Del via

Undersøg hændelser på Microsoft Defender-portalen

  • Gælder for: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Vigtigt!

Nogle af oplysningerne i denne artikel er relateret til et produkt, der er udgivet på forhånd, og som kan blive ændret væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier, udtrykt eller stiltiende, med hensyn til de oplysninger, der er angivet her.

På Microsoft Defender-portalen vises korrelerede beskeder, aktiver, undersøgelser og beviser fra alle dine aktiver i en hændelse for at give dig et omfattende indblik i hele bredden af et angreb.

I en hændelse analyserer du beskederne, forstår, hvad de betyder, og indsamler beviserne, så du kan oprette en effektiv afhjælpningsplan.

Indledende undersøgelse

Før du dykker ned i detaljerne, skal du se på egenskaberne og hele angrebshistorien om hændelsen.

Du kan starte med at vælge hændelsesrækken, men ikke vælge hændelsesnavnet. Der åbnes en oversigtsrude med vigtige oplysninger om hændelsen, herunder prioritetsvurderingen, de faktorer, der påvirker prioritetsscoren, oplysninger om hændelsen, anbefalede handlinger og relaterede trusler. Brug pil op og ned øverst i ruden til at navigere til den forrige eller næste hændelse i hændelseskøen.

Valg af en hændelse på Microsoft Defender-portalen

Herfra kan du vælge Åbn hændelsesside. Dette åbner hovedsiden for hændelsen, hvor du kan finde oplysninger om hele angrebshistorien og faner for beskeder, enheder, brugere, undersøgelser og beviser. Du kan også åbne hovedsiden for en hændelse ved at vælge hændelsesnavnet i hændelseskøen.

Bemærk!

Når brugere med klargjort adgang til Microsoft Security Copilot åbner en hændelse, kan de se ruden Copilot i højre side af skærmen. Copilot giver indsigt og anbefalinger i realtid, der kan hjælpe dig med at undersøge og reagere på hændelser. Du kan få flere oplysninger under Microsoft Copilot i Microsoft Defender.

Angrebshistorie

Angrebshistorier hjælper dig med hurtigt at gennemse, undersøge og afhjælpe angreb, mens du får vist hele historien om angrebet på den samme fane. Ved hjælp af en angrebshistorie kan du gennemse enhedsoplysningerne og udføre afhjælpningshandlinger, f.eks. slette en fil eller isolere en enhed uden at miste kontekst.

I følgende video beskrives kort angrebshistorien.

I angrebshistorien kan du finde beskedsiden og hændelsesgrafen.

Siden med hændelsesbeskeder indeholder følgende sektioner:

  • Beskedhistorie, som omfatter:

    • Hvad skete der
    • Udførte handlinger
    • Relaterede hændelser

  • Egenskaber for beskeder i ruden til højre (tilstand, detaljer, beskrivelse m.m.)

Det er ikke alle beskeder, der har alle de viste undersektioner i afsnittet Beskedhistorie .

Grafen viser det fulde omfang af angrebet, hvordan angrebet spredte sig gennem dit netværk over tid, hvor det startede, og hvor langt angriberen gik. Den forbinder de forskellige mistænkelige enheder, der er en del af angrebet, med deres relaterede aktiver, f.eks. brugere, enheder og postkasser.

Fra grafen kan du:

  • Afspil beskederne og noderne på grafen, som de fandt sted over tid for at forstå kronologien af angrebet.

    Skærmbillede, der viser afspilning af beskeder og noder på grafsiden for angrebshistorien.

  • Åbn en objektrude, så du kan gennemse enhedsoplysningerne og reagere på afhjælpningshandlinger, f.eks. slette en fil eller isolere en enhed.

    Skærmbillede, der viser gennemgangen af enhedsdetaljerne på grafsiden for angrebshistorien.

  • Fremhæv de beskeder, der er baseret på det objekt, de er relateret til.

  • Søg efter enhedsoplysninger for en enhed, fil, IP-adresse, URL-adresse, bruger, mail, postkasse eller cloudressource.

