Megosztás a következőn keresztül:

Incidensek kezelése Microsoft Defender

  • Cikk
  • A következőre érvényes::
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Az incidenskezelés kritikus fontosságú annak biztosításához, hogy az incidensek neve, hozzárendelése és címkézése optimalizálja az időt az incidens-munkafolyamatban, és gyorsabban tartalmazza és kezelje a fenyegetéseket.

Az incidensek kezelése a Vizsgálat & válasz > Incidensek & riasztások > Incidensek a Microsoft Defender portál (security.microsoft.com) gyors indításakor. Íme egy példa.

Képernyőkép az incidenssorról és a gyorsindítási panelről a Microsoft Defender portálon.

Ez a cikk bemutatja, hogyan hajthat végre az incidens életciklusának különböző szakaszaihoz kapcsolódó különböző incidenskezelési feladatokat.

Incidens osztályozása:

Incidens kivizsgálása és megoldása:

Incidensnaplózás és jelentéskészítés:

Tipp

A Defender Boxed az elmúlt hat hónap/év biztonsági sikereit, fejlesztéseit és reagálási műveleteit bemutató kártyasorozat minden év januárjában és júliusában korlátozott ideig jelenik meg. Megtudhatja, hogyan oszthatja meg a Defender Boxed kiemeléseit .

Hozzáférés az Incidens kezelése panelhez

A feladatok többsége az incidensek kezelésének paneljén érhető el. Ezt a panelt több helyről is elérheti.

Az incidenssorból

  1. Válassza a Vizsgálat & válasz > Incidensek & riasztások > Incidensek lehetőséget a Microsoft Defender portál gyors indításakor.

  2. Az incidenssorból kétféleképpen érheti el az Incidens kezelése panelt:

    • Jelölje be egy incidens jelölőnégyzetét, és válassza az Incidensek kezelése lehetőséget a szűrők feletti eszköztáron. Több jelölőnégyzet bejelölésével egyszerre több incidenst is kezelhet.

    • Válassza ki az incidens sorát (az incidens nevének kiválasztása nélkül), hogy megjelenjen az incidens részletei panel, majd válassza az Incidens kezelése lehetőséget az incidens részletei panelen.

      Képernyőkép az incidensek Microsoft Defender portál incidenssoráról történő kezeléséről.

Az incidens oldaláról

  1. Válassza a Vizsgálat & válasz > Incidensek & riasztások > Incidensek lehetőséget a Microsoft Defender portál gyors indításakor.

  2. Válassza ki az incidens nevét az üzenetsorból. Vagy válassza ki az incidens sorát az üzenetsorban, majd válassza az Incidens lap megnyitása lehetőséget az incidens részletei panelen.

  3. Az incidens oldalán válassza az Incidens kezelése lehetőséget a felső panelen.

    Ha az Incidens kezelése nem látható, válassza a jobb felső sarokban található három elemet (az alábbi képernyőképen az "Incidens kezelése" mellett látható), és válassza ki a megjelenő menüből.

    Képernyőkép az incidensek kezeléséről az Microsoft Defender portál incidensoldaláról.

Incidens osztályozása

Az alábbi felügyeleti feladatok szorosan kapcsolódnak az incidensek osztályozásához, bár bármikor végrehajthatók.

Incidens hozzárendelése tulajdonoshoz

Alapértelmezés szerint az új incidensek tulajdonos nélkül jönnek létre. Ideális esetben a SecOps-csapatnak olyan mechanizmusokkal és eljárásokkal kell rendelkeznie, amelyek automatikusan incidenseket rendelnek a tulajdonosokhoz. Előfordulhat, hogy eszkalálás vagy hibás eredeti hozzárendelés esetén újra kell hozzárendelnie egy incidenst.

Tulajdonos hozzárendelése

Ha manuálisan szeretne hozzárendelni egy új tulajdonost egy incidenshez, kövesse az alábbi lépéseket:

  1. Kövesse a megnyitási szakaszban található utasításokat az Incidens kezelése panel eléréséhez.

  2. Válassza a Hozzárendelés mezőt. Megjelenik a javasolt hozzárendelések legördülő listája.

  3. Ha azt a felhasználói vagy csoportfiókot látja, amelyhez hozzá szeretné rendelni az incidenst, válassza ki.

    Ellenkező esetben kezdje el beírni a kívánt felhasználó vagy csoport nevét vagy fiókazonosítóját a lista tetején található szövegmezőbe. A lista dinamikusan frissül, a beírt adatok alapján szűrve. Amikor megjelenik a kívánt felhasználó vagy csoport, jelölje ki.

  4. Ha el szeretne távolítani egy meglévő hozzárendelést, beleértve az imént hozzáadott hozzárendeléseket is, válassza a fiók neve melletti X-et . Ezután válassza a Hozzárendelés mezőt, ha másik hozzárendelést szeretne hozzáadni.

    Incidenshez csak egy felhasználói vagy csoportfiók rendelhető hozzá.

  5. Válassza a Mentés elemet.

Az incidens tulajdonjogának hozzárendelése ugyanazt a tulajdonjogot rendeli hozzá az összes kapcsolódó riasztáshoz.

Képernyőkép egy tulajdonos hozzárendeléséről az incidens kezelése panelen a Microsoft Defender portálon.

Adott tulajdonoshoz rendelt incidensek megtekintése

Egy adott felhasználóhoz vagy csoporthoz rendelt incidensek listájának megtekintéséhez szűrje az incidenssort:

  1. Az incidenssoron válassza ki az Incidens-hozzárendelés szűrőt. Megjelenik a javasolt hozzárendelések legördülő listája.

    Ha nem látja az incidens-hozzárendelést a szűrők között, válassza a Szűrő hozzáadása lehetőséget, válassza az Incidens-hozzárendelés lehetőséget a legördülő listából, majd válassza a Hozzáadás lehetőséget.

  2. Ha megjelenik az a felhasználói fiók, amelynek a hozzárendelt incidenseit meg szeretné jeleníteni, jelölje ki.

    Ellenkező esetben kezdje el beírni a kívánt felhasználó vagy csoport nevét vagy fiókazonosítóját a lista tetején található szövegmezőbe. A lista dinamikusan frissül, a beírt adatok alapján szűrve. Amikor megjelenik a kívánt felhasználó vagy csoport, jelölje ki.

    Az incidensek hozzárendelésével ellentétben itt több hozzárendeltet is kiválaszthat a lista szűréséhez. Ha egy másik felhasználó- vagy csoportfiókot szeretne hozzáadni a szűrőhöz, jelölje ki a szövegmezőt (a szűrőben lévő meglévő fiók mellett), és ismét megjelenik a javasolt hozzárendeltek listája.

  3. Válassza az Alkalmaz lehetőséget.

    Képernyőkép a tulajdonoshoz rendelt incidensek megtekintéséről a Microsoft Defender portál incidenssorlapján.

Ha az aktuális szűrők alkalmazásával szeretne menteni egy incidenssorra mutató hivatkozást, válassza a Listahivatkozás másolása lehetőséget az incidenssor oldalán található eszköztáron. Hozzon létre egy parancsikont a kedvencek között vagy az asztalon, és illessze be a hivatkozást.

Incidens súlyosságának hozzárendelése vagy módosítása

Az incidens súlyosságát az ahhoz társított riasztások legmagasabb súlyossága határozza meg. Az incidens súlyossága beállítható magas, közepes, alacsony vagy tájékoztató értékre.

Az incidens súlyosságának manuális hozzárendeléséhez vagy módosításához kövesse az alábbi lépéseket:

  1. Kövesse a megnyitási szakaszban található utasításokat az Incidens kezelése panel eléréséhez.

  2. Válassza ki az alkalmazni kívánt súlyossági értéket az Incidens kezelése panel Súlyosság legördülő listájából.

  3. Válassza a Mentés elemet.

Incidenscímkék hozzáadása

Az egyéni címkék információkat adnak hozzá, hogy kontextust adjanak egy incidenshez. Egy címke például egy incidenscsoportot címkézhet meg egy közös jellemzővel. A címkék szűrési feltételek, így később szűrheti az incidenssort az összes olyan incidensre, amely egy adott címkét tartalmaz. Címke alkalmazása incidensre:

  1. Kövesse a megnyitási szakaszban található utasításokat az Incidens kezelése panel eléréséhez.

  2. Az Incidenscímkék mezőben kezdje el beírni az alkalmazni kívánt címke nevét. Gépelés közben megjelenik a korábban használt és a kijelölt címkék listája. Ha a listában megjelenik az alkalmazni kívánt címke, jelölje ki.

