Incidensek rangsorolása a Microsoft Defender portálon
A Microsoft Defender portál korrelációs analitikát alkalmaz, és összesíti a különböző termékek kapcsolódó riasztásait és automatizált vizsgálatát egy incidensbe. Microsoft Sentinel és Defender XDR egyedi riasztásokat is aktiválnak az olyan tevékenységekről, amelyek csak rosszindulatúként azonosíthatók, mivel az egységes platform teljes termékcsomagja teljes körű láthatósága teljes körű. Ez a nézet szélesebb körű támadási történetet biztosít a biztonsági elemzőknek, ami segít nekik jobban megérteni és kezelni a szervezet összetett fenyegetéseit.
Fontos
Microsoft Sentinel általánosan elérhető a Microsoft egységes biztonsági üzemeltetési platformján a Microsoft Defender portálon. Előzetes verzióként a Microsoft Sentinel Microsoft Defender XDR vagy E5 licenc nélkül érhető el a Defender portálon. További információ: Microsoft Sentinel az Microsoft Defender portálon.
Incidenssor
Az Incidensek üzenetsor az eszközök, felhasználók, postaládák és egyéb erőforrások között létrehozott incidensek gyűjteményét jeleníti meg. Segít az incidensek rendezésében egy tájékozott kiberbiztonsági reagálási döntés, az incidensek osztályozása néven ismert folyamat rangsorolása és létrehozása érdekében.
Az incidenssort az Incidensek & riasztásokból > érheti el Az incidensek a Microsoft Defender portál gyors elindításával. Íme egy példa.
Válassza a Legutóbbi incidensek és riasztások lehetőséget a felső szakasz bővítésének váltásához, amely az elmúlt 24 órában fogadott és létrehozott riasztások számának idővonal-diagramját jeleníti meg.
Ez alatt a Microsoft Defender portál incidenssora az elmúlt hat hónapban látott incidenseket jeleníti meg. Másik időkeretet is választhat, ha kiválasztja azt a felső legördülő menüből. Az incidensek az incidensek legújabb automatikus vagy manuális frissítései szerint vannak rendezve. Az incidenseket a legutóbbi frissítés időpontja oszlop szerint rendezheti úgy, hogy az incidenseket a legújabb automatikus vagy manuális frissítéseknek megfelelően tekinthesse meg. Az incidensek teljes számát a keresősáv melletti üzenetsorban is megtalálhatja. Az incidensek teljes száma az üzenetsorban használt szűrőktől függően változik.
Az incidenssor testreszabható oszlopokkal rendelkezik, amelyek betekintést nyújtanak az incidens vagy az érintett entitások különböző jellemzőibe. Ez a szűrés segít megalapozott döntést hozni az incidensek rangsorolásáról elemzés céljából. Válassza az Oszlopok testreszabása lehetőséget a következő testreszabások végrehajtásához az előnyben részesített nézet alapján:
- Jelölje be/törölje a jelölést az incidenssorban megjeleníteni kívánt oszlopok közül.
- Az oszlopok sorrendjét húzással rendezheti el.
Az Exportálás funkcióval exportálhatja az incidenssorba az alkalmazott szűrők és időtartományok szerint megjelenített adatokat. Ez egy Exportálás nevű gomb formájában érhető el, az alábbi képernyőképen látható módon:
Amikor az Exportálás gombra kattint, az adatok CSV-fájlba lesznek exportálva. Különböző szűrőket és időtartományokat alkalmazhat az incidensek várólistájára (nem csak az adatok exportálásának kontextusában, hanem általános kontextusban is). Ha az Exportálás lehetőséget választja, a rendszer az incidensek várólistájára alkalmazott szűrőket és/vagy időtartományokat exportálja a CSV-fájlba.
Miután exportálta az incidensek üzenetsorával kapcsolatos adatokat a CSV-fájlba, elemezheti az adatokat, és a követelmények alapján tovább szűrheti azokat.
Megjegyzés:
A CSV-fájlba exportálható rekordok maximális száma 10 000.
Incidensnevek
A Microsoft Defender XDR automatikusan generál incidensneveket az olyan riasztási attribútumok alapján, mint az érintett végpontok száma, az érintett felhasználók, az észlelési források vagy a kategóriák. Ezzel az elnevezéssel gyorsan megértheti az incidens hatókörét.
Például: Többfázisú incidens több, több forrás által jelentett végponton.
Ha előkészítette Microsoft Sentinel a Defender portálra, akkor a Microsoft Sentinel érkező riasztások és incidensek neve valószínűleg megváltozik (függetlenül attól, hogy az előkészítés előtt vagy óta lettek létrehozva).
Javasoljuk, hogy ne használja az incidens nevét az automatizálási szabályok aktiválásának feltételeként. Ha az incidens neve feltétel, és az incidens neve megváltozik, a szabály nem aktiválódik.
