通过

在Microsoft Defender门户中确定事件的优先级

  • 适用于: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Defender门户应用相关分析,并将不同产品的相关警报和自动调查聚合到事件中。 Microsoft Sentinel和Defender XDR还会针对只能识别为恶意的活动触发唯一警报,前提是在整个产品套件的统一平台中具有端到端可见性。 此视图为安全分析师提供了更广泛的攻击案例,帮助他们更好地了解和处理整个组织的复杂威胁。

重要

Microsoft Sentinel在 Microsoft Defender 门户中正式发布,无论是否具有Microsoft Defender XDR或 E5 许可证。 有关详细信息,请参阅 Microsoft Defender 门户中的Microsoft Sentinel

事件队列

事件队列显示跨设备、用户、邮箱和其他资源创建的事件队列。 它可帮助你对事件进行会审、确定优先级并创建明智的网络安全响应决策。

在快速启动Microsoft Defender门户的事件 & 警报>事件中找到事件队列。

选择“最近的事件和警报”,切换过去 24 小时内收到的警报数和创建的事件数的时间线图表。

24 小时事件图的屏幕截图。

事件队列包括 Defender 队列助手,可帮助安全团队减少大量事件,并专注于最重要的事件。 使用机器学习优先级算法,队列助手可显示优先级最高的事件,解释优先顺序背后的原因,并提供用于对事件队列进行排序和筛选的直观工具。 该算法针对所有警报运行,Microsoft本机警报、自定义检测或第三方信号。 该算法根据真实的匿名数据进行训练,并在计算优先级分数时考虑以下数据点:

  • 攻击中断信号
  • 威胁分析
  • Severity
  • 信 噪 比
  • MITRE 技术
  • 资产关键性
  • 警报类型和稀有性
  • 高调威胁,例如勒索软件和国家/州攻击。

自动为事件分配从 0 到 100 的优先级分数,最高优先级为 100。 分数范围采用颜色编码,如下所示:

  • 红色:最高优先级 (得分 > 85)
  • 橙色:中等优先级 (15-85)
  • 灰色:低优先级 (<15)

Microsoft Defender门户中“事件”队列的屏幕截图。

选择事件名称以外的任意位置的事件行,以显示包含有关事件的关键信息的摘要窗格。 窗格包括优先级评估、影响优先级分数的因素、事件的详细信息、建议的作和相关威胁。 使用窗格顶部的向上和向下箭头导航到事件队列中的上一个或下一个事件。 有关调查事件的详细信息,请参阅 调查事件

在Microsoft Defender门户中选择事件

默认情况下,事件队列显示上周创建的事件。 通过选择队列上方的时间选择器下拉列表,选择不同的时间范围。

事件队列的时间选择器的屏幕截图。

队列中的 事件总数 显示在时间选择器旁边。 事件数因使用的筛选器而异。 可以按名称或事件 ID 搜索事件

选择“ 自定义列 ”以选择队列中显示的列。 选中或取消选中要在事件队列中看到的列。 通过向上和向下拖动列来排列列的顺序。

事件页筛选器和列控件的屏幕截图。

使用“ 导出 ”按钮可将事件队列中筛选的数据导出到 CSV 文件。 可导出到 CSV 文件的最大记录数为 10,000。

事件名称

为了一目了然,Microsoft Defender XDR会根据警报属性(例如受影响的终结点数、受影响的用户、检测源或类别)自动生成事件名称。 通过此特定命名,可以快速了解事件的范围。

例如: 多个源报告的多个终结点上的多阶段事件。

如果已将Microsoft Sentinel载入 Defender 门户,则来自Microsoft Sentinel的任何警报和事件的名称都可能会 (更改,而不管这些警报和事件是在载入) 之前还是之后创建的。

建议避免使用事件名称作为触发 自动化规则的条件。 如果事件名称是条件,并且事件名称发生更改,则不会触发规则。

过滤 器

事件队列还提供了多个筛选选项,应用后,可以广泛扫描环境中的所有现有事件,或决定专注于特定方案或威胁。 在事件队列中应用筛选器可帮助确定需要立即关注的事件。

事件队列筛选器列表。

事件队列上方的 “筛选器” 列表显示当前应用于队列的当前筛选器。 选择“ 添加筛选器” 以应用更多筛选器以限制显示的事件集。

Microsoft Defender门户中事件队列的“筛选器”窗格。

选择要使用的筛选器,然后选择“ 添加”。 所选筛选器与现有应用筛选器一起显示。 选择新筛选器以指定其条件。 例如,如果选择了“服务/检测源”筛选器,请选择该筛选器以选择要筛选列表的源。

可以通过在筛选器列表中选择筛选器名称上的 X 来删除筛选器。

下表列出了可用的筛选器。

筛选器名称 说明/条件
状态 选择 “新建”、“ 正在进行”或“ 已解决”。
警报严重性
事件严重性		 警报或事件的严重性表明它可能会对资产产生的影响。 严重性越高,影响就越大,通常需要最直接的关注。 选择“高”、“”、“”或“信息”。
事件分配 选择分配的用户。
多个服务源 指定筛选器是否适用于多个服务源。
服务/检测源 指定包含以下一项或多项警报的事件:
  • Microsoft Defender for Identity
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Endpoint
  • Microsoft Defender XDR
  • Microsoft Defender for Office 365
  • 应用治理
  • Microsoft Entra ID 保护
  • Microsoft数据丢失防护
  • Microsoft Defender for Cloud
  • Microsoft Sentinel
  • Microsoft Purview 内部风险管理

