共用方式為


回應您在 Microsoft Defender 全面偵測回應 中的第一個事件

適用於:

  • Microsoft Defender XDR

本指南列出Microsoft資源,讓新的 Microsoft Defender 全面偵測回應 使用者在使用入口網站時,安心地執行日常事件回應工作。 使用本指南的預期結果如下:

  • 您將快速瞭解如何使用 Microsoft Defender 全面偵測回應 來回應事件和警示。
  • 您將探索入口網站的功能,以透過影片和教學課程協助事件調查和補救。

Microsoft Defender 全面偵測回應 可讓您查看所有資產之間的相關威脅事件, (裝置、身分識別、信箱、雲端應用程式等) 。 入口網站會合併來自 Defender 保護套件Microsoft Sentinel 和其他整合式安全性資訊和事件管理的訊號, (SIEM) 解決方案。 將攻擊資訊與單一視窗中的完整內容相互關聯,可讓您成功防禦及保護您的組織。

本指南有三個主要章節:

  • 瞭解事件:在入口網站中存取、分級和管理事件
  • 分析攻擊:影片集合,以及如何使用入口網站功能調查特定攻擊的教學課程。
  • 補救攻擊:列出入口網站內可用來補救威脅的自動化和手動動作。 本節包含影片和教學課程的連結。

瞭解事件

事件是建立的進程、命令和可能未一致的動作鏈結。 事件提供可疑或惡意活動的整體圖片和內容。 單一事件可提供攻擊的完整內容,而不是從多個服務分級數百個警示。

Microsoft Defender 全面偵測回應 有許多功能可用來回應事件。 您可以在 [首頁] 頁面的 [使用中事件] 卡片中選取 [ 檢視所有事件 ],或透過左側瀏覽窗格上的 [事件 & 警示 ],來巡覽事件。

檢視首頁圖 1 Microsoft Defender 全面偵測回應 顯示的所有事件 。Microsoft Defender 全面偵測回應 首頁上的使用中事件卡片

Microsoft Defender 全面偵測回應 Figure 2 中的事件佇列。事件佇列

每個事件都包含來自不同偵測來源的自動相互關聯警示,而且可能涉及各種端點、身分識別或雲端應用程式。

事件分級

每個回應者、安全性小組和組織的事件優先順序各不相同。 事件回應計劃 和安全性小組的方向可以強制執行事件優先順序。

Microsoft Defender 全面偵測回應 具有各種指標,例如事件嚴重性、使用者類型或威脅類型,以分級和排定事件的優先順序。 您可以使用這些指標的任何組合,這些指標可透過 事件佇列 篩選器立即取得。

判斷事件優先順序的範例是結合事件的下列因素:

  • 事件具有高嚴重性。
  • 自動化調查狀態失敗。
  • 有 5 個受影響的資產,其中有兩個資產標記了高度機密的數據敏感度。
  • 事件狀態是新的。
  • 事件未指派給任何小組成員進行調查。

您可以使用上述資訊,將高優先順序指派給事件。 一旦決定優先順序,您就可以開始事件調查。

注意事項

Microsoft Defender 全面偵測回應 會自動判斷嚴重性、調查狀態、受影響的資產和事件狀態等篩選條件。 此資訊是以貴組織的網路活動為基礎,這些活動是以威脅情報摘要和所套用的自動化補救動作為內容。

管理事件

您可以在事件和警示中提供基本資訊,以提升 事件管理 效率。 當您在分級和分析每個事件時,將資訊新增至下列篩選條件時,您會提供其他回應者可以利用該事件的進一步內容:

瞭解如何透過這段影片分類事件和警示:

後續步驟

另請參閱

提示

想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群