Gå på jagt

Go hunt-handlingen bruger den avancerede jagtfunktion til at finde relevante oplysninger om en enhed. Søgningsforespørgslen kontrollerer relevante skematabeller for alle hændelser eller beskeder, der involverer det specifikke objekt, du undersøger. Hvis du vil finde relevante oplysninger om objektet, skal du vælge en af følgende indstillinger:

  • Se alle tilgængelige forespørgsler – returnerer alle tilgængelige forespørgsler for den objekttype, du undersøger.
  • Alle aktiviteter – returnerer alle aktiviteter, der er knyttet til en enhed, hvilket giver dig en omfattende visning af hændelsens kontekst.
  • Relaterede beskeder – søger efter og returnerer alle sikkerhedsbeskeder, der involverer en bestemt enhed, så du ikke går glip af nogen oplysninger.
  • Alle brugeruregelmæssigheder (prøveversion) – returnerer alle uregelmæssigheder, der er knyttet til brugeren fra de seneste 30 dage, hvilket hjælper dig med at identificere usædvanlig adfærd, der kan være relevant for hændelsen. Denne indstilling er kun tilgængelig for brugerobjekter, hvis du aktiverer Microsoft Sentinel UEBA (User and Entity Behavior Analytics).

Skærmbillede, hvor indstillingen Gå jagt er valgt på en enhed i en angrebshistorie.

Du kan knytte de resulterende logge eller beskeder til en hændelse ved at vælge et resultat og derefter vælge Link til hændelse.

Fremhævning af linket til hændelsesindstillingen i søg efter forespørgselsresultater

Hvis en analyseregel, som du har angivet, har oprettet hændelsen eller relaterede beskeder, kan du også vælge Kør forespørgsel for at se andre relaterede resultater.

Analyse af eksplosionsradius

Analyse af eksplosionsradius er en avanceret grafvisualisering, der er integreret i oplevelsen af undersøgelse af hændelser. Den er baseret på Microsoft Sentinel datasø- og grafinfrastrukturen og genererer en interaktiv graf, der viser mulige overførselsstier fra den valgte node til foruddefinerede kritiske mål, der er begrænset til brugerens tilladelser.

Bemærk!

Analyse af eksplosionsradius udvides og erstatter analyse af angrebsstier.

Grafen over eksplosionsradius giver et unikt samlet overblik over både oplysninger om præbreach og efter sikkerhedsbrud på hændelsessiden. Under en undersøgelse af en hændelse kan analytikere se den aktuelle virkning af et brud og den mulige fremtidige indvirkning i én konsolideret graf. Da den er integreret i hændelsesgrafen, hjælper grafen for eksplosionsradius sikkerhedsteams med bedre at forstå omfanget af sikkerhedshændelsen hurtigere og forbedrer deres defensive foranstaltninger for at reducere sandsynligheden for omfattende skader. Analyse af eksplosionsradius hjælper analytikere med bedre at vurdere risikoen for højt anerkendte mål og forstå den forretningsmæssige indvirkning.

Følgende forudsætninger er påkrævet for at kunne bruge grafen over eksplosionsradius:

Vigtigt!

Funktionerne angrebsstier og blast radius beregnes på baggrund af organisationens tilgængelige miljødata. Værdien i grafen øges, efterhånden som der er flere tilgængelige data til beregningen. Hvis du ikke aktiverer yderligere arbejdsbelastninger eller definerer kritiske aktiver fuldt ud, repræsenterer grafer med høj radius ikke dine miljørisici fuldt ud. Du kan få flere oplysninger om definition af kritiske aktiver under Gennemse og klassificer kritiske aktiver.

I følgende tabel opsummeres use cases for analyse af eksplosionsradius for forskellige brugerroller:

Brugerrolle Use case
Sikkerhedsanalytiker Brug analyse af eksplosionsradius til at undersøge en hændelse. Straks se kompromitteret komponent i midten af grafen og stier til potentielt kompromitterede mål. Grafen giver en intuitiv visuel forståelse af hændelsen og hjælper dig med hurtigt at lære det potentielle omfang af et brud. Baseret på destinationen og stierne kan du eskalere og udløse handlinger for at afbryde, isolere og indeholde hændelsen på noder langs stierne til målet.
It-administratorer og SOC-teknikere Brug analyse af eksplosionsradius til at mobilisere ressourcer baseret på forretningspåvirkning og estimering af potentielle skader. Teknikere kan prioritere de mest kritiske sikkerhedsrisici, der kræver øjeblikkelig opmærksomhed. Teknikeren kan proaktivt tildele de nødvendige ressourcer baseret på rækkevidden af eksplosionsradiussen til kritiske mål i organisationen ved at undersøge flere noder, der er markeret med sikkerhedsrisici på kortet. Ingeniøren kan tydeligt kommunikere, hvad der var beskyttet, og hvad der blev påvirket og planlægge og prioritere yderligere forsvar og netværkssegmenteringer, der kræves for at reducere yderligere indvirkning af fremtidige potentielle angreb.
Hændelsessvarteam Fastlæg hurtigt omfanget af hændelsen med et dynamisk visuelt hændelseskort, der gør det muligt for dem at foretage målrettede handlinger på de systemer, der er angivet i grafen.
CISO eller sikkerhedsledere Brug funktionen for eksplosionsradius til at angive aktuel status, angive mål og målepunkter og bruge dette til at rapportere og overvåge af hensyn til overholdelse af angivne standarder. Funktionen kan bruges til at spore fremskridt med at forsvare handlinger og investeringer i beskyttelsesforanstaltninger.

Vis grafer over blast radius

Når du har valgt en hændelse på listen på siden Hændelser , vises de enheder og aktiver, der er involveret i hændelsen, i en grafvisning.

Vælg en node for at åbne genvejsmenuen, og vælg derefter Vis eksplosionsradius. Hvis der ikke blev fundet nogen radiussti for blast, viser menupunktet Ingen eksplosionsradius.

Hvis du vil se eksplosionsradiussen for en enkelt node i en gruppe, skal du bruge til /fra-knappen Ungroup over gitteret til at vise alle noder.

Skærmbillede, der viser genvejsmenuelementet for eksplosionsradius.

Der indlæses en ny grafvisning, der viser de otte mest populære angrebsstier. En komplet liste over stierne er synlig i højre sidepanel, når du vælger Vis listen over fuld blast radius over grafen. På listen over mål, der kan nås, kan du udforske stien yderligere ved at vælge et af de angivne mål. I højre panel vises den potentielle sti fra indgangspunktet til denne destination. Nogle noder har muligvis ikke tilknyttede stier.

Skærmbillede, der viser grafen over eksplosionsradius.

Du kan få en forklaring af de ikoner, der bruges til noder og kanter i grafen med blast radius, under Om grafer og visualiseringer i Microsoft Defender.

Vælg Vis liste over eksplosionsradius for at få vist en liste over målaktiver. Vælg et destinationsaktiv på listen for at få vist detaljer og potentielle angrebsstier. Hvis du vælger badges i forbindelser, vises der flere oplysninger om forbindelsen.

Når stier fører til grupperede mål af samme type, skal du vælge de grupperede ikoner for at få vist diskrete stier til mål. Der åbnes et panel til højre, der viser alle målene i gruppen. Hvis du markerer afkrydsningsfeltet til venstre og vælger knappen Udvid øverst, vises hvert mål og de tilhørende stier separat.

Skærmbillede, der viser listen over eksplosionsradiusser.

Skjul grafen over eksplosionsradius, og vend tilbage til den oprindelige hændelsesgraf ved at vælge noden og vælge Skjul eksplosionsradius.

Begrænsninger

Følgende begrænsninger gælder for grafen over eksplosionsradius:

  • Begrænsninger for stilængde (analyseområde): Graf over sprængningsradius er bundet op til syv hop fra kildenoden. Eksplosionsradiussen er en tilnærmelse af den fulde rækkevidde. Det maksimale antal hop afhænger af miljøet:

    • Fem hop til cloudmiljøet
    • Fem hop til det lokale miljø
    • Tre hop til hybrid

  • Data friskhed: Der kan være ventetider mellem en ændring i organisationens miljø og afspejling af ændringen i grafen over blast radius. I denne periode kan modellen være ufuldstændig.

  • Mulige stier: Grafen over eksplosionsradius viser mulige stier. Det garanterer ikke, at en person med ondsindede hensigter følger alle de viste stier.

  • Kendte angrebsvektorer: Grafen er afhængig af kendte angrebsvektorer. Hvis hackere finder en ny tværgående bevægelse eller ny teknik, der endnu ikke er modelleret, vises den ikke i grafen over blast radius.

  • Brugerområder: Den viste graf er baseret på de tilladte områder for visningsbrugeren. Grafen viser kun noder og kanter, der er beregnet for brugeren på baggrund af de definerede indstillinger for RBAC og området. Stier, der indeholder uden for områdenoder eller kanter, er ikke synlige.

  • Ø-noder: Noder, der ikke er forbundet, vises muligvis på grafen på grund af ændringer, der sker mellem det tidspunkt, hvor dataene indsamles, og beregningen af eksplosionsradiussen.

Oplysninger om hændelse

Du kan få vist oplysninger om en hændelse i højre rude på en hændelsesside. Oplysningerne om hændelsen omfatter tildeling af hændelser, id, klassificering, kategorier og dato og klokkeslæt for første og sidste aktivitet. Den indeholder også en beskrivelse af hændelsen, påvirkede aktiver, aktive beskeder og, hvor det er relevant, de relaterede trusler, anbefalinger og oversigt over afbrydelser og indvirkning. Her er et eksempel på oplysninger om hændelsen, hvor beskrivelsen af hændelsen er fremhævet.

Et eksempel på oplysninger om hændelser, hvor beskrivelsen er fremhævet.

Beskrivelsen af hændelsen indeholder en kort oversigt over hændelsen. I nogle tilfælde bruges den første besked i hændelsen som beskrivelse af hændelsen. I dette tilfælde vises beskrivelsen kun på portalen og gemmes ikke i aktivitetsloggen, i avancerede jagttabeller eller i Microsoft Sentinel i Azure Portal.

Tip

Microsoft Sentinel kunder kan også få vist og overskrive den samme hændelsesbeskrivelse i Azure Portal ved at angive beskrivelsen af hændelsen via API eller automatisering.

Filtrer og fokuser hændelsesgrafen (prøveversion)

Brug filtre på meget store hændelser med mange beskeder og enheder, eller skjul bestemte enheder for at forenkle komplekse hændelsesgrafer. Ved at forenkle grafen kan du fokusere din undersøgelse på det, der er vigtigst.

Sådan filtrerer du en hændelsesgraf:

  1. Vælg Tilføj filter over hændelsesgrafen.

  2. Vælg et af følgende tilgængelige filterkriterier, og vælg derefter Tilføj:

    • Sværhedsgraden: Vis beskeder med høj, mellem eller lav alvorsgrad.
    • Status: Vis nye, igangværende eller løste beskeder.
    • Tjenestekilder: Vis beskeder fra bestemte tjenester, f.eks. Microsoft Defender for Endpoint, Microsoft Defender for Identity, Microsoft Defender for Office 365 og andre.

    Skærmbillede af hændelsesgrafen på Defender-portalen med filterindstillingen Tilføj fremhævet.

  3. For hvert tilføjede filterkriterium skal du vælge de elementer, du vil filtrere, og derefter vælge Anvend.

    Skærmbillede af hændelsesgrafen på Defender-portalen, hvor filteret Alvorsgrad er fremhævet.

    Bemærk!

    Hvis alle enheder er filtreret ud, vises der en meddelelse om tom tilstand. Juster dine filtre for at se relevante enheder.

Sådan skjuler du bestemte objekttyper:

  1. Vælg Objekttyper over hændelsesgrafen.

  2. Fjern markeringen af de objekttyper, du vil skjule, f.eks. fil eller bruger. Grafen gentegner sig selv uden disse enheder.

    Skærmbillede af hændelsesgrafen på Defender-portalen med indstillingen Enhedstyper fremhævet.

Beskeder

Under fanen Beskeder kan du få vist beskedkøen for beskeder, der er relateret til hændelsen, og andre oplysninger om dem, f.eks. følgende oplysninger:

  • Beskedernes alvorsgrad.
  • De enheder, der var involveret i beskeden.
  • Kilden til beskederne (Defender for Identity, Defender for Endpoint, Defender for Office 365, Microsoft Defender for Cloud Apps og tilføjelsesprogrammet til appstyring).
  • Årsagen til, at beskederne linker sammen.

Ruden Beskeder for en hændelse på Microsoft Defender-portalen

Som standard kan du se beskederne i kronologisk rækkefølge, så du kan se, hvordan angrebet udspillede sig over tid. Når du vælger en besked i en hændelse, viser Microsoft Defender XDR de beskedoplysninger, der er specifikke for konteksten for den overordnede hændelse.

Du kan se hændelserne for beskeden, som andre udløste beskeder forårsagede den aktuelle besked, og alle de berørte enheder og aktiviteter, der er involveret i angrebet, herunder enheder, filer, brugere, cloudapps og postkasser.

Oplysningerne om en besked i en hændelse på Microsoft Defender-portalen.

Du kan få flere oplysninger under Undersøg beskeder.

Bemærk!

Hvis du har klargjort adgang til Microsoft Purview Styring af insider-risiko, kan du få vist og administrere beskeder om insiderrisikostyring og søge efter insiderrisikostyringshændelser på Microsoft Defender portalen. Du kan få flere oplysninger under Undersøg insiderrisikotrusler på portalen Microsoft Defender.

Aktiviteter

Fanen Aktiviteter viser en samlet tidslinje over alle manuelle og automatiserede handlinger, der forekommer i en hændelse. Du kan filtrere efter oprindelse, kategori, udbyder, udløser, aktivitetsstatus, politikstatus, type, målnavn, måltype eller udført af. Du kan også få adgang til disse oplysninger som et sidepanel i aktivitetsloggen.

Ved hjælp af fanen Aktiviteter kan analytikere sortere og undersøge hændelser. Denne proces omfatter identificering af vigtige trin, der tages af mennesker og automatiserede systemer, bekræftelse af seneste ændringer (f.eks. mærker, fletninger, opdateringer af alvorsgrad), gennemgang af kommentarer og overdragelser, undersøgelse af detaljerede metadata i sidepaneler og efter automatiserede arbejdsprocesser, der er startet af automatiseringsregler, playbooks eller agenter.

Skærmbillede af en hændelse med fanen Aktiviteter åbnet.

Aktiver

Du kan nemt få vist og administrere alle dine aktiver på ét sted ved hjælp af fanen Aktiver . Denne samlede visning omfatter enheder, brugere, postkasser og apps.

Under fanen Assets (Aktiver) vises det samlede antal aktiver ud for navnet. Når du vælger fanen Aktiver, får du vist en liste over forskellige kategorier med antallet af aktiver inden for hver kategori.

Siden Assets (Aktiver) for en hændelse på portalen Microsoft Defender

Enheder

Visningen Enheder viser alle de enheder, der er relateret til hændelsen.

Siden Enheder for en hændelse på Microsoft Defender-portalen

Når du vælger en enhed på listen, åbner du en søjle, som du kan bruge til at administrere den valgte enhed. Du kan hurtigt eksportere, administrere mærker, starte en automatiseret undersøgelse og meget mere.

Du kan markere afkrydsningsfeltet for en enhed for at få vist oplysninger om enheden, mappedata, aktive beskeder og brugere, der er logget på. Vælg navnet på enheden for at få vist enhedsoplysningerne i oversigten over Defender for Endpoint-enheder.

Indstillingerne For enheder på siden Aktiver på portalen Microsoft Defender.

Fra enhedssiden kan du indsamle yderligere oplysninger om enheden, f.eks. alle dens beskeder, en tidslinje og sikkerhedsanbefalinger. Fra fanen Tidslinje kan du f.eks. rulle gennem enhedens tidslinje og få vist alle hændelser og funktionsmåder, der er observeret på computeren i kronologisk rækkefølge, og som er afbrudt af de udløste beskeder.

Brugere

Visningen Brugere viser alle de brugere, der er blevet identificeret til at være en del af eller relateret til hændelsen.

Siden Brugere på portalen Microsoft Defender.

Vælg fluebenet for en bruger for at få vist detaljer om brugerkontoens trussel, eksponering og kontaktoplysninger. Vælg brugernavnet for at få vist flere oplysninger om brugerkontoen.

Hvis du vil vide mere om, hvordan du får vist yderligere brugeroplysninger og administrerer brugerne af en hændelse, skal du se Undersøg brugere.

Postkasser

Visningen Postkasser viser alle de postkasser, der er blevet identificeret til at være en del af eller relateret til hændelsen.

Siden Postkasser for en hændelse på Microsoft Defender-portalen.

Vælg fluebenet for en postkasse for at få vist en liste over aktive beskeder. Vælg navnet på postkassen for at få vist flere oplysninger om postkassen på siden Stifinder for Defender for Office 365.

Apps

Visningen Apps viser alle de apps, der er identificeret til at være en del af eller relateret til hændelsen.

Siden Apps for en hændelse på portalen Microsoft Defender.

Vælg fluebenet for en app for at få vist en liste over aktive beskeder. Vælg appnavnet for at få vist flere oplysninger på siden Stifinder for at få vist Defender for Cloud Apps.

Cloudressourcer

Visningen Cloudressourcer viser alle de cloudressourcer, der er en del af eller relateret til hændelsen.

Siden Cloudressourcer for en hændelse på portalen Microsoft Defender.

Vælg fluebenet for en cloudressource for at få vist oplysningerne om ressourcen og en liste over aktive beskeder. Vælg Siden Åbn cloudressource for at få vist flere oplysninger og for at få vist de fulde oplysninger i Microsoft Defender til Cloud.

Undersøgelser

Under fanen Undersøgelser vises alle de automatiserede undersøgelser, der udløses af beskeder i denne hændelse. Automatiserede undersøgelser udfører afhjælpningshandlinger eller venter på analytikergodkendelse af handlinger, afhængigt af hvordan du konfigurerer automatiserede undersøgelser til at køre i Defender for Endpoint og Defender for Office 365.

Siden Undersøgelser for en hændelse på Microsoft Defender-portalen

Vælg en undersøgelse for at navigere til siden med oplysninger for at få alle oplysninger om undersøgelsens og afhjælpningsstatussen. Hvis nogen handlinger skal godkendes som en del af undersøgelsen, vises de under fanen Ventende handlinger . Udfør handlinger som en del af afhjælpning af hændelser.

Graffanen Undersøgelse viser:

  • Forbindelsen mellem beskeder og de påvirkede aktiver i din organisation.
  • Hvilke enheder er relateret til hvilke beskeder og hvordan de er en del af historien om angrebet.
  • Beskederne for hændelsen.

Undersøgelsesgrafen hjælper dig med hurtigt at forstå det fulde omfang af angrebet ved at forbinde de forskellige mistænkelige enheder, der er en del af angrebet, med deres relaterede aktiver, f.eks. brugere, enheder og postkasser.

Du kan få flere oplysninger under Automatiseret undersøgelse og svar i Microsoft Defender XDR.

Beviser og svar

Fanen Beviser og Svar viser alle understøttede hændelser og mistænkelige enheder i beskederne i hændelsen.

Siden Beviser og svar for en hændelse på Microsoft Defender-portalen

Microsoft Defender XDR undersøger automatisk alle hændelsernes understøttede hændelser og mistænkelige enheder i beskederne, hvilket giver dig oplysninger om vigtige mails, filer, processer, tjenester, IP-adresser og meget mere. Dette hjælper dig med hurtigt at registrere og blokere potentielle trusler i hændelsen.

Hver analyseret enhed er markeret med en dom (Ondsindet, Mistænkelig, Ren) og en afhjælpningsstatus. Disse oplysninger hjælper dig med at forstå afhjælpningsstatus for hele hændelsen, og hvilke næste trin du kan udføre.

Godkend eller afvis afhjælpningshandlinger

I forbindelse med hændelser med afhjælpningsstatussen Afventer godkendelse kan du godkende eller afvise en afhjælpningshandling, åbne i Stifinder eller Gå på jagt fra fanen Beviser og svar.

Indstillingen Godkend\Afvis i ruden Administration af beviser og svar for en hændelse på Microsoft Defender-portalen.

Oversigt

Brug siden Oversigt til at vurdere den relative vigtighed af hændelsen og hurtigt få adgang til de tilknyttede beskeder og påvirkede enheder. Siden Oversigt giver dig et øjebliksbillede af de vigtigste ting, du kan lægge mærke til om hændelsen.

Skærmbillede, der viser oversigtsoplysningerne for en hændelse på portalen Microsoft Defender.

Oplysningerne er organiseret i disse afsnit.

Afsnit Beskrivelse
Beskeder og kategorier Et visuelt og numerisk billede af, hvor avanceret angrebet har udviklet sig mod kill-kæden. Som med andre Microsoft-sikkerhedsprodukter er Microsoft Defender XDR justeret i forhold til MITRE ATT-&CK-strukturen™. Tidslinjen for beskeder viser den kronologiske rækkefølge, som beskederne indtraf i, og for hver af dem deres status og navn.
Omfanget Viser antallet af berørte enheder, brugere og postkasser. Den viser enhederne i rækkefølge efter risikoniveau og undersøgelsesprioritet.
Beskeder Viser de beskeder, der er involveret i hændelsen.
Beviser Viser antallet af enheder, der påvirkes af hændelsen.
Oplysninger om hændelse Viser egenskaberne for hændelsen, f.eks. mærker, status og alvorsgrad.

Lignende hændelser

Nogle hændelser kan have lignende hændelser angivet på siden Lignende hændelser . I dette afsnit vises hændelser, der har lignende beskeder, enheder og andre egenskaber. Denne lighed kan hjælpe dig med at forstå omfanget af angrebet og identificere andre hændelser, der kan være relaterede.

Skærmbillede, der viser fanen Lignende hændelser for en hændelse på Microsoft Defender-portalen.

Tip

Defender Boxed, en række kort, der viser din organisations sikkerhedssucceser, forbedringer og svarhandlinger i løbet af de seneste seks måneder eller år, vises i en begrænset periode i januar og juli hvert år. Få mere at vide om, hvordan du kan dele dine Defender Boxed-fremhævninger .

Næste trin

Se følgende ressourcer efter behov:

Se også

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.

  • Last updated on