Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Управление инцидентами имеет решающее значение для обеспечения имен, назначений и тегов инцидентов, чтобы оптимизировать время в рабочем процессе инцидентов и быстрее содержать и устранять угрозы.
Чтобы управлять инцидентами на портале Microsoft Defender, используйте быстрый запуск и перейдите в раздел "Расследование и реагирование > на инциденты и оповещения > об инцидентах".
В этой статье показано, как выполнять различные задачи по управлению инцидентами, связанные с различными этапами жизненного цикла инцидента.
Чтобы открыть инцидент или оповещение по запросу для исследования или рабочего рабочего процесса, см. статью "Вручную создать инцидент или оповещение" в Microsoft Defender.
- Назначение инцидента владельцу
- Назначение или изменение серьезности
- Добавление тегов инцидента
- Изменение состояния инцидента
Исследование и устранение инцидентов:
Ведение журнала инцидентов и создание отчетов:
- Измените имя инцидента.
- Оцените аудит действий и добавьте комментарии в журнал действий.
- Создайте сводку по исследованию и анализу инцидентов.
- Экспорт данных об инцидентах в PDF-файл.
Совет
В течение января и июля каждого года в течение ограниченного времени отображается серия карточек Defender Boxed, демонстрирующих успехи в области безопасности, улучшения и действия по реагированию в вашей организации за последние шесть месяцев в год. Узнайте, как можно поделиться яркими моментами Defender Boxed.
Доступ к области "Управление инцидентами "
Большинство из этих задач доступны на панели Управление инцидентом для инцидента. Перейти к этой панели можно из нескольких мест.
Выберите Инциденты и оповещения > Инциденты на панели быстрого запуска портала Microsoft Defender.
Чтобы получить доступ к области Управление инцидентами из очереди инцидентов, выберите поле проверка инцидента и выберите Управление инцидентами на панели инструментов над фильтрами. Управляйте несколькими инцидентами одновременно, установив несколько флажков.
Кроме того, можно выбрать строку инцидента (без выбора имени инцидента), чтобы появилась область сведений об инциденте, и выбрать Управление инцидентом в области сведений об инциденте.
Рассмотрение инцидента
Следующие задачи управления тесно связаны с рассмотрением инцидентов, хотя их можно выполнить в любое время.
- Назначение инцидента владельцу
- Назначение или изменение серьезности
- Добавление тегов инцидента
- Изменение состояния инцидента
Назначение инцидента владельцу
По умолчанию новые инциденты создаются без владельца. В идеале команда SecOps должна иметь механизмы и процедуры для автоматического назначения инцидентов владельцам. Может потребоваться переназначить инцидент в случае эскалации или ошибочного первоначального назначения.
Назначьте владельца на панели инцидента
Чтобы вручную назначить нового владельца для инцидента, выполните следующие действия:
Следуйте инструкциям в открываемом разделе, чтобы получить доступ к панели "Управление инцидентами".
Установите флажок Назначить . Откроется раскрывающийся список предложенных назначаемых.
Если отображается учетная запись пользователя или группы, которой вы хотите назначить инцидент, выберите ее.
В противном случае начните вводить имя или идентификатор учетной записи нужного пользователя или группы в текстовом поле в верхней части списка. Список динамически обновляется, отфильтровывая по вводимым значениям. Когда вы увидите нужного пользователя или группу, выберите их.
Чтобы удалить существующее назначение, включая только что добавленное, щелкните X рядом с именем учетной записи. Затем выберите поле Назначить , если вы хотите добавить другое назначение.
Инциденту может быть назначена только одна учетная запись пользователя или группы.
Выберите Сохранить.
Назначение владения инцидентом назначает одинаковое владение всем оповещениям, связанным с инцидентом.
Просмотр инцидентов, назначенных конкретному владельцу
Чтобы просмотреть список инцидентов, назначенных конкретному пользователю или группе, отфильтруйте очередь инцидентов:
В очереди инцидентов выберите фильтр Назначение инцидентов . Откроется раскрывающийся список предложенных назначаемых.
Если в списке фильтров не отображается назначение инцидентов , выберите Добавить фильтр, выберите Назначение инцидента в раскрывающемся списке и нажмите кнопку Добавить.
Если отображается учетная запись пользователя, назначенные инциденты которого вы хотите отобразить, выберите ее.
В противном случае начните вводить имя или идентификатор учетной записи нужного пользователя или группы в текстовом поле в верхней части списка. Список динамически обновляется, отфильтровывая по вводимым значениям. Когда вы увидите нужного пользователя или группу, выберите их.
В отличие от инцидентов назначения, здесь можно выбрать более одного назначенного, чтобы отфильтровать список. Чтобы добавить в фильтр другую учетную запись пользователя или группы, выберите текстовое поле (рядом с существующей учетной записью в фильтре), и снова появится список предложенных назначаемых лиц.
