Læs på engelsk

Del via


Få vist og organiser køen Microsoft Defender for Endpoint beskeder

Gælder for:

Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.

Køen Beskeder viser en liste over beskeder, der er markeret fra enheder i netværket. Som standard viser køen beskeder, der er set inden for de seneste 7 dage i en grupperet visning. De seneste beskeder vises øverst på listen, så du kan se de nyeste beskeder først.

Bemærk

Beskederne reduceres betydeligt med automatiseret undersøgelse og afhjælpning, hvilket giver eksperter i sikkerhedsoperationer mulighed for at fokusere på mere avancerede trusler og andre initiativer af høj værdi. Når en besked indeholder et understøttet objekt til automatiseret undersøgelse (f.eks. en fil) på en enhed, der har et understøttet operativsystem til det, kan en automatiseret undersøgelse og afhjælpning starte. Du kan få flere oplysninger om automatiserede undersøgelser under Oversigt over automatiserede undersøgelser.

Der er flere indstillinger, du kan vælge imellem for at tilpasse visningen af beskeder.

På den øverste navigationslinje kan du:

  • Tilpas kolonner for at tilføje eller fjerne kolonner
  • Anvend filtre
  • Vis beskeder for en bestemt varighed, f.eks. 1 dag, 3 dage, 1 uge, 30 dage og 6 måneder
  • Eksportér listen over beskeder til Excel
  • Administrer beskeder

Siden Beskeder i kø

Sortér og filtrer beskeder

Du kan anvende følgende filtre for at begrænse listen over beskeder og få en mere fokuseret visning af beskederne.

Sværhedsgraden

Alvorsgrad af vigtig besked Beskrivelse
Høj
( Rød)
Beskeder, der ofte ses i forbindelse med avancerede vedvarende trusler (APT). Disse beskeder angiver en høj risiko på grund af alvorligheden af de skader, de kan påføre enheder. Nogle eksempler er: aktiviteter med legitimationsoplysninger tyveriværktøjer, ransomware-aktiviteter, der ikke er forbundet med nogen gruppe, manipulation med sikkerhedssensorer eller eventuelle ondsindede aktiviteter, der er tegn på en menneskelig modstander.
Middel
( Orange)
Beskeder fra registrering af slutpunkter og svar efter sikkerhedsbrud, der kan være en del af en avanceret vedvarende trussel (APT). Disse funktionsmåder omfatter observerede funktionsmåder, der er typiske for angrebsfaser, unormal ændring af registreringsdatabasen, udførelse af mistænkelige filer osv. Selvom nogle kan være en del af intern sikkerhedstest, kræver det undersøgelse, da det også kan være en del af et avanceret angreb.
Lav
(Gul)
Beskeder om trusler, der er forbundet med almindelig kendt malware. For eksempel hack-værktøjer, ikke-malware hack værktøjer, såsom kørsel udforskning kommandoer, clearing logfiler, osv., der ofte ikke angiver en avanceret trussel rettet mod organisationen. Det kan også stamme fra en test af et isoleret sikkerhedsværktøj af en bruger i din organisation.
Informative
(Grå)
Beskeder, der muligvis ikke anses for at være skadelige for netværket, men som kan øge organisationens sikkerhedsbevidsthed om potentielle sikkerhedsproblemer.

Om alvorsgrad af vigtige beskeder

Microsoft Defender Antivirus- og Defender for Endpoint-beskedafgrænsninger er forskellige, fordi de repræsenterer forskellige områder.

Den Microsoft Defender Antivirus trussel alvorsgrad repræsenterer den absolutte alvorsgrad af den registrerede trussel (malware), og er tildelt baseret på den potentielle risiko for den enkelte enhed, hvis inficeret.

Besked alvorsgraden af Defender for Endpoint repræsenterer alvorsgraden af den registrerede funktionsmåde, den faktiske risiko for enheden, men endnu vigtigere den potentielle risiko for organisationen.

Det kan f.eks. være:

  • Alvorsgraden af en Defender for Endpoint-besked om en Microsoft Defender Antivirus registreret trussel, der blev forhindret og ikke inficere enheden er kategoriseret som "Informational", fordi der ikke var nogen faktiske skader.
  • En advarsel om en kommerciel malware blev registreret under udførelse, men blokeret og afhjælpes af Microsoft Defender Antivirus, er kategoriseret som "Low", fordi det kan have forårsaget nogle skader på den enkelte enhed, men udgør ingen organisatorisk trussel.
  • En advarsel om malware registreret under udførelse, som kan udgøre en trussel ikke kun for den enkelte enhed, men til organisationen, uanset om det til sidst blev blokeret, kan rangeres som "Medium" eller "High".
  • Mistænkelige adfærdsbeskeder, der ikke blev blokeret eller afhjælpet, rangeres "Low", "Medium" eller "High" efter de samme organisatoriske trusselsovervejelser.

Status

Du kan vælge at filtrere listen over beskeder baseret på deres status.

Bemærk

Hvis du får vist beskedstatus for ikke-understøttet beskedtype , betyder det, at automatiserede undersøgelsesfunktioner ikke kan hente beskeden for at køre en automatisk undersøgelse. Du kan dog undersøge disse beskeder manuelt.

Kategorier

Vi har omdefineret beskedkategorierne, så de passer til virksomhedens angrebstaktik i MITRE ATT-&CK-matrixen. Nye kategorinavne gælder for alle nye beskeder. Eksisterende beskeder bevarer de forrige kategorinavne.

Tjenestekilder

Du kan filtrere beskederne baseret på følgende tjenestekilder:

  • Microsoft Defender for Identity
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Endpoint
  • Microsoft Defender XDR
  • Microsoft Defender for Office 365
  • Appstyring
  • Microsoft Entra ID-beskyttelse

Microsoft Endpoint Notification-kunder kan nu filtrere og se registreringer fra tjenesten ved at filtrere efter Microsoft Defender eksperter, der er indlejret under den Microsoft Defender for Endpoint tjenestekilde.

Bemærk

Antivirusfilteret vises kun, hvis enheder bruger Microsoft Defender Antivirus som standardprodukt til beskyttelse modmalware i realtid.

Mærker

Du kan filtrere beskederne baseret på Mærker, der er tildelt til beskeder.

Politik

Du kan filtrere beskederne baseret på følgende politikker:

Registreringskilde API-værdi
Sensorer fra tredjepart ThirdPartySensors
Antivirus WindowsDefenderAv
Automatiseret undersøgelse AutomatedInvestigation
Brugerdefineret registrering Brugerdefineret registrering
Brugerdefineret TI CustomerTI
EDR WindowsDefenderAtp
Microsoft Defender XDR MTP
Microsoft Defender for Office 365 OfficeATP
Microsoft Defender eksperter ThreatExperts
Smartscreen WindowsDefenderSmartScreen

Enheder

Du kan filtrere beskederne baseret på enhedsnavn eller id.

Automatiseret undersøgelsestilstand

Du kan vælge at filtrere beskederne baseret på deres automatiserede undersøgelsestilstand.

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.