Få vist og organiser køen Microsoft Defender for Endpoint beskeder
Gælder for:
Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.
Køen Beskeder viser en liste over beskeder, der er markeret fra enheder i netværket. Som standard viser køen beskeder, der er set inden for de seneste 7 dage i en grupperet visning. De seneste beskeder vises øverst på listen, så du kan se de nyeste beskeder først.
Bemærk!
Beskederne reduceres betydeligt med automatiseret undersøgelse og afhjælpning, hvilket giver eksperter i sikkerhedsoperationer mulighed for at fokusere på mere avancerede trusler og andre initiativer af høj værdi. Når en besked indeholder et understøttet objekt til automatiseret undersøgelse (f.eks. en fil) på en enhed, der har et understøttet operativsystem til det, kan en automatiseret undersøgelse og afhjælpning starte. Du kan få flere oplysninger om automatiserede undersøgelser under Oversigt over automatiserede undersøgelser.
Der er flere indstillinger, du kan vælge imellem for at tilpasse visningen af beskeder.
På den øverste navigationslinje kan du:
- Tilpas kolonner for at tilføje eller fjerne kolonner
- Anvend filtre
- Vis beskeder for en bestemt varighed, f.eks. 1 dag, 3 dage, 1 uge, 30 dage og 6 måneder
- Eksportér listen over beskeder til Excel
- Administrer beskeder
Sortér og filtrer beskeder
Du kan anvende følgende filtre for at begrænse listen over beskeder og få en mere fokuseret visning af beskederne.
Sværhedsgraden
| Alvorsgrad af vigtig besked | Beskrivelse |
|---|---|
| Høj ( Rød) |
Beskeder, der ofte ses i forbindelse med avancerede vedvarende trusler (APT). Disse beskeder angiver en høj risiko på grund af alvorligheden af de skader, de kan påføre enheder. Nogle eksempler er: aktiviteter med legitimationsoplysninger tyveriværktøjer, ransomware-aktiviteter, der ikke er forbundet med nogen gruppe, manipulation med sikkerhedssensorer eller eventuelle ondsindede aktiviteter, der er tegn på en menneskelig modstander. |
| Middel ( Orange) |
Beskeder fra registrering af slutpunkter og svar efter sikkerhedsbrud, der kan være en del af en avanceret vedvarende trussel (APT). Disse funktionsmåder omfatter observerede funktionsmåder, der er typiske for angrebsfaser, unormal ændring af registreringsdatabasen, udførelse af mistænkelige filer osv. Selvom nogle kan være en del af intern sikkerhedstest, kræver det undersøgelse, da det også kan være en del af et avanceret angreb. |
| Lav (Gul) |
Beskeder om trusler, der er forbundet med almindelig kendt malware. For eksempel hack-værktøjer, ikke-malware hack værktøjer, såsom kørsel udforskning kommandoer, clearing logfiler, osv., der ofte ikke angiver en avanceret trussel rettet mod organisationen. Det kan også stamme fra en test af et isoleret sikkerhedsværktøj af en bruger i din organisation. |
| Informative (Grå) |
Beskeder, der muligvis ikke anses for at være skadelige for netværket, men som kan øge organisationens sikkerhedsbevidsthed om potentielle sikkerhedsproblemer. |
Om alvorsgrad af vigtige beskeder
Microsoft Defender Antivirus- og Defender for Endpoint-beskedafgrænsninger er forskellige, fordi de repræsenterer forskellige områder.
Den Microsoft Defender Antivirus trussel alvorsgrad repræsenterer den absolutte alvorsgrad af den registrerede trussel (malware), og er tildelt baseret på den potentielle risiko for den enkelte enhed, hvis inficeret.
Besked alvorsgraden af Defender for Endpoint repræsenterer alvorsgraden af den registrerede funktionsmåde, den faktiske risiko for enheden, men endnu vigtigere den potentielle risiko for organisationen.