Нажмите Применить.
Чтобы сохранить ссылку на очередь инцидентов с примененными текущими фильтрами, выберите Копировать ссылку списка на панели инструментов на странице очереди инцидентов. Создайте ярлык в избранном или на рабочем столе и вставьте в него ссылку.
Назначить или изменить уровень серьезности инцидента
Серьезность инцидента устанавливается на самый высокий уровень серьезности оповещений, связанных с инцидентом. Серьезность инцидента может быть установлена на высокий, средний, низкий или информационный.
Чтобы вручную назначить или изменить серьезность инцидента, выполните следующие действия.
Следуйте инструкциям в открываемом разделе, чтобы получить доступ к панели "Управление инцидентами".
Выберите значение серьезности, которое нужно применить, в раскрывающемся списке Серьезность на панели Управление инцидентом .
Выберите Сохранить.
Добавление тегов инцидента
Пользовательские теги добавляют сведения, чтобы придать контекст инциденту. Например, тег может помечать группу инцидентов общей характеристикой. Теги — это критерий для фильтрации, поэтому позже вы сможете фильтровать очередь инцидентов по всем инцидентам, содержащим определенный тег. Чтобы применить тег к инциденту, выполните указанные действия.
Следуйте инструкциям в открываемом разделе, чтобы получить доступ к панели "Управление инцидентами".
В поле Теги инцидента начните вводить имя тега, который требуется применить. По мере ввода отображается список ранее использованных и выбранных тегов. Если в списке отображается тег, который нужно применить, выберите его.
Если вы вводите имя тега, которое никогда не использовалось ранее, выберите последнюю запись в списке, которая является текстом, который вы ввели, а затем "(Create new)."
Затем тег отображается в виде метки в поле Теги инцидента. Повторите этот шаг, чтобы добавить дополнительные теги по мере необходимости.
Выберите Сохранить.
Инцидент может иметь системные теги и (или) пользовательские теги с определенным цветовым фоном. Пользовательские теги используют белый фон, а системные теги обычно используют красный или черный цвет фона. Системные теги указывают следующие сведения:
- Тип атаки, например фишинг учетных данных или мошенничество BEC
- Автоматические действия, такие как автоматическое исследование и реагирование, а также автоматическое нарушение атак
- Defender Experts, обрабатывающие инцидент
- Критически важные ресурсы , участвующие в инциденте
Совет
Система управления рисками безопасности Microsoft, основанная на предопределенных классификациях, автоматически помечает устройства, учетные записи и облачные ресурсы как критически важный актив. Эта возможность обеспечивает защиту ценных и наиболее важных ресурсов организации. Это также помогает группам по обеспечению безопасности определять приоритеты для исследования и исправления. Узнайте больше об управлении критически важными ресурсами.
Изменение состояния инцидента
Инциденты начинаются с состояния "Активный". При работе с инцидентом измените состояние на Выполняется.
Исследование и разрешение инцидентов
Следующие задачи управления тесно связаны с исследованием и разрешением инцидентов, хотя их можно выполнять в любое время.
Разрешение инцидента
При исправлении и разрешении инцидента выполните следующие действия, чтобы записать решение.
Следуйте инструкциям в открываемом разделе, чтобы получить доступ к панели "Управление инцидентами".
Измените состояние. Выберите Решено в раскрывающемся списке Состояние. При изменении состояния инцидента на Разрешено сразу после поля Состояние отображается новое поле.
Введите в это поле примечание, объясняющее, почему инцидент считается разрешенным. Это примечание отображается в журнале действий инцидента рядом с записью, записывающей разрешение инцидента.
Примечание о разрешении также отображается на панели Сведений об инциденте как на странице очереди инцидентов, так и на странице инцидента разрешенного инцидента.
Выберите Сохранить.
При разрешении инцидента также разрешаются все связанные и активные оповещения, связанные с инцидентом. Инцидент, который не разрешен, отображается как активный.
Указание классификации инцидента
При разрешении инцидента или на любом этапе расследования инцидента, как только вы узнаете, как следует классифицировать инцидент, задайте соответствующее поле Классификация .
Следуйте инструкциям в открываемом разделе, чтобы получить доступ к панели "Управление инцидентами".
Выберите соответствующее значение в раскрывающемся списке Классификация :
- Не задано (значение по умолчанию).
- Истинно-положительный результат с указанием типа угрозы. Используйте эту классификацию для инцидентов, которые точно указывают на реальную угрозу. Указание типа угрозы помогает команде безопасности обнаруживать шаблоны угроз и защищать организацию от них.
