Zeigen Sie Major Security Incident Auswirkungsmetriken an

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 4 Minuten Lesedauer

    • Zeigen Sie die Fortschrittsmetriken für die Auswirkungen schwerwiegender Security Incidents als Balkendiagramme und Diagramme an.

    Zusätzlich zu den Visualisierungen der Incident-Zeitleiste und des Fortschrittstrenddiagramms bietet die Übersicht Die Registerkarte „“ enthält relevante Auswirkungsmetriken, um den sich ändernden Umfang des Incident zu verwalten, einschließlich Rollup der betroffenen Assets, Benutzer, Standorte und Teamressourcen.

    Die in den Visualisierungskomponenten angezeigten Anzahlen basieren auf aktiven Aufgaben in verknüpften SIR-Incidents (Security Incident Response). Wenn Aufgaben geöffnet und geschlossen werden, ändern sich diese Anzahlen in Bezug auf Art und Umfang der verbleibenden Aktivitäten, die für den schwerwiegenden Security Incident geplant sind, um die in den Visualisierungskomponenten des Trenddiagramms angezeigten Trends darzustellen.

    Abbildung : 1. Registerkarte „MSIM-Übersicht“
    Zeigen Sie die Auswirkungsmetriken des schwerwiegenden Security Incidents an
    In der folgenden Tabelle finden Sie die UI-Aktionen, die Sie über den ausführen können Übersicht Abschnitt:
    Tabelle : 1. Übersichts-UI-Abschnitte
    Titel Beschreibung
    Incident Impact Diese Komponenten zeigen die betroffenen Ressourcen basierend auf einem Rollup aller aktiven Aufgaben und verknüpften Incidents mit identifizierten Assets, Benutzern, Standorten und zugewiesenen Teammitgliedern an. Die betroffenen Ressourcen sind:
    • Betroffene Assets
    • Betroffene Benutzer
    • Betroffene Standorte
    • Indikatoren
    • Erkennbare Elemente

    Wenn Sie auf die Zahlenwerte klicken, können Sie Detailinformationen anzeigen und zu den betroffenen Assets, Benutzern und Standortdetails navigieren und die zugehörigen Aufgaben auf der Registerkarte „ Incident-Auswirkung “ des Arbeitsbereichs anzeigen.

    Basierend auf dem ausgewählten Link zum Incident-Auswirkungstyp werden die zugehörigen Incident-Details wie Aufgabentyp und seine Beschreibung, Zuweisungsgruppe und Incident-Status im angezeigt Incident Impact Registerkarte des MSIM-Arbeitsbereichs.
    Zeit Zeigt den Zeitraum als Gesamtzahl der Tage ab dem Zeitpunkt an, zu dem der schwerwiegende Security Incident aktiv ist.

    Die Zeit wird basierend auf berechnet Erkennungsdatum eingegeben in Details Registerkarte des Arbeitsbereichs.

    Das Erkennungsdatum wird häufig anfänglich erfasst, wenn der schwerwiegende Security Incident zuerst erstellt oder vorgeschlagen wurde. Immer wenn dieses Datum geändert wird, wird die Uhrzeit automatisch berechnet, aktualisiert und im Format Tage: Stunden: Minuten angezeigt, z. B. 20T: 13H: 58M.

    Geschätztes Lösungsdatum: Das Datum, bis zu dem das Incident-Lösungsdatum geschätzt wird. Dieses Datum wird häufig anfänglich erfasst, wenn der schwerwiegende Security Incident zuerst erstellt oder heraufgestuft wurde.

    Das Datum wird basierend auf dem im angegebenen geschätzten Datum aktualisiert Details Registerkarte des Arbeitsbereichs.

    Wenn das geschätzte Datum im Abschnitt „Details“ nicht angegeben ist, wird in diesem Abschnitt „Bindestrich“ ohne Datumswert angezeigt.
    Aktives Team Zeigt die verschiedenen Reaktionsteams und Teammitglieder aus jedem Team an, die aktiv an dem schwerwiegenden Security Incident und den zugehörigen Aufgaben arbeiten.
    Aktives Team Trend: Zeigt das Trenddiagramm jedes Teams und seiner Teammitglieder an, die in regelmäßigen Abständen aktiv an dem schwerwiegenden Security Incident und zugehörigen Aufgaben arbeiten.
    Hinweis:
    Zeigen Sie die zugewiesenen aktiven Gruppen aus dem an Details Registerkarte des Arbeitsbereichs.
    Verknüpfte SIR-Incidents Nach Incident-Status: Zeigen Sie die Verteilung verknüpfter Security Incidents basierend auf einem Incident-Status an, z. B. „Analyse“, „Eindämmen“, „Beseitigen“, „Wiederherstellen“ oder „Überprüfen“.

