Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für:
- Microsoft Defender Experts for XDR
- Microsoft Defender Experts für Server
Anweisungen zu Defender Experts for XDR Berichten finden Sie in diesem kurzen Video.
Microsoft Defender Experts for XDR enthält einen interaktiven On-Demand-Bericht, der eine klare Zusammenfassung der Arbeit bietet, die unsere erfahrenen Analysten in Ihrem Namen ausführen, aggregierte Informationen zu Ihrer Incidentlandschaft und präzise Details zu bestimmten Vorfällen. Ihr Service Delivery Manager (SDM) verwendet den Bericht auch, um Ihnen während einer monatlichen Geschäftsüberprüfung mehr Kontext in Bezug auf den Dienst bereitzustellen.
Der Bericht soll mehr Erkenntnisse zu den Vorfällen liefern, die unsere Experten in Ihrer Umgebung in Echtzeit oder während eines bestimmten Zeitraums untersucht und gelöst haben. Um den Bericht in Ihrem Microsoft Defender-Portal anzuzeigen, wechseln Sie zu Berichte, und wählen Sie Defender Experts>XDR-Bericht aus. Sie ist in zwei Abschnitte unterteilt:
Berichtsübersicht: Schnelles Verstehen der untersuchten Vorfälle
Auf der Registerkarte Berichtsübersicht erhalten Sie eine Übersicht über die Arten von Vorfällen, die wir in Ihrer Umgebung in den letzten 30 Tagen behoben haben, und bietet Ihnen Transparenz bei unseren Vorgängen. Sie können auch einen benutzerdefinierten Datumsbereich unter Anzeigen von Ergebnissen für auswählen, um ausführliche Informationen zu Incidents während eines bestimmten Zeitraums zu erhalten.
Behobene Vorfälle
Im oberen Abschnitt der Berichtsübersicht wird der Prozentsatz der behobenen Incidents angezeigt. Der Bericht enthält auch die folgenden Abbildungen:
- Untersuchte Incidents : Die Anzahl der aktiven Bedrohungen und anderen Vorfälle aus Ihrer Incidentwarteschlange, die wir selektieren, untersuchen oder derzeit im Rahmen unseres Bereichs untersuchen.
- Behobene Vorfälle : Die Gesamtzahl der untersuchten Vorfälle, die geschlossen wurden.
- Direkt gelöst : Die Anzahl der untersuchten Vorfälle, die wir direkt in Ihrem Namen geschlossen haben.
- Mit Ihrer Hilfe behoben : Die Anzahl der untersuchten Vorfälle, die aufgrund Ihrer Aktion für eine oder mehrere verwaltete Antwortaufgaben behoben wurden.
- Drittanbieter angereichert : Die Anzahl der Vorfälle, die mit Netzwerksignalen von Drittanbietern angereichert wurden. Diese Daten sind verfügbar, wenn Sie für die Netzwerkanreicherung eines Drittanbieters registriert sind.
Durchschnittliche Zeit zum Beheben von Vorfällen
Im Abschnitt Durchschnittliche Zeit zum Beheben von Vorfällen wird ein Balkendiagramm der durchschnittlichen Zeit in Minuten angezeigt, die unsere Experten für die Untersuchung und Das Schließen von Vorfällen in Ihrer Umgebung aufgewendet haben, sowie der durchschnittlichen Zeit, die Sie mit der Durchführung der erforderlichen verwalteten Reaktionsaktionen verbracht haben.
Incidents nach Schweregrad, Kategorie und Dienstquelle
In den Abschnitten Incidents nach Schweregrad, Incidents nach Kategorie und Incidents nach Dienstquelle werden aufgelöste Vorfälle nach Schweregrad, Angriffstechnik und Quelle des Microsoft-Sicherheitsdiensts aufgeschlüsselt. In diesen Abschnitten können Sie potenzielle Angriffspunkte und Arten von Bedrohungen identifizieren, die in Ihrer Umgebung erkannt werden, deren Auswirkungen bewerten und Strategien entwickeln, um sie zu mindern und zu verhindern. Wählen Sie Ausgewählte Incidents anzeigen aus, um eine gefilterte Ansicht der Incidentwarteschlange basierend auf den Auswahlen zu erhalten, die Sie in den einzelnen Abschnitten getroffen haben.
Am stärksten betroffenen Ressourcen
Im Abschnitt Am stärksten betroffene Ressourcen werden die Benutzer und Geräte in Ihrer Umgebung angezeigt, die während des ausgewählten Datumsbereichs an der meisten Anzahl von Vorfällen beteiligt waren. Sie können die Anzahl der Incidents anzeigen, an denen jede Ressource beteiligt war. Wählen Sie ein Medienobjekt aus, um eine gefilterte Ansicht der Incidentwarteschlange basierend auf den Vorfällen zu erhalten, die das genannte Medienobjekt enthalten.