- Информационное, ожидаемое действие с типом активности. Используйте параметры категории Информационные, ожидаемые действия, чтобы классифицировать инциденты, связанные с тестами безопасности, действиями красной команды и ожидаемым необычным поведением доверенных приложений и пользователей.
- Ложноположительный результат для типов инцидентов, которые, по определению, можно игнорировать, так как они технически неточные или вводят в заблуждение.
В раскрывающемся списке классификации показаны доступные типы действий и угроз для каждой классификации.
Выберите Сохранить.
Классификация инцидентов и указание их состояния и типа помогает настроить Microsoft Defender, чтобы обеспечить более точное определение обнаружения с течением времени.
Добавление комментариев к инциденту
В ходе расследования и инцидента добавьте комментарии для записи действий, аналитических сведений и выводов.
Откройте журнал действий инцидента: на странице инцидента или на панели сведений об инциденте на странице очереди инцидентов выберите три точки в правом верхнем углу и в открывающемся меню выберите Действия.
Выберите Добавить комментарий в верхней части области Действия. Введите комментарий в текстовое поле. Поле комментария поддерживает текст и форматирование, ссылки и изображения. Каждый комментарий ограничен 30 000 символами.
Выберите Сохранить.
Все комментарии добавляются к историческим событиям инцидента. Примечания и журнал инцидента можно просмотреть по ссылке Примечания и журнал на странице Сводка .
Ведение журнала инцидентов и создание отчетов
Следующие задачи управления могут быть связаны с аудитом и отчетностью по расследованиям инцидентов, хотя они могут выполняться в любое время.
- Изменение имени инцидента
- Оценка аудита действий и добавление комментариев в журнал действий
- Экспорт данных об инцидентах в PDF-файл
Изменение имени инцидента
Microsoft Defender автоматически назначает имя на основе атрибутов оповещений, таких как количество затронутых конечных точек, затронутых пользователей, источников обнаружения или категорий. Имя инцидента позволяет быстро понять область инцидента. Например: многоэтапный инцидент на нескольких конечных точках, сообщаемых несколькими источниками.
Чтобы изменить имя инцидента, выполните следующие действия.
Следуйте инструкциям в открываемом разделе, чтобы получить доступ к панели "Управление инцидентами".
Введите новое имя в поле Имя инцидента на панели Управление инцидентом .
Выберите Сохранить.
Примечание.
Инциденты, существовавшие до развертывания функции автоматического именования инцидентов, сохраняют свои имена.
Если другой инцидент объединяется в переименованный инцидент, Defender присваивает инциденту новое имя, перезаписав любое пользовательское имя, присвоенное ему заранее.
Просмотр журнала действий инцидента
При разборе инцидента просмотрите журнал активности инцидента, чтобы увидеть историю действий, выполненных по инциденту (так называемые «записи аудита»), а также все записанные комментарии. Все изменения, внесенные в инцидент, будь то пользователь или система, записываются в журнал действий. Чтобы получить более подробное представление всех действий, перейдите на вкладку "Действия " на странице инцидента.
Открытие журнала действий инцидента
Чтобы открыть журнал действий инцидента, выполните следующие действия.
На странице инцидента или на панели сведений об инциденте на странице очереди инцидента выберите три точки в правом верхнем углу и в открывающемся меню выберите Действия.
Действия в журнале можно отфильтровать по источнику, категории, поставщику, триггеру, статусу действия, статусу политики, типу, имени целевого объекта, типу целевого объекта или пользователю, выполнившему действие. Перейдите в раздел Добавить фильтр, выберите нужные фильтры и нажмите кнопку Добавить.
Перейдите в раскрывающийся список каждого фильтра, выберите критерии фильтра и нажмите кнопку Применить.
Вы также можете добавить собственные примечания , выбрав Добавить комментарий в верхней части панели Действия. Поле примечания принимает текст и форматирование, ссылки и изображения.
Заметки аналитика, созданные ИИ
Завершив расследование инцидента, можно создать автоматическую сводку и анализ исследования.
Анализ включает в себя такие сведения, как:
- Краткий обзор инцидента и процесса расследования, включая действия и мероприятия, выполненные аналитиком.
- Подробный пошаговый журнал и запросы KQL, выполняемые в ходе расследования.
Используйте созданные аналитические заметки для обучения новых аналитиков, проведения аудита, поддержки расследований, передачи работы товарищам по команде или передачи моделей и инструментов ИИ.
Предварительные требования для создания заметок аналитика
Чтобы создать заметки аналитика, убедитесь, что выполнены следующие предварительные требования:
Заметки аналитика включены для вашего клиента. Администратор безопасности может включить заметки аналитика, выполнив следующие действия.
- На портале Microsoft Defender перейдите враздел Параметры>.
