 回應>事件 & 警示>事件]。

  2. 從事件佇列,使用下列兩種方式之一來存取 [ 管理事件 ] 窗格:

    • 選取事件的複選框,然後從篩選條件上方的工具列中選取 [ 管理事件 ]。 選取多個複選框,一次管理許多事件。

    • 選取事件 (的數據列,而不選取事件名稱) ,讓事件詳細數據窗格出現,然後從 [事件詳細數據] 窗格中選取 [ 管理事件 ]。

      顯示如何在 Microsoft Defender 入口網站中從事件佇列管理事件的螢幕快照。

從事件頁面

  1. 在 Microsoft Defender 入口網站快速啟動時,選取 [調查 & 回應>事件 & 警示>事件]。

  2. 從佇列中選取事件的名稱。 或者,選取佇列中事件的數據列,然後從 [事件詳細數據] 窗格中選取 [ 開啟事件頁面 ]。

  3. 從事件頁面,從頂端面板選取 [ 管理事件 ]。

    如果看不到 [管理事件 ],請選取右上角的三個點, (顯示在 [管理事件] ) 旁的下列螢幕快照中,然後從出現的功能表中選取它。

    顯示如何從 Microsoft Defender 入口網站中的事件頁面管理事件的螢幕快照。

事件分級

下列管理工作與事件分級緊密相關聯,但可以隨時執行。

將事件指派給擁有者

根據預設,會建立沒有擁有者的新事件。 在理想情況下,您的 SecOps 小組應該具備機制和程式,以自動將事件指派給擁有者。 您可能需要在升級或錯誤的原始指派情況下重新指派事件。

指派擁有者

若要手動將新的擁有者指派給事件,請採取下列步驟:

  1. 請遵循開啟一節中的指示來存 [管理事件 ] 窗格

  2. 選取 [ 指派給] 方塊。 建議的被指派者下拉式清單隨即出現。

  3. 如果您看到想要指派事件的使用者或組帳戶,請選取它。

    否則,請開始在清單頂端的文字框中輸入所需使用者或群組的名稱或帳戶標識碼。 清單會動態更新,並依您輸入的內容進行篩選。 當您看到您想要的使用者或群組時,請加以選取。

  4. 若要移除現有的指派,包括您剛才新增的任何指派,請選取帳戶名稱旁邊的 X 。 然後,如果您想要新增另一個指派,請選取 [ 指派給 ] 方塊。

    只有一個使用者或組帳戶可以指派給事件。

  5. 選取 [儲存]

指派事件的擁有權會將相同的擁有權指派給與其相關聯的所有警示。

顯示如何在 Microsoft Defender 入口網站的 [管理事件] 窗格中指派擁有者的螢幕快照。

檢視指派給特定擁有者的事件

若要查看指派給特定使用者或群組的事件清單,請篩選事件佇列:

  1. 從事件佇列中,選取 [事件指派 ] 篩選條件。 建議的被指派者下拉式清單隨即出現。

    如果您在篩選中看不到 事件指派 ,請選取 [ 新增篩選],從下拉式清單中選取 [ 事件指派 ],然後選取 [ 新增]

  2. 如果您看到要顯示指派事件的用戶帳戶,請選取它。

    否則,請開始在清單頂端的文字框中輸入所需使用者或群組的名稱或帳戶標識碼。 清單會動態更新,並依您輸入的內容進行篩選。 當您看到您想要的使用者或群組時,請加以選取。

    不同於指派事件,您可以在這裡選取一個以上的被指派者來篩選清單。 若要將另一個使用者或組帳戶新增至篩選條件,請選取篩選) 中現有帳戶旁邊的文本框 (,建議的指派者清單會再次出現。

  3. 選取 [套用]

    此螢幕快照顯示如何在 Microsoft Defender 入口網站的事件佇列頁面中檢視指派給擁有者的事件。

若要儲存已套用目前篩選器的事件佇列連結,請從事件佇列頁面上的工具列選取 [複製清單連結 ]。 在您的最愛或桌面上建立快捷方式,並將連結貼到其中。

指派或變更事件嚴重性

事件的嚴重性取決於與其相關聯之警示的最高嚴重性。 事件的嚴重性可以設定為資訊。

若要手動指派或變更事件的嚴重性,請採取下列步驟:

  1. 請遵循開啟一節中的指示來存 [管理事件 ] 窗格

  2. 從 [管理事件] 窗格的 [嚴重性] 下拉式清單中,選取您想要套用的嚴重性值。

  3. 選取 [儲存]