Durch MITRE-Taktiken behobene Vorfälle
Der Abschnitt Incidents, die von MITRE-Taktiken gelöst wurden , zeigt die Gesamtzahl der untersuchten Und gelösten wahr positiven Vorfälle, kategorisiert nach den zugehörigen Bedrohungstaktiken. Diese Bedrohungstaktiken basieren auf dem MITRE ATT&CK-Angriffsframework und können Ihnen helfen, zu visualisieren, was die Vorfälle in den einzelnen Angriffsphasen zu erreichen versucht haben, sodass Sie die entsprechenden Entschärfungsaktionen planen können.
Standardmäßig werden in diesem Abschnitt alle Taktikkategorien angezeigt, unabhängig davon, ob ihnen Incidents zugeordnet sind. Um nur die Taktiken mit verwandten Vorfällen anzuzeigen, deaktivieren Sie die Schaltfläche Alle Taktiken anzeigen .
Nach Schweregrad und Kategorie behobene Vorfälle
Im Abschnitt Nach Schweregrad und Kategorie behobene Vorfälle wird ein Balkendiagramm angezeigt, in dem die insgesamt aufgelösten Vorfälle nach den entsprechenden Schweregraden und Bedrohungskategorien aufgeschlüsselt angezeigt werden.
Standardmäßig werden in diesem Abschnitt Daten aus allen aufgelösten Incidenttypen (true positive, false positive und informational) angezeigt. Sie können die Ergebnisse nach diesen verschiedenen Incidenttypen filtern, indem Sie die entsprechenden Optionen im Dropdownfeld Incidenttyp auswählen auswählen.
Incidents, die Ihre Aktion erforderten
Der Abschnitt Incidents, die Ihre Aktion erforderten, zeigt die Anzahl der Vorfälle an, die von unseren Experten untersucht wurden, aber weitere Aktionen von Ihrem Team im Rahmen einer oder mehrerer verwalteter Reaktionsaufgaben erforderten. Es fasst die Anzahl der Aktionen zusammen, die Sie abgeschlossen, als ausstehend markiert, übersprungen oder ausgeführt haben, aber fehlgeschlagen sind. Außerdem wird ein Balkendiagramm dieser Vorfälle basierend auf ihrem Schweregrad angezeigt.
In diesem Abschnitt wird auch eine Tabelle mit einer Liste von Incidenttiteln und dem entsprechenden Schweregrad, der Anzahl der erforderlichen Aktionen und der status dieser Aktionen angezeigt. Sie können Incidents nach Schweregrad und Status sortieren und filtern, um sie besser zu verwalten. Wenn Sie einen Incidenttitel auswählen, wird die entsprechende Incidentseite geöffnet, auf der Sie dann die erforderlichen verwalteten Reaktionsaktionen ausführen können.
Trends: Anzeigen von Incidentmustern und Reaktionseffizienz, um fundierte Entscheidungen zu treffen
Auf der Registerkarte "Trends " des Berichts finden Sie das monatliche Volumen der untersuchten und behobenen Vorfälle der letzten sechs Monate, die entsprechend dem Schweregrad der Vorfälle, der MITRE-Taktik und dem Bedrohungstyp visualisiert sind. Der Abschnitt "Trends" gibt Ihnen einen Einblick, wie Defender-Experten Ihre Sicherheitsvorgänge spürbar verbessern, indem sie wichtige operative Metriken auf Monatsbasis anzeigen.
Die Visualisierungen werden jeweils in den Abschnitten Incidents nach Schweregrad, Incidents nach MITRE-Taktik und Incidents nach Klassifizierung angezeigt. Für jeden Abschnitt können Sie Daten nach den verschiedenen Incidenttypen (wahr positiv, falsch positiv und informativ) filtern, indem Sie die entsprechenden Optionen im Dropdownfeld Incidenttyp auswählen auswählen. Die Abschnitte Incidents by severity (Vorfälle nach Schweregrad ) und Incidents by MITRE (Incidents by MITRE) enthalten auch die Schaltfläche Ausgewählte Vorfälle anzeigen , die Sie auswählen können, um eine gefilterte Ansicht der Incidentwarteschlange basierend auf den Auswahlen zu erhalten, die Sie in den einzelnen Abschnitten getroffen haben.
Die Registerkarte Trends enthält auch das Widget "Vervollständigung und Effizienz der verwalteten Antwortaufgabe ", das das monatliche Volumen der verwalteten Antwortaufgaben anzeigt, die Ihr Team jeden Monat abgeschlossen hat, zusammen mit dem Median der Zeit, die Ihr Team benötigt hat, um diese Aufgaben auszuführen. Dieses Widget hilft dabei, Spitzen der Reaktionseffizienz und -effizienz Ihres Teams zu identifizieren, was immer wichtiger wird, da Angreifer die Zeit zwischen dem ersten Zugriff und der lateralen Bewegung weiter verkürzen.
Siehe auch
- Erste Schritte mit Microsoft Defender Experts for XDR
- Verwaltete Erkennung und Reaktion
- Kommunikation mit Experten im Microsoft Defender Experts for XDR Service
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.