- Выберите Microsoft Defender XDR
- Открытие дополнительных функций
- Найдите функцию "Согласие на заметки аналитика " и переключите ее в значение Вкл.
лицензия Security Copilot
У вас есть одно из следующих разрешений (RBAC).
- Чтение данных безопасности
- Управление данными безопасности
Создание заметок аналитика
Чтобы создать аналитические заметки после завершения исследования, сделайте следующее:
На странице инцидента перейдите к трем точкам в правом верхнем углу и выберите Создать заметки аналитика.
Баннер отображается с датой и временем начала создания аналитических заметок. Процесс подготовки может занять до 20 минут. Вы можете покинуть страницу и продолжить работу в другом месте. По завершении вы получите уведомление.
На вкладке Действия в журнале действий появилась новая строка, указывающая на то, что генерация выполняется. Чтобы увидеть его, может потребоваться обновить экран. Выберите строку, чтобы открыть боковую панель со статусом генерации. При необходимости можно остановить создание заметок аналитика, нажав кнопку "Остановить создание".
Когда создание завершится, перейдите на вкладку Действия . Заметки аналитика отображаются в виде новой строки в журнале действий. Строка содержит дату и время создания заметок, а также сведения о том, кто их создал.
Выберите строку, чтобы открыть боковую панель с созданными заметками аналитика.
Сгенерированный лог содержит дисклеймер о том, что он был создан ИИ. Выберите Изменить созданное содержимое Copilot , чтобы просмотреть и изменить заметки по мере необходимости. При сохранении измененных заметок заявление об отказе удаляется.
Вы также можете оставить отзыв о созданных заметках, чтобы улучшить эту функцию.
- Просматривать и редактировать их могут только пользователи с теми же разрешениями и областью действия, которые аналитик, создавший заметки.
Экспорт данных об инцидентах в PDF-файл
Данные инцидента можно экспортировать в PDF с помощью функции Экспорт инцидента в формате PDF и сохранить их в формате PDF. Эта функция позволяет группам безопасности просматривать сведения об инциденте в автономном режиме в любой момент времени.
Экспортированные данные об инцидентах содержат следующие сведения:
- Обзор, содержащий сведения об инциденте
- Граф истории атак и категории угроз
- Затронутые ресурсы, охватывающие до 10 ресурсов для каждого типа активов
- Список доказательств, охватывающий до 100 элементов
- Вспомогательные данные, включая все связанные оповещения и действия, записанные в журнале действий
Ниже приведен пример экспортированного PDF-файла:
Если у вас есть лицензия Copilot for Security , экспортируемый PDF-файл также содержит следующие данные об инцидентах:
Функция экспорта в PDF также доступна на боковой панели Copilot. Если нажать на многоточие (...) Дополнительные действия в правом верхнем углу карточки результатов отчета об инциденте, можно выбрать Экспортировать инцидент в PDF.
Чтобы создать PDF-файл, выполните следующие действия.
Откройте страницу инцидента. Нажмите многоточие Другие действия (...) в правом верхнем углу и выберите Экспорт инцидента в PDF.
В появившемся диалоговом окне подтвердите сведения об инциденте, которые нужно включить или исключить в PDF-файл. Все сведения об инциденте выбраны по умолчанию. Выберите Экспорт PDF , чтобы продолжить.
Под заголовком инцидента отображается сообщение о состоянии, указывающее текущее состояние загрузки. Процесс экспорта может занять несколько минут в зависимости от сложности инцидента и объема экспортируемых данных.
Появится другое диалоговое окно, указывающее, что PDF-файл готов. Выберите Скачать в диалоговом окне, чтобы сохранить PDF-файл на устройстве. Сообщение о состоянии под заголовком инцидента также обновляется, чтобы указать, что скачивание доступно.
Отчет кэшируется в течение нескольких минут. Система предоставляет ранее созданный PDF-файл, если вы попытаетесь экспортировать тот же инцидент еще раз в течение короткого промежутка времени. Чтобы создать более новую версию PDF-файла, подождите несколько минут, пока срок действия кэша не истечет.
Настройте уведомления по электронной почте для инцидентов
Вы можете настроить портал Microsoft Defender, чтобы уведомить сотрудников по электронной почте о новых инцидентах или обновлениях существующих инцидентов. Вы можете получать уведомления на основе:
- Серьезность оповещений
- Источники оповещений
- Группа устройств
Сведения о настройке Уведомления по электронной почте для инцидентов см. в статье Получение Уведомления по электронной почте об инцидентах.
Дальнейшие действия
Для новых и внутрипроцессных инцидентов продолжайте расследование инцидентов.
Для разрешенных инцидентов выполните проверку после инцидента.
См. также
Совет
Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.