Defender Boxed
Minden év januárja és júliusa során korlátozott ideig a Defender Boxed automatikusan megjelenik az incidenssor első megnyitásakor. A Defender Boxed kiemeli a szervezet biztonsági sikereit, fejlesztéseit és válaszlépéseit az elmúlt hat hónapban vagy naptári évben.
Megjegyzés:
A Defender Boxed csak azoknak a felhasználóknak érhető el, akik a Microsoft Defender portálon végeztek vonatkozó tevékenységeket.
A Defender Boxedben megjelenő kártyák sorozatában a következő műveleteket hajthatja végre:
Töltse le a szervezet más tagjaival megosztható eredmények részletes összefoglalását.
A Defender Boxed megjelenési gyakoriságának módosítása. Évente egyszer (januárban) vagy kétszer (januárban és júliusban) választhat.
A dia képként való mentésével megoszthatja eredményeit közösségimédia-hálózataiban, e-mailjeiben és más fórumaiban.
A Defender Boxed újbóli megnyitásához lépjen az Incidensek üzenetsorra, majd válassza a Védőkeretes elemet a panel jobb oldalán.
Szűrők
Az incidenssor emellett több szűrési lehetőséget is biztosít, amelyek alkalmazásakor lehetővé teszi a környezetében meglévő incidensek széles körű áttekintését, vagy egy adott forgatókönyvre vagy fenyegetésre való összpontosítást. Ha szűrőket alkalmaz az incidenssorra, az segíthet meghatározni, hogy melyik incidens igényel azonnali figyelmet.
Az incidensek listája feletti Szűrők lista az aktuálisan alkalmazott szűrőket jeleníti meg.
Az alapértelmezett incidenssorban válassza a Szűrő hozzáadása lehetőséget a Szűrő hozzáadása legördülő menü megjelenítéséhez, amelyből az incidenssorra alkalmazandó szűrőket adhatja meg a megjelenített incidensek halmazának korlátozásához. Íme egy példa.
Válassza ki a használni kívánt szűrőket, majd a lista alján válassza a Hozzáadás lehetőséget, hogy elérhetővé tegye őket.
Ekkor megjelennek a kiválasztott szűrők a meglévő alkalmazott szűrőkkel együtt. A feltételek megadásához válassza ki az új szűrőt. Ha például a "Szolgáltatás/észlelési források" szűrőt választotta, válassza ki azt, és válassza ki azokat a forrásokat, amelyek alapján szűrni szeretné a listát.
A Szűrő panelt úgy is megtekintheti, hogy kiválasztja bármelyik szűrőt az incidensek listája fölötti Szűrők listában.
Ez a táblázat felsorolja az elérhető szűrőneveket.
| Szűrő neve | Leírás/feltételek |
|---|---|
| Állapot | Válassza az Új, Folyamatban vagy Megoldott lehetőséget. |
|
Riasztás súlyossága Incidens súlyossága |
Egy riasztás vagy incidens súlyossága jelzi, hogy milyen hatással lehet az eszközökre. Minél nagyobb a súlyosság, annál nagyobb a hatás, és általában a leg azonnalibb figyelmet igényli. Válassza a Magas, Közepes, Alacsony vagy Tájékoztató lehetőséget. |
| Incidens-hozzárendelés | Válassza ki a hozzárendelt felhasználót vagy felhasználókat. |
| Több szolgáltatásforrás | Adja meg, hogy a szűrő több szolgáltatásforrásra is vonatkoznak-e. |
| Szolgáltatás-/észlelési források | Adja meg azokat az incidenseket, amelyek az alábbiak közül egy vagy több riasztását tartalmazzák: Ezen szolgáltatások közül számos kibontható a menüben, hogy további észlelési forrásokat jelenítsen meg egy adott szolgáltatáson belül. |
| Címkék | Jelöljön ki egy vagy több címkenevet a listából. |
| Több kategória | Itt adhatja meg, hogy a szűrő több kategóriára is igaz-e. |
| Kategóriák | Válassza ki a kategóriákat, hogy a látott taktikákra, technikákra vagy támadási összetevőkre összpontosítson. |
| Entitások | Adja meg egy eszköz nevét, például felhasználó, eszköz, postaláda vagy alkalmazás nevét. |
| Adatérzékenység | Egyes támadások a bizalmas vagy értékes adatok kiszűrésére összpontosítanak. Ha szűrőt alkalmaz adott bizalmassági címkékre, gyorsan megállapíthatja, hogy a bizalmas adatok esetleg sérültek-e, és rangsorolhatja az incidensek kezelését. Ez a szűrő csak akkor jelenít meg információt, ha bizalmassági címkéket alkalmazott Microsoft Purview információvédelem. |
| Eszközcsoportok | Adja meg az eszközcsoport nevét. |
| Operációsrendszer-platform | Adja meg az eszköz operációs rendszereit. |
| Osztályozás | Adja meg a kapcsolódó riasztások besorolási halmazát. |
| Automatizált vizsgálati állapot | Adja meg az automatizált vizsgálat állapotát. |
| Társított fenyegetés | Adjon meg egy megnevezett fenyegetést. |
| Szabályzat/szabályzatszabály | Incidensek szűrése szabályzat vagy szabályzatszabály alapján. |
| Terméknevek | Incidensek szűrése a terméknév alapján. |
| Adatfolyam | Incidensek szűrése a hely vagy a számítási feladat alapján. |
Megjegyzés:
Ha rendelkezik hozzáféréssel a Microsoft Purview belső kockázatkezelés, megtekintheti és kezelheti a belső kockázatkezelési riasztásokat, és megkeresheti a belső kockázatkezelési eseményeket a Microsoft Defender portálon. További információ: Insider risk threats in the Microsoft Defender portal (Belső kockázati fenyegetések vizsgálata a Microsoft Defender portálon).