    其中许多服务都可以在菜单中展开,以显示给定服务中检测源的进一步选择。
    		•
    Tags 从列表中选择一个或多个标记名称。
    多个类别 指定筛选器是否适用于多个类别。
    Categories 选择类别以关注看到的特定策略、技术或攻击组件。
    Entities 指定资产的名称,例如用户、设备、邮箱或应用程序名称。
    敏感度标签 根据对数据应用的敏感度标签筛选事件。 某些攻击侧重于泄露敏感或有价值的数据。 通过对特定敏感度标签应用筛选器,可以快速确定敏感信息是否可能遭到入侵,并优先处理这些事件。
    设备组 指定 设备组 名称。
    OS 平台 指定设备作系统。
    分类 指定相关警报的分类集。
    自动调查状态 指定自动调查的状态。
    关联的威胁 指定命名威胁。
    策略/策略规则 根据策略或策略规则筛选事件。
    产品名称 根据产品名称筛选事件。
    数据流 根据位置或工作负载筛选事件。

    注意

    如果已预配Microsoft Purview 内部风险管理访问权限,则可以在Microsoft Defender门户中查看和管理内部风险管理警报,并搜寻内部风险管理事件。 有关详细信息,请参阅在 Microsoft Defender 门户中调查内部风险威胁

    默认筛选器显示状态为 “新建 ”和“ 正在进行” 且严重性为 “高”、“ 中”或“ ”的所有警报和事件。

    还可以通过选择“保存的筛选器查询>”“创建筛选器集”,在“事件”页中创建筛选器集。 如果未创建筛选器集,请选择“ 保存” 以创建一个筛选器集。

    Microsoft Defender门户中事件队列的“创建筛选器设置”选项。

    注意

    Microsoft Defender XDR客户现在可以使用警报筛选事件,这些警报:通过设备发现集成连接到企业网络的 Microsoft Defender (OT) 设备与作技术通信,并Microsoft Defender for Endpoint。 若要筛选这些事件,请在“服务/检测源”中选择“任何”,然后在“产品名称”中选择“ioT Microsoft Defender”,或者在 Defender 门户中查看“调查 ioT Microsoft Defender中的事件和警报”。 还可以使用设备组筛选特定于站点的警报。 有关 Defender for IoT 先决条件的详细信息,请参阅 Microsoft Defender XDR 中的企业 IoT 监视入门

    将自定义筛选器另存为 URL

    在事件队列中配置了有用的筛选器后,可以将浏览器选项卡的 URL 加入书签,或者将其另存为网页、Word文档或所选位置的链接。 使用书签可以单击一次访问事件队列的关键视图,例如:

    • 新事件
    • 高严重性事件
    • 未分配的事件
    • 高严重性、未分配的事件
    • 分配给我的事件
    • 分配给我和用于Microsoft Defender for Endpoint的事件
    • 具有特定标记的事件
    • 具有特定威胁类别的事件
    • 具有特定关联威胁的事件
    • 具有特定参与者的事件

    将有用的筛选器视图列表编译并存储为 URL 后,请使用它快速处理队列中的事件并设置其优先级,并 对其进行管理 以供后续分配和分析。

    在事件列表上方的 “搜索名称或 ID ”框中,可以通过多种方式搜索事件,以快速找到要查找的内容。

    按事件名称或 ID 搜索

    通过键入事件 ID 或事件名称直接搜索事件。 从搜索结果列表中选择事件时,Microsoft Defender门户将打开一个新选项卡,其中包含事件的属性,可从中开始调查

    按受影响的资产搜索

    可以命名资产(例如用户、设备、邮箱、应用程序名称或云资源),并查找与该资产相关的所有事件。

    指定时间范围

    默认的事件列表适用于过去六个月内发生的事件。 可以通过选择日历图标旁边的下拉框中指定新的时间范围:

    • 一天
    • 三天
    • 一周
    • 30 天
    • 30 天
    • 6 个月
    • 可在其中指定日期和时间的自定义范围

    后续步骤

    确定哪个事件需要最高优先级后,选择它并:

    • 管理 标记、分配、误报事件的即时解决和注释的事件属性。
    • 开始 调查

    Defender Boxed

    在每年 1 月和 7 月的有限时间内,当你首次打开事件队列时, Defender Boxed 会自动显示。 Defender Boxed 重点介绍组织在过去六个月或日历年内的安全成功、改进和响应作。

    Defender Boxed,如事件队列中所示。

    注意

    Defender Boxed 仅适用于在 Microsoft Defender 门户中执行了适用活动的用户。

    可以在 Defender Boxed 中显示的卡片系列中执行以下作:

    • 下载可与组织中的其他人共享的成就的详细摘要。

      Defender Boxed 幻灯片的屏幕截图,其中突出显示了下载摘要选项。

    • 更改 Defender Boxed 出现的频率。 可以选择每年) 年 1 月 (一次,也可以选择每年 1 月和 7 月) 两次 (。

      Defender Boxed 幻灯片的屏幕截图,其中突出显示了频率。

    • 通过将幻灯片另存为图像,将你的成就分享到社交媒体网络、电子邮件和其他论坛。

      Defender Boxed 幻灯片的屏幕截图,其中突出显示了“保存”选项。

    若要重新打开 Defender Boxed,请转到“事件”队列,然后选择窗格右侧的“ 你的 Defender Boxed ”。

    “事件”页中突出显示的 Defender Boxed 选项的屏幕截图。

    另请参阅

    提示

    想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区

    • Last updated on