    Képernyőkép az incidenscímkék létrehozásáról az Incidensek kezelése panelen.

    Ha korábban még nem használt címkenevet írt be, jelölje ki a lista utolsó bejegyzését, amely a beírt szöveg, majd az "(Új létrehozása" szöveg.

    Képernyőkép egy incidensre alkalmazandó címke kiválasztásáról az Incidensek kezelése panelen.

    A címke ezután címkeként jelenik meg az Incidenscímkék mezőben. Ismételje meg ezt a lépést további címkék tetszés szerinti hozzáadásához.

    Képernyőkép a kijelölt címke incidenscímkék mezőjében való megjelenéséről.

  3. Válassza a Mentés elemet.

Az incidensek tartalmazhatnak rendszercímkéket és/vagy egyéni címkéket bizonyos színháttérrel. Az egyéni címkék a fehér hátteret, míg a rendszercímkék általában piros vagy fekete háttérszínt használnak. A rendszercímkék az alábbiakat azonosítják egy incidensben:

  • Támadás típusa, például hitelesítő adatok adathalászata vagy BEC-csalás
  • Automatikus műveletek, például automatikus vizsgálat és reagálás és automatikus támadáskimaradás
  • Incidenst kezelő Defender-szakértők
  • Az incidensben érintett kritikus fontosságú eszközök

Tipp

A Microsoft Biztonságikitettség-kezelés előre meghatározott besorolások alapján automatikusan kritikus objektumként címkézi meg az eszközöket, az identitásokat és a felhőbeli erőforrásokat. Ez a beépített képesség biztosítja a szervezet értékes és legfontosabb eszközeinek védelmét. Emellett segít a biztonsági üzemeltetési csapatoknak a vizsgálat és a szervizelés rangsorolásában. Tudjon meg többet a kritikus eszközkezelésről.

Az incidens állapotának módosítása

Az incidensek aktív állapottal kezdődnek. Amikor egy incidensen dolgozik, módosítsa az Állapot beállítástFolyamatban állapotra.

Incidens kivizsgálása és megoldása

Az alábbi felügyeleti feladatok szorosan kapcsolódnak az incidensek vizsgálatához és megoldásához, bár bármikor végrehajthatók.

Incidens megoldása

Egy incidens szervizelése és megoldása esetén a következő műveletekkel rögzíthető a megoldás:

  1. Kövesse a megnyitási szakaszban található utasításokat az Incidens kezelése panel eléréséhez.

  2. Módosítsa az állapotot. Válassza a Feloldva lehetőséget az Állapot legördülő listából. Amikor egy incidens állapotát Feloldva állapotra módosítja, egy új mező jelenik meg közvetlenül az Állapot mező után.

  3. Írjon be egy megjegyzést ebbe a mezőbe, amely elmagyarázza, hogy miért tekinti az incidens megoldásának okát. Ez a megjegyzés látható az incidens tevékenységnaplójában, az incidens feloldását rögzítő bejegyzés közelében.

    Képernyőkép az incidenskezelési panelről az incidensfeloldási megjegyzéssel.

    A megoldási megjegyzés az Incidens részletei panelen is látható az incidensek várólistáján és a megoldott incidens incidensoldalán.

    Képernyőkép a megoldási megjegyzés megjelenéséről az incidens részleteinek paneljén.

  4. Válassza a Mentés elemet.

Az incidensek megoldása az incidenshez kapcsolódó összes csatolt és aktív riasztást is megoldja. A fel nem oldott incidens aktívként jelenik meg.

Az incidens besorolásának megadása

Amikor felold egy incidenst, vagy egy incidens vizsgálatának bármely pontján, amint tudomást szerez arról, hogyan kell besorolni az incidenst, állítsa be ennek megfelelően a Besorolás mezőt.