新增事件標籤

自定義標籤會新增資訊,以提供事件的內容。 例如,標籤具有常見特性的事件群組。 卷標是篩選的準則,因此您稍後可以針對包含特定標籤的所有事件篩選事件佇列。 若要將標記套用至事件:

  1. 請遵循開啟一節中的指示來存 [管理事件 ] 窗格

  2. 在 [ 事件卷標] 字段中,開始輸入您要套用的標籤名稱。 當您輸入時,會出現先前使用過的標籤和選取的標籤清單。 如果您在清單中看到想要套用的標籤,請選取它。

    顯示如何在 [管理事件] 窗格中建立事件卷標的螢幕快照。

    如果您輸入之前未使用的標籤名稱,請選取清單中的最後一個專案,也就是您輸入的文字,後面接著「 (建立新) 」。

    顯示如何選取標籤以套用至 [管理事件] 窗格中事件的螢幕快照。

    標籤接著會在 [事件卷標] 字段內顯示為標籤。 重複此步驟以視需要新增更多標籤。

    顯示所選取標籤標在 [事件卷標] 字段中顯示方式的螢幕快照。

  3. 選取 [儲存]

事件可以有具有特定色彩背景的系統標籤和/或自定義標籤。 自定義標記使用白色背景,而系統標記通常使用紅色或黑色背景色彩。 系統標籤會在事件中識別下列專案:

  • 種攻擊類型,例如認證網路釣魚或 BEC 詐騙
  • 自動動作,例如自動調查和回應,以及自動攻擊中斷
  • 處理事件的Defender專家
  • 事件涉及的重要資產

提示

Microsoft的 安全性暴露風險管理 會根據預先定義的分類,自動將裝置、身分識別和雲端資源標記為重要資產。 此現成功能可確保保護組織重要且最重要的資產。 它也可協助安全性作業小組排定調查和補救的優先順序。 深入瞭解 重要資產管理

變更事件狀態

事件會以 作用中狀態開始生命。 當您處理事件時,請將 [狀態 ] 變更為 [ 進行中]

事件調查和解決

下列管理工作與事件調查和解決密切相關,但可以隨時執行。

解決事件

補救並解決事件時,請採取下列動作來記錄解決方法:

  1. 請遵循開啟一節中的指示來存 [管理事件 ] 窗格

  2. 變更狀態。 從 [狀態] 下拉式清單中選取 [已解決]。 當您將事件的狀態變更為 [ 已解決] 時,[ 狀態] 字 段後面會立即顯示新的欄位。

  3. 在此欄位中輸入注意事項,說明為何您認為事件已解決。 此附注會顯示在事件的活動記錄檔中,靠近記錄事件解決方式的專案。

    事件管理面板的螢幕快照,其中包含事件解決注意事項。

    解決注意事項也會顯示在事件佇列頁面和已解決事件的事件頁面上的 [ 事件詳細 數據] 面板中。

    事件詳細數據面板中解決方案附註外觀的螢幕快照。

  4. 選取 [儲存]

解決事件也會解決與事件相關的所有連結和作用中警示。 未解決的事件會顯示為 [作用中]

指定事件的分類

當您解決事件時,或在事件調查的任何時間點,當您知道事件應該如何分類時,請據以設定 [ 分類] 字 段。

  1. 請遵循開啟一節中的指示來存 [管理事件 ] 窗格

  2. 從 [ 分類 ] 下拉式清單中選擇適當的值:

    • 未設定 (預設) 。
    • 確判 為威脅類型。 針對精確指出實際威脅的事件,請使用此分類。 指定威脅類型可協助您的安全性小組查看威脅模式,並採取行動以為組織防禦該威脅。
    • 具有活動類型的資訊、預期活動。 使用此類別中的選項來分類安全性測試、紅色小組活動的事件,以及信任的應用程式和使用者預期的異常行為。
    • 您判斷的事件類型為判,可能會因為技術上不正確或誤導而予以忽略。

    請參閱下列螢幕快照中每個分類的可用活動類型和威脅。

  3. 選取 [儲存]

    顯示事件分類選項的螢幕快照。

分類事件並指定事件的狀態和類型,有助於微調 Microsoft Defender,以提供一段時間的更佳偵測判斷。

將批註新增至事件

在調查和事件的過程中,新增批注以記錄您的活動、深入解析和結論。

  1. 開啟事件的活動記錄檔。 從事件頁面,或從事件佇列頁面上的 [事件詳細數據] 面板中,選取右上角的三個點,然後從產生的功能表中選取 [ 活動記錄]

    顯示如何存取事件活動記錄的螢幕快照。

  2. 在文字欄位中輸入您的批註。 批註欄位支援文字和格式設定、連結和影像。 每個批注限制為 30,000 個字元。

    顯示如何將批註新增至事件的螢幕快照。

  3. 選取 [儲存]

