Gennemse beskeder i Microsoft Defender for Endpoint

  • Artikel

Gælder for:

Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.

Beskedsiden i Microsoft Defender for Endpoint giver fuld kontekst for beskeden ved at kombinere angrebssignaler og beskeder, der er relateret til den valgte besked, for at oprette en detaljeret beskedhistorie.

Du kan hurtigt gennemgå, undersøge og udføre effektive handlinger på vigtige beskeder, der påvirker din organisation. Forstå, hvorfor de blev udløst, og deres indvirkning fra ét sted. Få mere at vide i denne oversigt.

Introduktion til en besked

Hvis du vælger en beskeds navn i Defender for Endpoint, lander du på dens beskedside. På beskedsiden vises alle oplysningerne i forbindelse med den valgte besked. Hver beskedside består af 4 afsnit:

  1. Beskedens titel viser beskedens navn og er der for at minde dig om, hvilken besked der startede din aktuelle undersøgelse, uanset hvad du har valgt på siden.
  2. Berørte aktiver viser kort over enheder og brugere, der er berørt af denne besked, og som kan klikkes på for at få yderligere oplysninger og handlinger.
  3. Beskedhistorien viser alle enheder, der er relateret til beskeden, og som er forbundet af en trævisning. Beskeden i titlen er i fokus, første gang du lander på den valgte beskeds side. Objekter i beskedhistorien kan udvides og klikkes for at give yderligere oplysninger og fremskynde svar ved at give dig mulighed for at udføre handlinger direkte i forbindelse med beskedsiden. Brug beskedhistorien til at starte din undersøgelse. Få mere at vide under Undersøg beskeder i Microsoft Defender for Endpoint.
  4. Detaljeruden viser først detaljerne for den valgte besked med oplysninger og handlinger, der er relateret til denne besked. Hvis du vælger en af de berørte aktiver eller objekter i beskedhistorien, ændres detaljeruden for at angive kontekstafhængige oplysninger og handlinger for det valgte objekt.

Bemærk registreringsstatus for din besked.

  • Forhindret: Den forsøgte mistænkelige handling blev undgået. En fil blev f.eks. enten ikke skrevet på disken eller udført.

    Siden, der viser forebyggelsen af en trussel

  • Blokeret: Mistænkelig funktionsmåde blev udført og derefter blokeret. En proces blev f.eks. udført, men fordi den efterfølgende udviste mistænkelig adfærd, blev processen afsluttet.

    Den side, der viser blokeringen af en trussel

  • Registreret: Der blev registreret et angreb, som muligvis stadig er aktivt.

    Den side, der viser opdagelsen af en trussel

Du kan derefter også gennemse oplysningerne om den automatiserede undersøgelse i detaljeruden for din besked for at se, hvilke handlinger der allerede er foretaget, samt læse beskrivelsen af beskeden for anbefalede handlinger.

Detaljeruden med afsnittene beskrivelse af besked og automatisk undersøgelse fremhævet

Andre oplysninger, der er tilgængelige i detaljeruden, når beskeden åbnes, omfatter MITRE-teknikker, kilde og yderligere kontekstafhængige oplysninger.

Bemærk!

Hvis du får vist beskedstatus for ikke-understøttet beskedtype , betyder det, at automatiserede undersøgelsesfunktioner ikke kan hente beskeden for at køre en automatisk undersøgelse. Du kan dog undersøge disse beskeder manuelt.

Gennemse berørte aktiver

Hvis du vælger en enhed eller et brugerkort i afsnittene for de berørte aktiver, skifter du til oplysningerne om enheden eller brugeren i detaljeruden.

  • For enheder vises der oplysninger om selve enheden i detaljeruden, f.eks. domæne, operativsystem og IP. Aktive beskeder og de brugere, der er logget på den pågældende enhed, er også tilgængelige. Du kan handle øjeblikkeligt ved at isolere enheden, begrænse udførelsen af appen eller køre en antivirusscanning. Du kan også indsamle en undersøgelsespakke, starte en automatiseret undersøgelse eller gå til enhedssiden for at undersøge det fra enhedens synspunkt.

    Detaljeruden, når en enhed vælges

  • For brugere vises detaljerede brugeroplysninger i detaljeruden, f.eks. brugerens SAM-navn og SID, samt logontyper, der udføres af denne bruger, og eventuelle beskeder og hændelser, der er relateret til den. Du kan vælge Åbn brugerside for at fortsætte undersøgelsen fra den pågældende brugers synspunkt.

    Detaljeruden, når en bruger vælges

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.