  1. Kövesse a megnyitási szakaszban található utasításokat az Incidens kezelése panel eléréséhez.

  2. Válassza ki a megfelelő értéket a Besorolás legördülő listából:

    • Nincs beállítva (ez az alapértelmezett beállítás).
    • Valódi pozitív , egy fenyegetéstípussal. Ezt a besorolást olyan incidensekhez használja, amelyek pontosan jelzik a valós fenyegetést. A fenyegetéstípus megadása segít a biztonsági csapatnak a fenyegetési minták megtekintésében, és a szervezet védelmében.
    • Tájékoztató, elvárt tevékenység egy tevékenységtípussal. Az ebben a kategóriában található beállításokkal besorolhatja az incidenseket a biztonsági tesztekhez, a vörös csapattevékenységhez, valamint a megbízható alkalmazásoktól és felhasználóktól elvárt szokatlan viselkedéshez.
    • A tévesen pozitív típusú incidensek figyelmen kívül hagyhatók, mert technikailag pontatlanok vagy félrevezetőek.

    Az alábbi képernyőképen megtekintheti az egyes besorolásokhoz elérhető tevékenységtípusokat és fenyegetéseket.

  3. Válassza a Mentés elemet.

    Képernyőkép az incidensek besorolási lehetőségeiről.

Az incidensek besorolása, valamint állapotuk és típusuk megadása segít a Microsoft Defender finomhangolásában, hogy idővel pontosabb észlelési meghatározást biztosítson.

Megjegyzések hozzáadása incidenshez

A vizsgálat és az incidens során megjegyzésekkel rögzítheti tevékenységeit, megállapításait és következtetéseit.

  1. Nyissa meg az incidens tevékenységnaplóját. Az incidens oldalán vagy az incidenssor oldalán található incidens részletei panelen válassza a jobb felső sarokban található három pontot, majd az eredményként kapott menüben válassza a Tevékenységnapló lehetőséget.

    Képernyőkép az incidens tevékenységnaplójának eléréséről.

  2. Írja be a megjegyzést a szövegmezőbe. A megjegyzésmező támogatja a szöveget és a formázást, a hivatkozásokat és a képeket. Minden megjegyzés legfeljebb 30 000 karakter hosszúságú lehet.

    Képernyőkép arról, hogyan adhat megjegyzést egy incidenshez.

  3. Válassza a Mentés elemet.

Minden megjegyzés hozzá lesz adva az incidens előzményeihez. Az incidensek megjegyzéseit és előzményeit az Összefoglalás lap Megjegyzések és előzmények hivatkozásán tekintheti meg.

Incidensnaplózás és jelentéskészítés

Az alábbi felügyeleti feladatok társíthatók az incidensvizsgálatok naplózásához és jelentéskészítéséhez, bár bármikor végrehajthatók.

Az incidens nevének szerkesztése

Microsoft Defender automatikusan hozzárendel egy nevet olyan riasztási attribútumok alapján, mint az érintett végpontok száma, az érintett felhasználók, az észlelési források vagy a kategóriák. Az incidens neve lehetővé teszi az incidens hatókörének gyors megértését. Például: Többfázisú incidens több, több forrás által jelentett végponton.

Az incidens nevének szerkesztéséhez hajtsa végre a következő lépéseket:

  1. Kövesse a megnyitási szakaszban található utasításokat az Incidens kezelése panel eléréséhez.

  2. Írjon be egy új nevet az Incidens kezelése panel Incidens neve mezőjébe.

  3. Válassza a Mentés elemet.

Megjegyzés:

  • Azok az incidensek, amelyek az automatikus incidenselnevezési funkció bevezetése előtt léteztek, megőrzik a nevüket.

  • Ha egy másik incidenst egy átnevezett incidensbe egyesít, a Defender új nevet ad az incidensnek, felülírva minden korábban megadott egyéni nevet.

Incidens tevékenységnaplójának megtekintése

Amikor egy incidens utómunkát végez, tekintse meg az incidens tevékenységnaplóját , és tekintse meg az incidensen végrehajtott műveletek előzményeit (az úgynevezett "auditokat") és a rögzített megjegyzéseket. Az incidensen végrehajtott összes módosítást, akár egy felhasználó, akár a rendszer rögzíti a tevékenységnaplóban.

