Få vist og organiser køen Microsoft Defender for Endpoint beskeder
Gælder for:
Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.
Køen Beskeder viser en liste over beskeder, der er markeret fra enheder i netværket. Som standard viser køen beskeder, der er set inden for de seneste 7 dage i en grupperet visning. De seneste beskeder vises øverst på listen, så du kan se de nyeste beskeder først.
Bemærk
Beskederne reduceres betydeligt med automatiseret undersøgelse og afhjælpning, hvilket giver eksperter i sikkerhedsoperationer mulighed for at fokusere på mere avancerede trusler og andre initiativer af høj værdi. Når en besked indeholder et understøttet objekt til automatiseret undersøgelse (f.eks. en fil) på en enhed, der har et understøttet operativsystem til det, kan en automatiseret undersøgelse og afhjælpning starte. Du kan få flere oplysninger om automatiserede undersøgelser under Oversigt over automatiserede undersøgelser.
Der er flere indstillinger, du kan vælge imellem for at tilpasse visningen af beskeder.
På den øverste navigationslinje kan du:
- Tilpas kolonner for at tilføje eller fjerne kolonner
- Anvend filtre
- Vis beskeder for en bestemt varighed, f.eks. 1 dag, 3 dage, 1 uge, 30 dage og 6 måneder
- Eksportér listen over beskeder til Excel
- Administrer beskeder
Du kan anvende følgende filtre for at begrænse listen over beskeder og få en mere fokuseret visning af beskederne.
Alvorsgrad af vigtig besked | Beskrivelse |
---|---|
Høj ( Rød) |
Beskeder, der ofte ses i forbindelse med avancerede vedvarende trusler (APT). Disse beskeder angiver en høj risiko på grund af alvorligheden af de skader, de kan påføre enheder. Nogle eksempler er: aktiviteter med legitimationsoplysninger tyveriværktøjer, ransomware-aktiviteter, der ikke er forbundet med nogen gruppe, manipulation med sikkerhedssensorer eller eventuelle ondsindede aktiviteter, der er tegn på en menneskelig modstander. |
Middel ( Orange) |
Beskeder fra registrering af slutpunkter og svar efter sikkerhedsbrud, der kan være en del af en avanceret vedvarende trussel (APT). Disse funktionsmåder omfatter observerede funktionsmåder, der er typiske for angrebsfaser, unormal ændring af registreringsdatabasen, udførelse af mistænkelige filer osv. Selvom nogle kan være en del af intern sikkerhedstest, kræver det undersøgelse, da det også kan være en del af et avanceret angreb. |
Lav (Gul) |
Beskeder om trusler, der er forbundet med almindelig kendt malware. For eksempel hack-værktøjer, ikke-malware hack værktøjer, såsom kørsel udforskning kommandoer, clearing logfiler, osv., der ofte ikke angiver en avanceret trussel rettet mod organisationen. Det kan også stamme fra en test af et isoleret sikkerhedsværktøj af en bruger i din organisation. |
Informative (Grå) |
Beskeder, der muligvis ikke anses for at være skadelige for netværket, men som kan øge organisationens sikkerhedsbevidsthed om potentielle sikkerhedsproblemer. |
Microsoft Defender Antivirus- og Defender for Endpoint-beskedafgrænsninger er forskellige, fordi de repræsenterer forskellige områder.
Den Microsoft Defender Antivirus trussel alvorsgrad repræsenterer den absolutte alvorsgrad af den registrerede trussel (malware), og er tildelt baseret på den potentielle risiko for den enkelte enhed, hvis inficeret.
Besked alvorsgraden af Defender for Endpoint repræsenterer alvorsgraden af den registrerede funktionsmåde, den faktiske risiko for enheden, men endnu vigtigere den potentielle risiko for organisationen.
Det kan f.eks. være:
- Alvorsgraden af en Defender for Endpoint-besked om en Microsoft Defender Antivirus registreret trussel, der blev forhindret og ikke inficere enheden er kategoriseret som "Informational", fordi der ikke var nogen faktiske skader.
- En advarsel om en kommerciel malware blev registreret under udførelse, men blokeret og afhjælpes af Microsoft Defender Antivirus, er kategoriseret som "Low", fordi det kan have forårsaget nogle skader på den enkelte enhed, men udgør ingen organisatorisk trussel.
- En advarsel om malware registreret under udførelse, som kan udgøre en trussel ikke kun for den enkelte enhed, men til organisationen, uanset om det til sidst blev blokeret, kan rangeres som "Medium" eller "High".
- Mistænkelige adfærdsbeskeder, der ikke blev blokeret eller afhjælpet, rangeres "Low", "Medium" eller "High" efter de samme organisatoriske trusselsovervejelser.
Du kan vælge at filtrere listen over beskeder baseret på deres status.
Bemærk
Hvis du får vist beskedstatus for ikke-understøttet beskedtype , betyder det, at automatiserede undersøgelsesfunktioner ikke kan hente beskeden for at køre en automatisk undersøgelse. Du kan dog undersøge disse beskeder manuelt.
Vi har omdefineret beskedkategorierne, så de passer til virksomhedens angrebstaktik i MITRE ATT-&CK-matrixen. Nye kategorinavne gælder for alle nye beskeder. Eksisterende beskeder bevarer de forrige kategorinavne.
Du kan filtrere beskederne baseret på følgende tjenestekilder:
- Microsoft Defender for Identity
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Endpoint
- Microsoft Defender XDR
- Microsoft Defender for Office 365
- Appstyring
- Microsoft Entra ID-beskyttelse
Microsoft Endpoint Notification-kunder kan nu filtrere og se registreringer fra tjenesten ved at filtrere efter Microsoft Defender eksperter, der er indlejret under den Microsoft Defender for Endpoint tjenestekilde.
Bemærk
Antivirusfilteret vises kun, hvis enheder bruger Microsoft Defender Antivirus som standardprodukt til beskyttelse modmalware i realtid.
Du kan filtrere beskederne baseret på Mærker, der er tildelt til beskeder.
Du kan filtrere beskederne baseret på følgende politikker:
Registreringskilde | API-værdi |
---|---|
Sensorer fra tredjepart | ThirdPartySensors |
Antivirus | WindowsDefenderAv |
Automatiseret undersøgelse | AutomatedInvestigation |
Brugerdefineret registrering | Brugerdefineret registrering |
Brugerdefineret TI | CustomerTI |
EDR | WindowsDefenderAtp |
Microsoft Defender XDR | MTP |
Microsoft Defender for Office 365 | OfficeATP |
Microsoft Defender eksperter | ThreatExperts |
Smartscreen | WindowsDefenderSmartScreen |
Du kan filtrere beskederne baseret på enhedsnavn eller id.
Du kan vælge at filtrere beskederne baseret på deres automatiserede undersøgelsestilstand.
- Administrer Microsoft Defender for Endpoint beskeder
- Undersøg Microsoft Defender for Endpoint beskeder
- Undersøg en fil, der er knyttet til en Microsoft Defender for Endpoint besked
- Undersøg enheder på listen over Microsoft Defender for Endpoint enheder
- Undersøg en IP-adresse, der er knyttet til en Microsoft Defender for Endpoint besked
- Undersøg et domæne, der er knyttet til en Microsoft Defender for Endpoint besked
- Undersøg en brugerkonto i Microsoft Defender for Endpoint
Tip
Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.