在 Microsoft Defender入口網站中排定事件的優先順序
Microsoft Defender 入口網站中的統一安全性作業平臺會套用相互關聯分析,並將相關警示和自動化調查從不同的產品匯總到事件中。 Microsoft Sentinel 和 Defender 全面偵測回應 也會觸發活動的唯一警示,這些活動只有在整合平臺中整個產品套件的端對端可見性時,才能識別為惡意。 此檢視可為您的安全性分析師提供更廣泛的攻擊案例,協助他們進一步瞭解及處理整個組織的複雜威脅。
重要事項
Microsoft Sentinel 已在 Microsoft Defender 入口網站中Microsoft的統一安全性作業平臺內正式推出。 如需預覽,Microsoft Sentinel 可在Defender入口網站中取得,而不需要 Microsoft Defender 全面偵測回應 或E5授權。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
事件佇列
事件佇列會顯示跨裝置、使用者、信箱和其他資源建立的事件集合。 它可協助您排序事件,以排定優先順序並建立明智的網路安全性回應決策,也就是稱為事件分級的程式。
您可以在 Microsoft Defender 入口網站快速啟動時,從事件 & 警示>事件進入事件佇列。 以下為範例。
選 取 [最近的事件和警示] 以切換頂端區段的擴充,其中顯示過去 24 小時內收到的警示數目和建立事件的時程表圖表。
下面,Microsoft Defender 入口網站中的事件佇列會顯示過去六個月內所見的事件。 您可以從頂端的下拉式清單中選取它,以選擇不同的時間範圍。 事件會根據事件的最新自動或手動更新進行排列。 您可以依 上次更新時間 數據行來排列事件,以根據最新的自動或手動更新來檢視事件。
事件佇列具有可自定義的數據行,可讓您瞭解事件或受影響實體的不同特性。 此篩選可協助您針對事件的優先順序做出明智的決策以進行分析。 選 取[自訂資料行] ,以根據您慣用的檢視執行下列自訂:
- 檢查/取消核取您想要在事件佇列中看到的數據行。
- 拖曳數據行來排列數據行的順序。
[ 匯出 ] 功能可讓您匯出事件佇列中的數據,這些數據會根據套用的篩選條件和時間範圍顯示。 其形式 為名為Export的按鈕,如下列螢幕快照所示:
![在 Microsoft Defender 入口網站的 [事件] 頁面中顯示 [匯出] 按鈕](/zh-tw/defender/media/defender/incidents-queue-with-export-button.png)
當您按下 [ 匯出 ] 按鈕時,數據會匯出至 CSV 檔案。 您可以將各種篩選和時間範圍套用至事件佇列 (不只是在匯出數據的內容中,而是在一般內容) 中。 當您選取 [ 匯出] 時,無論將哪一個篩選和/或時間範圍套用至事件佇列,這類數據都會匯出至 CSV 檔案。
將事件佇列相關數據匯出至 CSV 檔案後,您可以分析數據,並根據您的需求進一步篩選數據。
注意事項
您可以匯出至 CSV 檔案的記錄數目上限為 10,000 筆。
事件名稱
如需一目了然,Microsoft Defender 全面偵測回應 會根據警示屬性自動產生事件名稱,例如受影響的端點數目、受影響的使用者、偵測來源或類別。 此特定命名可讓您快速瞭解事件的範圍。
例如: 多個來源所報告之多個端點上的多階段事件。
如果您已將 Microsoft Sentinel 上線至統一的安全性作業平臺,則來自 Microsoft Sentinel 的任何警示和事件可能會變更其名稱 (無論這些警示和事件是在上線) 之前或之後建立的。
建議您避免使用事件名稱作為觸發 自動化規則的條件。 如果事件名稱是條件,且事件名稱變更,則不會觸發規則。
Defender Boxed
在每年 1 月和 7 月的有限時間內,當您第一次開啟事件佇列時, Defender Boxed 會自動出現。 Defender Boxed 強調貴組織在前六個月或日曆年度的安全性成功、改善和響應動作。
注意事項
Defender Boxed 僅適用於在 Microsoft Defender 入口網站中執行適用活動的使用者。
您可以在 Defender Boxed 中出現的一系列卡片中執行下列動作:
下載可與組織中其他人共用之成就的詳細摘要。
變更 Defender Boxed 出現頻率。 您可以選擇每個一月) (一次,或每年一月和七月) (兩次。
藉由將投影片儲存為影像,將您的成就分享給您的社交媒體網路、電子郵件和其他論壇。
![[Defender Boxed] 投影片的螢幕快照,其中已醒目提示 [儲存] 選項。](/zh-tw/defender/media/defender-boxed/defender-boxed-save-small.png)
![[Defender Boxed] 投影片的螢幕快照,其中已醒目提示 [儲存] 選項。](/zh-tw/defender/media/defender-boxed/defender-boxed-save.png#lightbox)
若要重新開啟 Defender Boxed,請移至事件佇列,然後選取窗格右側的 [您的 Defender Boxed ]。
![[事件] 頁面中醒目提示 [Defender Boxed] 選項的螢幕快照。](/zh-tw/defender/media/defender-boxed/defender-boxed-incident.png#lightbox)
過濾器
事件佇列也提供多個篩選選項,當套用時,可讓您對環境中的所有現有事件執行廣泛的掃掠,或決定專注於特定案例或威脅。 在事件佇列套用篩選可協助判斷哪個事件需要立即處理。
事件清單上方的 [ 篩選 ] 列表會顯示目前套用的篩選條件。
從預設事件佇列中,您可以選取 [ 新增篩選 ] 以查看 [ 新增篩選 ] 下拉式清單,從中指定要套用至事件佇列的篩選條件,以限制顯示的事件集。 以下為範例。
![Microsoft Defender 入口網站中事件佇列的 [篩選] 窗格。](/zh-tw/defender/media/incidents-queue/fig1-newfilters.png)
選取您想要使用的篩選條件,然後選取清單底部的 [ 新增 ],使其可供使用。
現在,您選取的篩選條件會與現有套用的篩選一起顯示。 選取新的篩選條件以指定其條件。 例如,如果您選擇「服務/偵測來源」篩選條件,請選取它以選擇要篩選清單的來源。
您也可以在事件清單上方的 [篩選] 列表中選取任何篩選條件,以查看 [篩選] 窗格。
下表列出可用的篩選名稱。
| 篩選名稱 | 描述/條件 |
|---|---|
| 狀態 | 選取 [新增]、[ 進行中] 或 [ 已解決]。 |
|
警示嚴重性 事件嚴重性 |
警示或事件的嚴重性表示其可能對您的資產造成的影響。 嚴重性越高,影響就越大,通常需要立即注意。 選取 [高]、 [中]、[ 低] 或 [ 資訊]。 |
| 事件指派 | 選取指派的用戶或使用者。 |
| 多個服務來源 | 指定篩選是否適用於多個服務來源。 |
| 服務/偵測來源 | 指定包含下列一或多個警示的事件: 您可以在功能表中展開其中許多服務,以顯示指定服務內偵測來源的進一步選擇。 |
| 標記 | 從清單中選取一或多個標籤名稱。 |
| 多個類別 | 指定篩選是否適用於多個類別。 |
| Categories | 選擇類別以專注於特定的策略、技巧或攻擊元件。 |
| Entities | 指定資產的名稱,例如使用者、裝置、信箱或應用程式名稱。 |
| 資料敏感度 | 某些攻擊鎖定外洩機密敏感性資料或重要資料。 藉由套用特定敏感度標籤的篩選,您可以快速判斷敏感性資訊是否可能遭到入侵,並優先處理這些事件。 只有當您已從 Microsoft Purview 資訊保護 套用敏感度標籤時,此篩選才會顯示資訊。 |
| 裝置群組 | 指定 裝置組 名。 |
| 作業系統平台 | 指定裝置作業系統。 |
| 分類 | 指定相關警示的分類集。 |
| 自動化調查狀態 | 指定自動化調查的狀態。 |
| 相關聯的威脅 | 指定具名威脅。 |
| 警示原則 | 指定警示原則標題。 |
| 警示訂用帳戶標識碼 | 根據訂用帳戶標識元指定警示。 |
默認篩選條件是顯示狀態為 [新增 ] 和 [ 進行中 ] 且嚴重性為 [高]、[ 中] 或 [ 低] 的所有警示和事件。
您可以在 [篩選] 列表中選取篩選名稱中的 X ,以快速移除 篩選 。
您也可以選取 [儲存的篩選查詢>][建立篩選集],在事件頁面內建立篩選集。 如果尚未建立任何篩選集,請選取 [ 儲存 ] 來建立篩選集。
注意事項
Microsoft Defender 全面偵測回應 客戶現在可以使用警示來篩選事件,其中遭入侵的裝置會透過IoT Microsoft Defender的裝置探索整合,與操作技術 (OT 通訊,) 裝置連線到企業網路,適用於端點的 Microsoft Defender。 若要篩選這些事件,請在服務/偵測來源中選取 [任何],然後在 [產品名稱] 中選取 [IoT 的 Microsoft Defender],或參閱在 Defender 入口網站中調查 IoT Microsoft Defender 中的事件和警示。 您也可以使用裝置群組來篩選網站特定警示。 如需適用於IoT的Defender必要條件的詳細資訊,請參閱在 Microsoft Defender 全面偵測回應中開始使用企業IoT監視。
將自訂篩選儲存為 URL
在事件佇列中設定有用的篩選之後,您可以將瀏覽器索引標籤的 URL 設定為書籤,或將它儲存為網頁、Word 檔或您選擇的位置的連結。 書籤可讓您按兩下即可存取事件佇列的重要檢視,例如:
- 新事件
- 高嚴重性事件
- 未指派的事件
- 高嚴重性、未指派的事件
- 指派給我的事件
- 指派給我和 適用於端點的 Microsoft Defender 的事件
- 具有特定標籤或標籤的事件
- 具有特定威脅類別的事件
- 具有特定相關威脅的事件
- 具有特定動作專案的事件
編譯並儲存有用的篩選檢視清單作為 URL 之後,請使用它來快速處理並排定佇列中事件的優先順序,並 管理 這些事件以進行後續指派和分析。
搜尋
從事件清單上方的 [搜尋名稱或標識 符] 方塊中,您可以透過數種方式搜尋事件,以快速找出您要尋找的專案。
依事件名稱或標識子搜尋
輸入事件標識碼或事件名稱,直接搜尋事件。 當您從搜尋結果清單中選取事件時,Microsoft Defender 入口網站會開啟具有事件屬性的新索引標籤,您可以從中開始調查。
依受影響的資產進行搜尋
您可以為資產命名,例如使用者、裝置、信箱、應用程式名稱或雲端資源,並尋找與該資產相關的所有事件。
指定時間範圍
事件的預設清單適用於過去六個月內發生的事件。 您可以選取下拉式方塊,從行事歷圖示旁的下拉式方塊指定新的時間範圍:
- 一天
- 三天
- 一星期
- 30 天
- 30 天
- 六個月
- 您可以在其中指定日期和時間的自訂範圍
後續步驟
在您判斷哪一個事件需要最高優先順序之後,請選取它,然後:
另請參閱
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。