Zobrazení a uspořádání fronty upozornění Microsoft Defender for Endpoint
Platí pro:
Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,
Fronta upozornění zobrazuje seznam výstrah, které byly označeny příznakem ze zařízení ve vaší síti. Ve výchozím nastavení fronta zobrazuje výstrahy zobrazené za posledních 7 dnů ve seskupeném zobrazení. Nejnovější výstrahy se zobrazují v horní části seznamu, abyste si jako první zobrazili nejnovější výstrahy.
Poznámka
Díky automatizovanému vyšetřování a nápravě jsou výstrahy výrazně omezené, což umožňuje odborníkům na operace zabezpečení zaměřit se na sofistikovanější hrozby a další iniciativy s vysokou hodnotou. Pokud výstraha obsahuje podporovanou entitu pro automatizované šetření (například soubor) v zařízení, které má podporovaný operační systém, může se spustit automatizované šetření a náprava. Další informace o automatizovaných šetřeních najdete v tématu Přehled automatizovaných šetření.
Můžete si vybrat z několika možností, ze které si můžete přizpůsobit zobrazení upozornění.
Na horním navigačním panelu můžete:
- Přizpůsobení sloupců pro přidání nebo odebrání sloupců
- Použití filtrů
- Zobrazení upozornění na konkrétní dobu, například 1 den, 3 dny, 1 týden, 30 dní a 6 měsíců
- Export seznamu upozornění do Excelu
- Správa upozornění
Řazení a filtrování upozornění
Pomocí následujících filtrů můžete omezit seznam výstrah a získat přehlednější zobrazení výstrah.
Závažnosti
| Závažnost upozornění | Popis |
|---|---|
| High (Vysoká) (Červená) |
Výstrahy, které se běžně zobrazují v souvislosti s pokročilými trvalými hrozbami (APT). Tyto výstrahy značí vysoké riziko kvůli závažnosti poškození, které mohou způsobit zařízením. Mezi příklady patří aktivity nástrojů pro krádež přihlašovacích údajů, aktivity ransomwaru, které nejsou přidružené k žádné skupině, manipulace se senzory zabezpečení nebo jakékoli škodlivé aktivity indikující lidskou osobu. |
| Střední (Oranžová) |
Výstrahy z detekce koncových bodů a reakce na chování po porušení zabezpečení, které může být součástí rozšířené trvalé hrozby (APT). Mezi tato chování patří pozorované chování typické pro fáze útoku, neobvyklé změny registru, spouštění podezřelých souborů atd. I když některé můžou být součástí interního testování zabezpečení, vyžaduje to šetření, protože může být také součástí pokročilého útoku. |
| Nízké (Žlutá) |
Upozornění na hrozby spojené s převládajícím malwarem Například hack-tools, jiné než malwarové hack nástroje, jako jsou spouštění příkazů pro zkoumání, mazání protokolů atd., které často nezoznačují pokročilou hrozbu, která cílí na organizaci. Může také pocházet z izolovaného nástroje zabezpečení, který testuje uživatel ve vaší organizaci. |
| Informační (Šedá) |
Výstrahy, které nemusí být považovány za škodlivé pro síť, ale můžou zvýšit povědomí organizace o potenciálních problémech se zabezpečením. |
Vysvětlení závažnosti upozornění
závažnost upozornění Microsoft Defender Antivirus a Defender for Endpoint se liší, protože představují různé obory.
Závažnost hrozby Microsoft Defender Antivirus představuje absolutní závažnost zjištěné hrozby (malware) a přiřazuje se na základě potenciálního rizika pro jednotlivé zařízení, pokud je napadeno.
Závažnost upozornění Defenderu for Endpoint představuje závažnost zjištěného chování, skutečné riziko pro zařízení, ale ještě důležitější je potenciální riziko pro organizaci.
Takže například:
- Závažnost upozornění Defenderu for Endpoint na Microsoft Defender Antivirus zjistil hrozbu, která byla zabráněna a nenakazila zařízení, je kategorizována jako informační, protože nedošlo k žádnému skutečnému poškození.
- Výstraha týkající se komerčního malwaru byla zjištěna při provádění, ale blokována a napravena službou Microsoft Defender Antivirus, je kategorizována jako "Nízká", protože může způsobit určité poškození jednotlivých zařízení, ale nepředstavuje žádnou organizační hrozbu.
- Výstraha o malwaru zjištěném při provádění, která může představovat hrozbu nejen pro jednotlivá zařízení, ale i pro organizaci, bez ohledu na to, jestli se nakonec zablokovalo, může být řazená jako střední nebo vysoká.
- Podezřelá upozornění na chování, která nebyla zablokovaná nebo nenapravovaná, se budou podle stejných aspektů ohrožení organizace řadit jako nízká, střední nebo vysoká.
Stav
Seznam výstrah můžete filtrovat podle jejich stavu.
Poznámka
Pokud se zobrazí stav upozornění typu Nepodporovaný , znamená to, že funkce automatizovaného vyšetřování nemůžou tuto výstrahu vyzvednout, aby spustily automatizované šetření. Tyto výstrahy ale můžete prozkoumat ručně.
Kategorie
Předefinovali jsme kategorie výstrah tak, aby odpovídaly podnikové taktice útoku v matici MITRE ATT&CK. Nové názvy kategorií se vztahují na všechna nová upozornění. Stávající výstrahy si zachovají předchozí názvy kategorií.
Zdroje služeb
Výstrahy můžete filtrovat na základě následujících zdrojů služby:
- Microsoft Defender for Identity
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Endpoint
- Microsoft Defender XDR
- Microsoft Defender pro Office 365
- Zásady správného řízení aplikací
- Microsoft Entra ID Protection
Zákazníci se službou Microsoft Endpoint Notification teď můžou filtrovat a zobrazovat detekce ze služby filtrováním podle odborníků Microsoft Defender vnořených ve zdroji služby Microsoft Defender for Endpoint.
Poznámka
Filtr Antivirus se zobrazí jenom v případě, že zařízení používají Microsoft Defender Antivirus jako výchozí antimalwarový produkt ochrany v reálném čase.
Značky
Výstrahy můžete filtrovat na základě značek přiřazených k upozorněním.
Zásad
Výstrahy můžete filtrovat na základě následujících zásad:
| Zdroj detekce | Hodnota rozhraní API |
|---|---|
| Senzory třetích stran | ThirdPartySensors |
| Antivirus | WindowsDefenderAv |
| Automatizované prověřování | AutomatedInvestigation |
| Vlastní detekce | CustomDetection |
| Vlastní TI | CustomerTI |
| EDR | WindowsDefenderAtp |
| Microsoft Defender XDR | MTP |
| Microsoft Defender pro Office 365 | OfficeATP |
| Microsoft Defender Experti | ThreatExperts |
| Smartscreen | WindowsDefenderSmartScreen |
Entity
Výstrahy můžete filtrovat na základě názvu nebo ID entity.
Stav automatizovaného šetření
Výstrahy můžete filtrovat na základě stavu automatizovaného šetření.
Související témata
- Správa výstrah Microsoft Defender for Endpoint
- Zkoumání výstrah Microsoft Defender for Endpoint
- Prozkoumání souboru přidruženého k upozornění na Microsoft Defender for Endpoint
- Prozkoumání zařízení v seznamu zařízení Microsoft Defender for Endpoint
- Prozkoumání IP adresy přidružené k upozornění Microsoft Defender for Endpoint
- Prozkoumání domény přidružené k upozornění na Microsoft Defender for Endpoint
- Prozkoumání uživatelského účtu v Microsoft Defender for Endpoint
Tip
Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.