回應您在 Microsoft Defender 全面偵測回應 中的第一個事件
適用於:
- Microsoft Defender XDR
本指南列出Microsoft資源,讓新的 Microsoft Defender 全面偵測回應 使用者在使用入口網站時,安心地執行日常事件回應工作。 使用本指南的預期結果如下:
- 您將快速瞭解如何使用 Microsoft Defender 全面偵測回應 來回應事件和警示。
- 您將探索入口網站的功能,以透過影片和教學課程協助事件調查和補救。
Microsoft Defender 全面偵測回應 可讓您查看所有資產之間的相關威脅事件, (裝置、身分識別、信箱、雲端應用程式等) 。 入口網站會合併來自 Defender 保護套件、Microsoft Sentinel 和其他整合式安全性資訊和事件管理的訊號, (SIEM) 解決方案。 將攻擊資訊與單一視窗中的完整內容相互關聯,可讓您成功防禦及保護您的組織。
本指南有三個主要章節:
- 瞭解事件:在入口網站中存取、分級和管理事件
- 分析攻擊:影片集合,以及如何使用入口網站功能調查特定攻擊的教學課程。
- 補救攻擊:列出入口網站內可用來補救威脅的自動化和手動動作。 本節包含影片和教學課程的連結。
瞭解事件
事件是建立的進程、命令和可能未一致的動作鏈結。 事件提供可疑或惡意活動的整體圖片和內容。 單一事件可提供攻擊的完整內容,而不是從多個服務分級數百個警示。
Microsoft Defender 全面偵測回應 有許多功能可用來回應事件。 您可以在 [首頁] 頁面的 [使用中事件] 卡片中選取 [ 檢視所有事件 ],或透過左側瀏覽窗格上的 [事件 & 警示 ],來巡覽事件。
。Microsoft Defender 全面偵測回應 首頁上的使用中事件卡片
每個事件都包含來自不同偵測來源的自動相互關聯警示,而且可能涉及各種端點、身分識別或雲端應用程式。
事件分級
每個回應者、安全性小組和組織的事件優先順序各不相同。 事件回應計劃 和安全性小組的方向可以強制執行事件優先順序。
Microsoft Defender 全面偵測回應 具有各種指標,例如事件嚴重性、使用者類型或威脅類型,以分級和排定事件的優先順序。 您可以使用這些指標的任何組合,這些指標可透過 事件佇列 篩選器立即取得。
判斷事件優先順序的範例是結合事件的下列因素:
- 事件具有高嚴重性。
- 自動化調查狀態失敗。
- 有 5 個受影響的資產,其中有兩個資產標記了高度機密的數據敏感度。
- 事件狀態是新的。
- 事件未指派給任何小組成員進行調查。
您可以使用上述資訊,將高優先順序指派給事件。 一旦決定優先順序,您就可以開始事件調查。
注意事項
Microsoft Defender 全面偵測回應 會自動判斷嚴重性、調查狀態、受影響的資產和事件狀態等篩選條件。 此資訊是以貴組織的網路活動為基礎,這些活動是以威脅情報摘要和所套用的自動化補救動作為內容。
管理事件
您可以在事件和警示中提供基本資訊,以提升 事件管理 效率。 當您在分級和分析每個事件時,將資訊新增至下列篩選條件時,您會提供其他回應者可以利用該事件的進一步內容:
- 分類事件和警示
- 命名事件
- 新增標籤
- 提供批注
瞭解如何透過這段影片分類事件和警示:
後續步驟
- 分析您的第一個事件
- 補救您的第一個事件
- 觀看 Microsoft Defender 全面偵測回應 Virtual Ninja Training 中的示範和入口網站的新發展
另請參閱
- 將 Microsoft Defender 全面偵測回應 整合到您的安全性作業
- 使用事件回應劇本回應常見攻擊
- 透過 Microsoft Defender 全面偵測回應 Ninja 訓練來瞭解入口網站的功能
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。