所有批注都會新增至事件的歷史事件。 您可以從 [摘要] 頁面上的 [批注和歷程記錄] 連結查看事件的批注和歷程記錄。

事件記錄和報告

下列管理工作可以與事件調查的稽核和報告相關聯,但可以隨時執行。

編輯事件名稱

Microsoft Defender 會根據警示屬性自動指派名稱,例如受影響的端點數目、受影響的使用者、偵測來源或類別。 事件名稱可讓您快速瞭解事件的範圍。 例如: 多個來源所報告之多個端點上的多階段事件。

若要編輯事件名稱,請採取下列步驟:

  1. 請遵循開啟一節中的指示來存 [管理事件 ] 窗格

  2. 在 [管理事件] 窗格的 [事件名稱] 欄位中輸入新名稱。

  3. 選取 [儲存]

注意事項

  • 在自動事件命名功能推出之前存在的事件會保留其名稱。

  • 如果另一個事件合併成重新命名的事件,Defender 會為事件提供新名稱,並覆寫您事先提供的任何自定義名稱。

檢視事件的活動記錄

執行事件的事後處理時,請檢視事件的活動 記錄 ,以查看在事件上執行的動作歷程記錄 (稱為「稽核」) 以及記錄的任何批注。 無論是由使用者或系統對事件所做的所有變更,都會記錄在活動記錄中。

  1. 開啟事件的活動記錄檔。 從事件頁面,或從事件佇列頁面上的 [事件詳細數據] 面板中,選取右上角的三個點,然後從產生的功能表中選取 [ 活動記錄]

    螢幕快照,醒目提示 Microsoft Defender 入口網站中事件頁面的活動記錄選項。

  2. 依批注和動作篩選記錄檔內的活動。 選取 [內容:稽核]、[批注], 然後選取要篩選活動的內容類型。 以下為範例。

    螢幕快照,醒目提示來自 Microsoft Defender 入口網站中事件頁面的活動記錄檔窗格內的篩選選項。

  3. 選取 [套用]

您也可以使用活動記錄內可用的批注方塊來 新增自己的批 注。 批注方塊接受文字和格式設定、連結和影像。

重要事項

本文中的部分資訊與發行前版本產品有關,在產品正式發行前可能會大幅度修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。

將事件數據匯出至 PDF

您可以透過將事件匯出 為 PDF 函式,將事件的數據匯出至 PDF,並將其儲存為 PDF 格式。 此函式可讓安全性小組在任何指定時間離線檢閱事件的詳細數據。

匯出的事件資料包含下列資訊:

以下是匯出的 PDF 範例:

匯出 PDF 第一頁的螢幕快照。

如果您有 Copilot for Security 授權,導出的 PDF 會包含下列其他事件數據:

匯出至 PDF 函式也可在 Copilot 側邊面板中取得。 當您在事件報告結果卡片右上角選取 [ 其他動作 ] 省略號 (...) 時,可以選擇 [將 事件匯出為 PDF]

事件報告結果卡片中其他動作的螢幕擷取畫面。

若要產生 PDF,請執行下列步驟:

  1. 開啟事件頁面。 選取右上角的 [ 其他動作 ] 省略號 (...) ,然後選擇 [將 事件匯出為 PDF]

    醒目提示事件頁面上 [更多動作] 省略號的螢幕快照。

  2. 在接下來出現的對話框中,確認您想要在 PDF 中包含或排除的事件資訊。 默認會選取所有事件資訊。 選 取 [匯出 PDF ] 繼續進行。

    醒目提示 [將事件匯出至 PDF] 選項的螢幕快照。

  3. 事件標題下方會出現狀態消息,指出下載的目前狀態。 視事件的複雜度和要匯出的數據量而定,匯出程式可能需要幾分鐘的時間。

    醒目提示下載前匯出訊息和狀態的螢幕快照。

  4. 另一個對話框隨即出現,指出 PDF 已就緒。 從對話框中選取 [ 下載 ],將 PDF 儲存到您的裝置。 事件標題下方的狀態消息也會更新,以指出下載可供使用。

    螢幕快照,醒目提示可下載時的導出訊息和狀態。

報表會快取幾分鐘。 如果您嘗試在短時間內再次匯出相同的事件,系統會提供先前產生的 PDF。 若要產生較新版本的 PDF,請等候幾分鐘讓快取過期。

後續步驟

針對新的和正在處理的事件,請繼續您的 事件調查

針對已解決的事件,請執行 事件後檢閱

另請參閱

提示

想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群