Defender for Endpoint giver dig besked om mulige skadelige hændelser, attributter og kontekstafhængige oplysninger via beskeder. Der vises en oversigt over nye beskeder, og du kan få adgang til alle beskeder i køen Beskeder.
Du kan administrere beskeder ved at vælge en besked i køen Beskeder eller fanen Beskeder på siden Enhed for en enkelt enhed.
Når du vælger en besked et af disse steder, vises ruden Administration af beskeder.
Se denne video for at få mere at vide om, hvordan du bruger den nye beskedside Microsoft Defender for Endpoint.
Link til en anden hændelse
Du kan oprette en ny hændelse fra beskeden eller linket til en eksisterende hændelse.
Tildel beskeder
Hvis der endnu ikke er tildelt en besked, kan du vælge Tildel til mig for at tildele beskeden til dig selv.
Skjul beskeder
Der kan være scenarier, hvor du skal undertrykke beskeder fra at blive vist i Microsoft Defender XDR. Med Defender for Endpoint kan du oprette undertrykkelsesregler for bestemte beskeder, der er kendt for at være uskadelige, f.eks. kendte værktøjer eller processer i din organisation.
Der kan oprettes undertrykkelsesregler ud fra en eksisterende besked. De kan deaktiveres og genaktiveres, hvis det er nødvendigt.
Når der oprettes en regel for undertrykkelse, træder den i kraft fra det tidspunkt, hvor reglen oprettes. Reglen påvirker ikke eksisterende beskeder, der allerede er i køen, før reglen oprettes. Reglen anvendes kun på beskeder, der opfylder de betingelser, der er angivet, når reglen er oprettet.
Der er to kontekster for en undertrykkelsesregel, som du kan vælge mellem:
Skjul besked på denne enhed
Skjul vigtig besked i min organisation
Konteksten for reglen giver dig mulighed for at skræddersy det, der vises på portalen, og sikre, at der kun vises reelle sikkerhedsbeskeder i portalen.
Du kan bruge eksemplerne i følgende tabel som en hjælp til at vælge konteksten for en regel for undertrykkelse:
Forbindelse
Definition
Eksempelscenarier
Skjul besked på denne enhed
Beskeder med samme beskedtitel og kun på den specifikke enhed undertrykkes.
Alle andre beskeder på denne enhed undertrykkes ikke.
En sikkerhedsforsker undersøger et skadeligt script, der er blevet brugt til at angribe andre enheder i din organisation.
En udvikler opretter jævnligt PowerShell-scripts til deres team.
Skjul vigtig besked i min organisation
Beskeder med samme beskedtitel på en hvilken som helst enhed vil blive undertrykt.
Et godartet administrativt værktøj bruges af alle i din organisation.
Skjul en besked, og opret en ny regel for undertrykkelse
Create brugerdefinerede regler til at styre, hvornår beskeder undertrykkes eller løses. Du kan styre konteksten for, hvornår en besked undertrykkes, ved at angive beskedens titel, indikator for kompromis og betingelserne. Når du har angivet konteksten, kan du konfigurere handlingen og omfanget for beskeden.
Vælg den besked, du vil undertrykke. Derved vises ruden Administration af beskeder .
Vælg Create en regel for undertrykkelse.
Du kan oprette en undertrykkelsesbetingelse ved hjælp af disse attributter. Der anvendes en AND-operator mellem hver betingelse, så undertrykkelse finder kun sted, hvis alle betingelser er opfyldt.
Fil-SHA1
Filnavn – jokertegn understøttes
Mappesti - jokertegn understøttes
IP-adresse
URL-adresse – jokertegn understøttes
Kommandolinje – jokertegn understøttes
Vælg udløser-IOC.
Angiv handlingen og omfanget for beskeden.
Du kan automatisk løse en besked eller skjule den på portalen. Beskeder, der løses automatisk, vises i sektionen Løst i beskedkøen, beskedsiden og enhedens tidslinje og vises som løst på tværs af Defender for Endpoint-API'er.
Beskeder, der er markeret som skjulte, undertrykkes fra hele systemet, både på enhedens tilknyttede beskeder og fra dashboardet og streames ikke på tværs af Defender for Endpoint-API'er.
Angiv et regelnavn og en kommentar.
Klik på Gem.
Vis listen over undertrykkelsesregler
Vælg Indstillinger>Slutpunkter>Regler>Advarselsundertrykkelse i navigationsruden.
Listen over undertrykkelsesregler viser alle de regler, som brugerne i din organisation har oprettet.
Du kan kategorisere beskeder (som Ny, Igangværende eller Løst) ved at ændre deres status, efterhånden som undersøgelsen skrider frem. Dette hjælper dig med at organisere og administrere, hvordan dit team kan reagere på beskeder.
En teamleder kan f.eks. gennemse alle nye beskeder og beslutte at tildele dem til køen I gang for yderligere analyse.
Alternativt kan teamlederen tildele beskeden til køen Løst , hvis vedkommende ved, at beskeden er godartet, der kommer fra en enhed, der er irrelevant (f.eks. en, der tilhører en sikkerhedsadministrator), eller behandles via en tidligere besked.
Beskedklassificering
Du kan vælge ikke at angive en klassificering eller angive, om en besked er en sand besked eller en falsk besked. Det er vigtigt at angive klassificeringen af sand positiv/falsk positiv. Denne klassificering bruges til at overvåge beskedkvaliteten og gøre beskeder mere nøjagtige. Feltet "bestemmelse" definerer yderligere pålidelighed for en "sand positiv" klassificering.
Trinnene til klassificering af beskeder er inkluderet i denne video:
Tilføj kommentarer, og få vist historikken for en besked
Du kan tilføje kommentarer og få vist historiske hændelser om en besked for at se tidligere ændringer af beskeden.
Når der foretages en ændring eller kommentar til en besked, registreres den i afsnittet Kommentarer og historik .
Det kan være nødvendigt at forhindre, at beskeder vises på portalen ved hjælp af regler for undertrykkelse. Få mere at vide om, hvordan du administrerer dine undertrykkelsesregler i Microsoft Defender for Endpoint.