    Trends nach Incident-Status: Gibt in der Trendansicht weiter an, wie sich die Anzahl der verknüpften Incidents basierend auf dem Incident-Status entwickelt.

    Wenn Sie die einzelnen Incident-Statuslinks auswählen, können Sie zu den verknüpften Security Incident-Details direkt im navigieren und sie anzeigen Verknüpfter SI/VI Registerkarte des Arbeitsbereichs.

    Dieser Abschnitt wird automatisch aktualisiert, wenn Änderungen an den zugrunde liegenden Incidents auftreten.
    Antwortaufgaben Zeigt die aktiven Aufgaben an, die über SIR-Incidents mit dem MSI-Datensatz verknüpft sind.
    • Nach Aufgabenstatus: Zeigen Sie die Incident-Antwortaufgaben basierend auf dem Incident-Status an, z. B. „Entwurf“, „Zugewiesen“, „In Bearbeitung“, „Abgeschlossen“. Dieses Verteilungsdiagramm ermöglicht eine weitere Verteilungsaufgliederung nach Zuweisungsgruppen. Wenn Sie die einzelnen Aufgabenstatus auswählen, können Sie eine gefilterte Liste nach Incident-Aufgabenstatus im anzeigen Aufgaben Registerkarte des Arbeitsbereichs. In der gefilterten Ansicht können Sie einzelne Aufgabendetails anzeigen und aktualisieren.
    • In Bearbeitung befindliche Aufgaben nach Incident-Statusbezeichnung: Zeigt aktive Aufgaben und Gruppen basierend auf der Incident-Statusbezeichnung an, die in den Komponenten des Aufgabenorganisators angewendet werden muss. Diese Standardbezeichnungen enthalten Werte wie „Analyse“, „Eindämmen“, „Beseitigen“, „Wiederherstellen“ oder „Überprüfen“, um die Art der betreffenden Aufgabe anzugeben.
    • Überfällig: Zeigt die Security Incident Response-Aufgaben an, die aktiv sind und deren Fälligkeitsdatum überschritten wurden.

      Sie können die Details aller überfälligen Aufgaben anzeigen, indem Sie die Gesamtanzahl der überfälligen Aufgaben auswählen und automatisch zur Registerkarte Aufgaben navigieren lassen.

    • Trends nach Aufgabenstatus: Fortschrittstrend von in Bearbeitung befindlichen und geschlossenen Antwortaufgaben über die Incident-Dauer anzeigen.
    Hinweis:
    Das Trenddiagramm ruft die neuesten Daten basierend auf der geplanten Aufgabe ab. Sie können das Zeitintervall für den Datenabruf nach Bedarf konfigurieren oder ändern.
    MSI-Aufgaben Zeigt insgesamt aktive Aufgaben an, die direkt im MSI-Datensatz erstellt wurden (und dies sind keine verknüpften Antwortaufgaben):

    Nach Aufgabenstatus: Zeigen Sie die erstellten Aufgaben des schwerwiegenden Security Incident, die zugewiesenen Aufgaben und die zugehörigen Informationen an.

    Wenn Sie die einzelnen Aufgabenstatus auswählen, können Sie eine gefilterte Liste nach Incident-Aufgabenstatus im anzeigen Aufgaben Registerkarte des Arbeitsbereichs. In der gefilterten Ansicht können einzelne Aufgabendetails angezeigt und aktualisiert werden.
    Externe Zusammenarbeit Zeigt die Zusammenarbeitsaktivitäten für alle gekennzeichneten Zusammenarbeitsaktivitäten aus dem Aktivitätenstrom für Zusammenarbeit an:
    • Nach Incident-Statusbezeichnung:Zeigen Sie auf der Registerkarte „ Zusammenarbeit “ des Arbeitsbereichs die Daten zu Zusammenarbeitsaktivitäten bei Incidents an, die mit den Dateien und Ordnern Microsoft Teams und Microsoft SharePoint koordiniert und mit Incident-Statusbezeichnungen wie „Analyse“, „Eindämmen“, „Beseitigen“ oder „Wiederherstellen“ gekennzeichnet sind.
    • Trends nach Aktivitätstyp: Zeigen Sie das Trenddiagramm für die Anzahl der Microsoft Teams - und Microsoft SharePoint -Datei- und -Ordneraktivitäten über die Incident-Dauer an.