  1. Nyissa meg az incidens tevékenységnaplóját. Az incidens oldalán vagy az incidenssor oldalán található incidens részletei panelen válassza a jobb felső sarokban található három pontot, majd az eredményként kapott menüben válassza a Tevékenységnapló lehetőséget.

    Képernyőkép a tevékenységnapló lehetőségről az Microsoft Defender portál incidensoldaláról.

  2. Szűrje a naplóban lévő tevékenységeket megjegyzések és műveletek alapján. Válassza a Tartalom: Naplózás, Megjegyzések lehetőséget, majd válassza ki a tartalomtípust a tevékenységek szűréséhez. Íme egy példa.

    Képernyőkép a Microsoft Defender portál incidensoldaláról a tevékenységnapló panelen található szűrési beállításokról.

  3. Válassza az Alkalmaz lehetőséget.

Saját megjegyzéseket is hozzáadhat a tevékenységnaplóban elérhető megjegyzésmező használatával. A megjegyzésmező szöveget és formázást, hivatkozásokat és képeket fogad el.

Fontos

A cikkben található információk egy része olyan előzetesen kiadott termékre vonatkozik, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal semmilyen, kifejezett vagy vélelmezett jótállást az itt megadott információkra vonatkozóan.

Incidensadatok exportálása PDF-fájlba

Az incidens adatait PDF-be exportálhatja az Incidens exportálása PDF-fájlként funkcióval, és MENTheti PDF formátumban. Ez a függvény lehetővé teszi, hogy a biztonsági csapatok bármikor offline állapotban tekintik át az incidens részleteit.

Az exportált incidensadatok a következő információkat tartalmazzák:

Íme egy példa az exportált PDF-fájlra:

Képernyőkép az exportált PDF első oldaláról.

Ha rendelkezik a Copilot for Security licenccel, az exportált PDF a következő további incidensadatokat tartalmazza:

Az Exportálás PDF-be függvény a Copilot oldalpaneljén is elérhető. Ha a További műveletek három pontot (...) választja az incidensjelentés eredménykártyájának jobb felső sarkában, válassza az Incidens exportálása PDF-ként lehetőséget.

Képernyőkép az incidensjelentés eredménykártyáján található további műveletekről.

A PDF létrehozásához hajtsa végre a következő lépéseket:

  1. Nyisson meg egy incidensoldalt. Válassza a jobb felső sarokban található További műveletek három pontot (...), majd az Incidens exportálása PDF-ként lehetőséget.

    Képernyőkép a További műveletek három pontról az incidens oldalán.

  2. A következő párbeszédpanelen erősítse meg a PDF-fájlban szerepeltetni vagy kizárni kívánt incidensadatokat. Alapértelmezés szerint minden incidensadat ki van jelölve. A folytatáshoz válassza a PDF exportálása lehetőséget.

    Képernyőkép az incidens PDF-be exportálása lehetőségről.

  3. Az incidens címe alatt megjelenik egy állapotüzenet, amely a letöltés aktuális állapotát jelzi. Az exportálási folyamat eltarthat néhány percig az incidens összetettségétől és az exportálandó adatok mennyiségétől függően.

    Képernyőkép az exportálási üzenetről és az állapotról letöltés előtt.

  4. Megjelenik egy másik párbeszédpanel, amely jelzi, hogy a PDF kész. Válassza a Letöltés lehetőséget a párbeszédpanelen a PDF-fájl eszközre mentéséhez. Az incidens címe alatti állapotüzenet is frissül, jelezve, hogy a letöltés elérhető.

    Képernyőkép az exportálási üzenetről és az állapotról, ha a letöltés elérhető.

A jelentés gyorsítótárazása néhány percig tart. A rendszer biztosítja a korábban létrehozott PDF-fájlt, ha rövid időn belül újra megpróbálja exportálni ugyanazt az incidenst. A PDF újabb verziójának létrehozásához várjon néhány percet, amíg a gyorsítótár lejár.

Következő lépések

Új és folyamatban lévő incidensek esetén folytassa az incidens vizsgálatát.

Megoldott incidensek esetén végezze el az incidens utáni felülvizsgálatot.

Lásd még

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.