管理事件

  • 8 分鐘

Microsoft Defender 全面偵測回應提供跨網域威脅相互關聯和目的導向的入口網站,用於調查威脅。 事件的依據是網路上出現惡意事件或活動時所建立的相關警示。 個別警示可提供有關進行中攻擊的寶貴線索。 不過,攻擊通常會採用各種不同的媒介和技術來進行入侵。 將個別線索拼湊在一起可能很困難且耗時。

這支短片提供 Microsoft Defender 全面偵測回應中的事件概觀。

事件是構成攻擊案例的相互關聯警示的集合。 Microsoft Defender 全面偵測回應會自動彙總在網路中不同裝置、使用者及信箱實體中發現的惡意和可疑事件。 將相關警示分組至事件,可讓安全性防禦者全方位了解攻擊。

例如,安全性防禦者可以看到攻擊的開始位置、使用的手段,以及攻擊深入網路的程度。 安全性防禦者也可以看到攻擊的範圍。 像是受影響的裝置、使用者及信箱數目、影響的嚴重程度,以及受影響實體的其他詳細資料。

若啟用,Microsoft Defender 全面偵測回應可以透過自動化和人工智慧自動調查並解決個別的警示。 安全性防禦者也可以執行更多補救步驟,直接從事件檢視畫面解決攻擊。

過去 30 天內的事件會顯示在事件佇列中。 安全性防禦者可以在事件佇列中,根據風險層級和其他因素來查看應優先處理的事件。

安全性防禦者也可以重新命名事件、將事件指派給個別分析師、分類以及為事件新增標記,進而獲得更優質且自訂化程度更高的事件管理體驗。

設定事件優先順序

Microsoft Defender 全面偵測回應會套用相互關聯分析,並將來自不同產品的所有相關警示和調查彙總成一個事件。 鑑於 Microsoft Defender 全面偵測回應在整個資產和產品套件中的端對端可見度,Microsoft Defender 全面偵測回應會針對只能識別為惡意的活動觸發獨特警示。 此檢視可讓安全作業人員分析更廣泛的攻擊案例,協助他們進一步了解並處理整個組織面臨的複雜威脅。

事件佇列會顯示裝置、使用者及信箱之間的已標幟事件集合。 它可協助您排序事件,進而排定優先順序並做出明智的網路安全性回應決策。

Microsoft Defender 全面偵測回應事件佇列的螢幕擷取畫面。

根據預設,Microsoft Defender 入口網站的佇列會顯示過去 30 天內發現的事件。 最新的事件會顯示在清單的最上方,讓您可最先看到。

事件佇列會顯示可自訂的資料行,讓您可以看到事件或所包含實體的不同特性。 這項深層的資訊可協助您做出明智的決策,並決定待處理事件的優先順序。

為了能更一目瞭然,自動事件命名功能會根據警示屬性 (例如受影響的端點數目、受影響的使用者、偵測來源或類別) 產生事件名稱。 自動命名可讓您快速了解事件的涵蓋範圍。

可用的篩選條件

狀態

您可以選擇根據事件的狀態來限制顯示的事件清單,以便查看哪些事件仍進行中或已解決。

嚴重性

事件的嚴重性表示可能對資產造成的影響。 嚴重性越高,影響越大,通常需要最立即的關切。

事件指派

您可以選擇顯示指派給您的警示,或是自動化作業所處理的警示。

多個服務來源

選取 [否] (預設),或選取 [是] 以啟用。

服務來源

篩選以僅查看包含不同來源警示的事件。 來源包括:適用於端點的 Microsoft Defender、Microsoft Cloud App Security、適用於身分識別的 Microsoft Defender、適用於 Office 365 的 Microsoft Defender。

Tags (標籤)

按照已指派的標籤進行篩選。 選取 [類型標籤名稱] 欄位之後,就會顯示任何已指派的標籤。

多個類別

您可以選擇只查看已對應至多個類別,因此可能會造成更大損傷的事件。

類別

選擇類別以聚焦於發現的特定手法、技巧或攻擊元件。

實體

按照實體名稱或識別碼進行篩選。

資料敏感度

某些攻擊著重於以竊取敏感或寶貴資料為目標。 藉由套用篩選條件來查看事件是否牽涉到敏感資料,您可以快速判斷敏感資訊是否遭到入侵。 如果發現入侵,您可以優先處理這些事件的回應。 僅在開啟 Microsoft Purview 資訊保護時,此篩選功能才適用。

裝置群組

依定義的裝置群組進行篩選。

作業系統平台

依作業系統限制事件佇列檢視。

分類

根據相關警示的設定分類來篩選事件。 這些值包括 true 警示、false 警示或未設定。

自動化調查狀態

依自動化調查的狀態來篩選事件。

相關聯的威脅

選取 [類型相關聯的威脅] 欄位可讓您輸入威脅資訊,並顯示先前的搜尋準則。

預覽事件

入口網站頁面提供大部分清單相關資料的預覽資訊。

在此螢幕擷取畫面中,三個醒目提示的區域分別為圓圈、大於符號以及實際的連結。

事件預覽資訊選項的螢幕擷取畫面。

圓圈

選取圓圈會在頁面右側開啟詳細資料視窗,並提供明細項目預覽,以及開啟完整資訊頁面的選項。

事件詳細資料視窗的螢幕擷取畫面。

大於符號

如果有可顯示的相關記錄,選取大於符號便會顯示目前記錄底下的記錄。

相關事件記錄的螢幕擷取畫面。

連結

此連結會將您引導至明細項目的完整頁面。

管理事件

管理事件對於確保威脅已受控制並解決來說是很重要的。 在 Microsoft Defender 全面偵測回應中,您擁有管理裝置、使用者和信箱事件的存取權。 您可以從事件佇列中選取事件來管理。

您可以編輯事件的名稱、解決事件,然後設定其分類和判斷。 您也可以將事件指派給自己,並新增事件標記和註解。

若您在調查期間需要將警示從某個事件移至另一個事件,則也可以從 [警示] 索引標籤中執行此操作。使用 [警示] 索引標籤可讓您建立一個包含所有相關警示的更大或較小事件。

編輯事件名稱

系統會根據警示屬性 (例如受影響的端點數目、受影響的使用者、偵測來源或類別) 自動指派名稱給事件。 根據警示屬性命名可讓您快速了解事件的範圍。 您可以修改事件名稱,使名稱更符合您慣用的命名慣例。

指派事件

如果事件尚未指派,您可以選取 [指派給我],將事件指派給您自己。 這麼做不只會取得事件的擁有權,也會取得所有與該事件相關聯的警示。

設定狀態和分類

事件狀態

您可以隨著調查進度變更事件的狀態來加以分類 ([進行中] 或 [已解決])。 如此更新狀態可協助整理及管理您的小組如何回應事件。

例如,您的 SOC 分析師可以檢閱一天中的緊急進行中事件,並決定將其指派給自己進行調查。

或者,如果事件已補救完畢,SOC 分析師可能會將事件設定為 [已解決]。 解決事件時將會自動關閉屬於該事件的所有未結案警示。

分類和判斷

您可以選擇不設定分類,或決定是否要指定事件為 true 警示或 false 警示。 這麼做可協助小組了解模式並從中學習。

新增留言

您可以新增註解並檢視事件的歷程活動,了解先前對它做過的變更。

對警示進行變更或註解時,隨即會記錄在 [註解] 和 [歷程記錄] 區段中。

新增的註解會立即顯示在窗格上。

新增事件標記

例如,您可以將自訂標記新增至事件,為具有共通特性的事件群組加上旗標。 您之後可以針對包含特定標記的所有事件篩選事件佇列。