Az alapértelmezett szűrő az összes riasztás és incidens megjelenítése Új és Folyamatban állapottal, magas, közepes vagy alacsony súlyossággal.
Gyorsan eltávolíthat egy szűrőt, ha kiválasztja az X-et egy szűrő nevében a Szűrők listában.
Az incidensek oldalon szűrőkészleteket is létrehozhat, ha a Mentett szűrő lekérdezések > Szűrőkészlet létrehozása lehetőséget választja. Ha nem hozott létre szűrőkészletet, válassza a Mentés lehetőséget a létrehozáshoz.
Megjegyzés:
Microsoft Defender XDR az ügyfelek mostantól riasztásokkal szűrhetik az incidenseket, ha egy feltört eszköz az IoT-hez készült Microsoft Defender eszközfelderítési integrációján keresztül kommunikált a vállalati hálózathoz csatlakoztatott operatív technológiai (OT) eszközökkel, és Végponthoz készült Microsoft Defender. Az incidensek szűréséhez válassza a Bármely lehetőséget a Szolgáltatás/észlelés forrásokban, majd válassza a Microsoft Defender az IoT-hez lehetőséget a Terméknév területen, vagy tekintse meg az incidensek és riasztások kivizsgálása Microsoft Defender az IoT-hez a Defender portálon című cikket. Eszközcsoportokkal is szűrhet helyspecifikus riasztásokra. További információ az IoT-hez készült Defender előfeltételeiről: Ismerkedés a vállalati IoT-monitorozással Microsoft Defender XDR.
Egyéni szűrők mentése URL-címként
Miután konfigurált egy hasznos szűrőt az incidensek várólistáján, könyvjelzővel láthatja el a böngészőlap URL-címét, vagy más módon mentheti hivatkozásként egy weblapra, egy Word dokumentumba vagy egy tetszőleges helyre. A könyvjelzők segítségével egyetlen kattintással hozzáférhet az incidenssor főbb nézeteihez, például:
- Új incidensek
- Nagy súlyosságú incidensek
- Nem hozzárendelt incidensek
- Nagy súlyosságú, hozzárendelés nélküli incidensek
- Hozzám rendelt incidensek
- Nekem és Végponthoz készült Microsoft Defender-hez rendelt incidensek
- Adott címkével vagy címkével rendelkező incidensek
- Adott fenyegetéskategóriával rendelkező incidensek
- Adott kapcsolódó fenyegetéssel rendelkező incidensek
- Adott szereplővel kapcsolatos incidensek
Miután lefordította és URL-címként tárolta a hasznos szűrőnézetek listáját, a használatával gyorsan feldolgozhatja és rangsorolhatja az incidenseket az üzenetsorban, és kezelheti őket a későbbi hozzárendelésekhez és elemzésekhez.
Keresés
Az incidensek listája feletti Név vagy azonosító keresése mezőben számos módon kereshet incidenseket, hogy gyorsan megtalálja, amit keres.
Keresés incidens neve vagy azonosítója alapján
Az incidens azonosítójának vagy az incidens nevének beírásával közvetlenül megkeresheti az incidenst. Amikor kiválaszt egy incidenst a keresési eredmények listájából, a Microsoft Defender portál megnyit egy új lapot az incidens tulajdonságaival, ahonnan megkezdheti a vizsgálatot.
Keresés az érintett eszközök alapján
Elnevezhet egy objektumot – például felhasználót, eszközt, postaládát, alkalmazásnevet vagy felhőbeli erőforrást –, és megkeresheti az adott objektumhoz kapcsolódó összes incidenst.
Időtartomány megadása
Az incidensek alapértelmezett listája az elmúlt hat hónapban történt eseményekre érvényes. A naptár ikon melletti legördülő listából megadhat egy új időtartományt a következő gombra kattintva:
- Egy napon
- Három nap
- Egy hét
- 30 nap
- 30 nap
- Hat hónap
- Egyéni tartomány, amelyben dátumokat és időpontokat is megadhat
Következő lépések
Miután megállapította, hogy melyik incidens igényli a legmagasabb prioritást, válassza ki, és:
- Kezelheti az incidens tulajdonságait címkékhez, hozzárendeléshez, a téves pozitív incidensek azonnali megoldásához és megjegyzésekhez.
- Kezdje meg a nyomozást.
Lásd még
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.