Det kan f.eks. være:
- Alvorsgraden af en Defender for Endpoint-besked om en Microsoft Defender Antivirus registreret trussel, der blev forhindret og ikke inficere enheden er kategoriseret som "Informational", fordi der ikke var nogen faktiske skader.
- En advarsel om en kommerciel malware blev registreret under udførelse, men blokeret og afhjælpes af Microsoft Defender Antivirus, er kategoriseret som "Low", fordi det kan have forårsaget nogle skader på den enkelte enhed, men udgør ingen organisatorisk trussel.
- En advarsel om malware registreret under udførelse, som kan udgøre en trussel ikke kun for den enkelte enhed, men til organisationen, uanset om det til sidst blev blokeret, kan rangeres som "Medium" eller "High".
- Mistænkelige adfærdsbeskeder, der ikke blev blokeret eller afhjælpet, rangeres "Low", "Medium" eller "High" efter de samme organisatoriske trusselsovervejelser.
Status
Du kan vælge at filtrere listen over beskeder baseret på deres status.
Bemærk!
Hvis du får vist beskedstatus for ikke-understøttet beskedtype , betyder det, at automatiserede undersøgelsesfunktioner ikke kan hente beskeden for at køre en automatisk undersøgelse. Du kan dog undersøge disse beskeder manuelt.
Kategorier
Vi har omdefineret beskedkategorierne, så de passer til virksomhedens angrebstaktik i MITRE ATT-&CK-matrixen. Nye kategorinavne gælder for alle nye beskeder. Eksisterende beskeder bevarer de forrige kategorinavne.
Tjenestekilder
Du kan filtrere beskederne baseret på følgende tjenestekilder:
- Microsoft Defender for Identity
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Endpoint
- Microsoft Defender XDR
- Microsoft Defender for Office 365
- Appstyring
- Microsoft Entra ID-beskyttelse
Microsoft Endpoint Notification-kunder kan nu filtrere og se registreringer fra tjenesten ved at filtrere efter Microsoft Defender eksperter, der er indlejret under den Microsoft Defender for Endpoint tjenestekilde.
Bemærk!
Antivirusfilteret vises kun, hvis enheder bruger Microsoft Defender Antivirus som standardprodukt til beskyttelse modmalware i realtid.
Mærker
Du kan filtrere beskederne baseret på Mærker, der er tildelt til beskeder.
Politik
Du kan filtrere beskederne baseret på følgende politikker:
| Registreringskilde | API-værdi |
|---|---|
| Sensorer fra tredjepart | ThirdPartySensors |
| Antivirus | WindowsDefenderAv |
| Automatiseret undersøgelse | AutomatedInvestigation |
| Brugerdefineret registrering | Brugerdefineret registrering |
| Brugerdefineret TI | CustomerTI |
| EDR | WindowsDefenderAtp |
| Microsoft Defender XDR | MTP |
| Microsoft Defender for Office 365 | OfficeATP |
| Microsoft Defender eksperter | ThreatExperts |
| Smartscreen | WindowsDefenderSmartScreen |
Enheder
Du kan filtrere beskederne baseret på enhedsnavn eller id.
Automatiseret undersøgelsestilstand
Du kan vælge at filtrere beskederne baseret på deres automatiserede undersøgelsestilstand.
Relaterede emner
- Administrer Microsoft Defender for Endpoint beskeder
- Undersøg Microsoft Defender for Endpoint beskeder
- Undersøg en fil, der er knyttet til en Microsoft Defender for Endpoint besked
- Undersøg enheder på listen over Microsoft Defender for Endpoint enheder
- Undersøg en IP-adresse, der er knyttet til en Microsoft Defender for Endpoint besked
- Undersøg et domæne, der er knyttet til en Microsoft Defender for Endpoint besked
- Undersøg en brugerkonto i Microsoft Defender for Endpoint
Tip
Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.
Feedback
Kommer snart: I hele 2024 udfaser vi GitHub-problemer som feedbackmekanisme for indhold og erstatter det med et nyt feedbacksystem. Du kan få flere oplysninger under: https://aka.ms/ContentUserFeedback.
Indsend og få vist feedback om