Просмотр инцидентов и управление ими в Microsoft Defender для бизнеса

По мере обнаружения угроз и срабатывания оповещений создаются инциденты. Команда безопасности вашей компании может просматривать инциденты и управлять ими на портале Microsoft Defender. Для выполнения задач, описанных в этой статье, вам должны быть назначены соответствующие разрешения. См. статью Роли безопасности и разрешения в Microsoft Defender для бизнеса.

Эта статья включает в себя следующее:

Мониторинг инцидентов и оповещений

Чтобы просмотреть инциденты и управлять ими на портале Microsoft Defender, выполните следующие действия.

Важно!

Если вы видите инцидент с меткой Attack disruption, это означает, что обнаружена сложная атака. См . статью Автоматическое прерывание атаки.

  1. На портале Microsoft Defender в области навигации перейдите в раздел "Инциденты и оповещения" и выберите "Инциденты". Все созданные инциденты перечислены на странице.

  2. Выберите оповещение, чтобы открыть его всплывающую панель с дополнительными сведениями.

    Снимок экрана с выбранным инцидентом и открытой выдвижной панелью

  3. Во всплывающей области можно выполнить следующие задачи:

    • См. заголовок оповещения.
    • Просмотрите список затронутых ресурсов (например, устройств или учетных записей пользователей).
    • Выполните доступные действия.
    • Используйте ссылки, чтобы просмотреть дополнительные сведения и даже открыть страницу сведений о выбранном оповещении.

Совет

Defender для бизнеса помогает устранять обнаруженные угрозы, рекомендуя действия, которые можно предпринять. Просматривая предупреждение, обратите внимание на следующие рекомендации. Серьезность оповещения определяется уровнем серьезности обнаруженных угроз и уровнем риска для вашей компании.

Серьезность оповещений

При обнаружении угрозы каждому создаваемому оповещению назначается уровень серьезности.

  • Microsoft Defender Антивирусная программа назначает уровень серьезности оповещений на основе абсолютной серьезности обнаруженной угрозы (например, вредоносных программ) и потенциального риска для отдельного устройства (в случае заражения).
  • Defender для бизнеса назначает уровень серьезности оповещений на основе следующих факторов:
    • Серьезность обнаруженного поведения.
    • Фактический риск для устройства.
    • Потенциальный риск для вашей компании.

В следующей таблице приведено несколько примеров оповещений и их уровней серьезности.

Сценарий Серьезность и причина оповещений
Автоматическое прерывание атаки обнаруживает расширенную атаку и содержит устройства или учетные записи пользователей, чтобы предотвратить атаку. Высокая. Возможности нарушения атак помогают сдержать атаку, чтобы ваша ИТ-отдел или команда безопасности могла устранить ее.
Microsoft Defender антивирусная программа обнаруживает и останавливает угрозу, прежде чем она нанесет какой-либо ущерб. Информационный. Угроза была остановлена до того, как был нанесен какой-либо ущерб.
Microsoft Defender антивирусная программа обнаруживает вредоносные программы, выполняемые в вашей компании. Вредоносная программа останавливается и устраняется. Низкий. Хотя некоторые повреждения могут произойти на отдельном устройстве, вредоносная программа больше не представляет угрозы для вашей компании.
Defender для бизнеса обнаруживает активные вредоносные программы. Вредоносная программа блокируется почти сразу. Средний или высокий. Вредоносная программа представляет угрозу для отдельных устройств и вашей компании.
Подозрительное поведение обнаруживается, но действия по исправлению пока не выполняются. Низкий, Средний или Высокий. Серьезность зависит от степени, в которой поведение представляет угрозу для вашей компании.

Дальнейшие действия

Дополнительные рекомендации см. в следующих статьях: