Sdílet prostřednictvím

Správa výstrah Microsoft Defender for Endpoint

  • Článek

Platí pro:

Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Defender for Endpoint vás prostřednictvím výstrah upozorní na možné škodlivé události, atributy a kontextové informace. Zobrazí se souhrn nových výstrah a ve frontě výstrah budete mít přístup ke všem výstrahami.

Výstrahy můžete spravovat tak, že vyberete výstrahu ve frontě Výstrahy nebo na kartě Výstrahy na stránce Zařízení pro jednotlivá zařízení.

Výběrem výstrahy na některém z těchto míst se otevře podokno Správa upozornění.

Podokno Správa výstrah a fronta upozornění

V tomto videu se dozvíte, jak používat novou stránku upozornění Microsoft Defender for Endpoint.

Můžete vytvořit nový incident z výstrahy nebo vytvořit odkaz na existující incident.

Přiřadit výstrahy

Pokud upozornění ještě není přiřazené, můžete vybrat Přiřadit mně a přiřadit ho sami sobě.

Potlačit upozornění

V některých situacích můžou být potřeba potlačit zobrazování upozornění v Microsoft Defender XDR. Defender for Endpoint umožňuje vytvořit pravidla potlačení pro konkrétní výstrahy, o kterých se ví, že jsou neškodné, jako jsou známé nástroje nebo procesy ve vaší organizaci.

Pravidla potlačení je možné vytvořit z existující výstrahy. V případě potřeby je možné je zakázat a znovu povolit.

Když je pravidlo potlačení vytvořeno, projeví se od okamžiku vytvoření pravidla. Pravidlo nebude mít vliv na existující výstrahy, které jsou již ve frontě před vytvořením pravidla. Pravidlo se použije pouze u výstrah, které splňují podmínky nastavené po vytvoření pravidla.

Existují dva kontexty pro pravidlo potlačení, ze kterého si můžete vybrat:

  • Potlačit upozornění na tomto zařízení
  • Potlačení upozornění v organizaci

Kontext pravidla umožňuje přizpůsobit to, co se na portálu zobrazí, a zajistit, aby se na portálu zobrazovaly jenom skutečné výstrahy zabezpečení.

S výběrem kontextu pravidla potlačení vám pomůžou příklady v následující tabulce:

Kontextu Vysvětlení Ukázkové scénáře
Potlačit upozornění na tomto zařízení Upozornění se stejným názvem upozornění a pouze na daném zařízení budou potlačena.

Všechna ostatní upozornění na daném zařízení nebudou potlačena.
  • Výzkumník zabezpečení zkoumá škodlivý skript, který byl použit k útoku na jiná zařízení ve vaší organizaci.
  • Vývojář pravidelně vytváří skripty PowerShellu pro svůj tým.
Potlačení upozornění v organizaci Upozornění se stejným názvem upozornění na všech zařízeních budou potlačena.
  • Neškodný nástroj pro správu používají všichni ve vaší organizaci.

Potlačení upozornění a vytvoření nového pravidla potlačení

Create vlastní pravidla pro řízení, kdy jsou upozornění potlačena nebo vyřešena. Kontext pro potlačení výstrahy můžete řídit zadáním názvu výstrahy, indikátoru ohrožení a podmínek. Po zadání kontextu budete moct nakonfigurovat akci a obor výstrahy.

  1. Vyberte upozornění, které chcete potlačit. Tím se otevře podokno Správa výstrah .

  2. Vyberte Create pravidlo potlačení.

    Pomocí těchto atributů můžete vytvořit podmínku potlačení. Operátor AND se používá mezi každou podmínkou, takže k potlačení dojde pouze v případě, že jsou splněny všechny podmínky.

    • Sha1 souboru
    • Název souboru – podporuje se zástupný znak.
    • Cesta ke složce – podporuje se zástupný znak.
    • IP adresa
    • Adresa URL – podporuje se zástupný znak.
    • Příkazový řádek – podpora zástupných znaků

  3. Vyberte aktivující se IOC.

  4. Zadejte akci a obor výstrahy.

    Upozornění můžete automaticky vyřešit nebo ho na portálu skrýt. Automaticky vyřešená upozornění se zobrazí v vyřešené části fronty upozornění, stránky upozornění a časové osy zařízení a budou se zobrazovat jako vyřešená napříč rozhraními API defenderu for Endpoint.

    Výstrahy, které jsou označené jako skryté, budou potlačeny z celého systému, a to jak v upozorněních přidružených k zařízení, tak z řídicího panelu a nebudou se streamovat přes rozhraní API defenderu pro koncové body.

  5. Zadejte název pravidla a komentář.

  6. Klikněte na Uložit.

Zobrazení seznamu pravidel potlačení

  1. V navigačním podokně vyberte Nastavení>Pravidla>koncových bodů>Potlačení upozornění.

  2. Seznam pravidel potlačení zobrazuje všechna pravidla, která uživatelé ve vaší organizaci vytvořili.

Další informace o správě pravidel potlačení najdete v tématu Správa pravidel potlačení.

Změna stavu výstrahy

Výstrahy ( Nové, Probíhá nebo Vyřešeno) můžete kategorizovat tak, že změníte jejich stav v průběhu vyšetřování. To vám pomůže uspořádat a spravovat, jak může váš tým reagovat na upozornění.

Vedoucí týmu může například zkontrolovat všechna nová upozornění a rozhodnout se je přiřadit do fronty Probíhá pro další analýzu.

Případně může vedoucí týmu přiřadit výstrahu do fronty Vyřešeno , pokud ví, že výstraha je neškodná, pochází ze zařízení, které je irelevantní (například zařízení patřící správci zabezpečení), nebo se s ním pracuje prostřednictvím dřívější výstrahy.

Klasifikace upozornění

Můžete se rozhodnout, že nechcete nastavit klasifikaci, nebo určit, jestli je výstraha pravdivá nebo nepravdivá. Je důležité poskytnout klasifikaci pravdivě pozitivních/falešně pozitivních výsledků. Tato klasifikace slouží ke sledování kvality výstrah a zpřesňování výstrah. Pole "determinace" definuje dodatečnou věrnost pro klasifikaci "pravdivě pozitivní".

Postup klasifikace výstrah najdete v tomto videu:

Přidání komentářů a zobrazení historie upozornění

Můžete přidat komentáře a zobrazit historické události týkající se upozornění, abyste viděli předchozí změny provedené v upozornění.

Při každé změně nebo komentáři k upozornění se zaznamená v části Komentáře a historie .

Přidané komentáře se okamžitě zobrazí v podokně.

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.