Управление инцидентами Microsoft Defender для конечной точки
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender XDR
Хотите попробовать Microsoft Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
Управление инцидентами является важной частью каждой операции кибербезопасности. Вы можете управлять инцидентами, выбрав инцидент в очереди Инциденты или в области Управление инцидентами.
При выборе инцидента в очереди Инциденты откроется панель Управление инцидентами , где можно открыть страницу инцидента для получения дополнительных сведений.
Вы можете назначать инциденты себе, изменять состояние и классификацию, переименовывать или комментировать их, чтобы отслеживать ход их выполнения.
Совет
Чтобы быстро получить дополнительную видимость, имена инцидентов автоматически создаются на основе атрибутов оповещений, таких как количество затронутых конечных точек, затронутых пользователей, источников обнаружения или категорий. Это позволяет вам быстро понять область инцидента.
Например: многоэтапный инцидент на нескольких конечных точках, сообщаемых несколькими источниками.
Инциденты, существовавшие до развертывания автоматического именования инцидентов, сохраняют свои имена.
Назначение инцидентов
Если инцидент еще не назначен, можно выбрать Назначить мне , чтобы назначить инцидент себе. При этом передается не только владение инцидентом, но и все связанные с ним оповещения.
Установка статуса и классификации
Статус инцидента
Инциденты можно распределять по категориям (например, Активно или Устранено), изменяя его статус в ходе расследования. Это помогает организовать обработку инцидентов вашей группой и управлять ею.
Например, аналитик SOC может просмотреть срочные активные инциденты за день и решить назначить их себе для расследования.
Кроме того, аналитик SOC может присвоить инциденту значение Устранено , если инцидент был исправлен.
Классификация
Можно не задавать классификацию, а также указать, будет ли инцидент истинным или ложным. Это поможет заметить закономерности в инцидентах и изучить их.
Добавление примечаний
К инциденту можно добавить комментарии, а также просмотреть историю связанных с ним событий, чтобы узнать об изменениях, ранее внесенных в него.
Каждый раз, когда в оповещение вносится изменение или комментарий, оно записывается в разделе Примечания и журнал.
Добавленные комментарии сразу же появляются в соответствующей области.
Статьи по теме
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.