Untersuchen von Warnungen in Microsoft Defender for Endpoint

Gilt für:

• Microsoft Defender für Endpunkt Plan 1
• Microsoft Defender für Endpunkt Plan 2
• Microsoft Defender XDR

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Untersuchen Sie Warnungen, die sich auf Ihr Netzwerk auswirken, und verstehen Sie, was sie bedeuten und wie Sie sie beheben können.

Wählen Sie eine Warnung aus der Warnungswarteschlange aus, um zur Warnungsseite zu wechseln. Diese Ansicht enthält den Warnungstitel, die betroffenen Ressourcen, den Detailseitenbereich und den Warnungsverlauf.

Beginnen Sie auf der Warnungsseite mit der Untersuchung, indem Sie die betroffenen Ressourcen oder eine der Entitäten in der Warnungsverlaufsstrukturansicht auswählen. Der Detailbereich wird automatisch mit weiteren Informationen darüber aufgefüllt, was Sie ausgewählt haben. Informationen dazu, welche Art von Informationen Sie hier anzeigen können, finden Sie unter Überprüfen von Warnungen in Microsoft Defender for Endpoint.

Untersuchen mithilfe des Warnungsverlaufs

In der Warnungsgeschichte wird erläutert, warum die Warnung ausgelöst wurde, verwandte Ereignisse, die vorher und nachher aufgetreten sind, sowie andere verwandte Entitäten.

Entitäten können angeklickt werden, und jede Entität, die keine Warnung ist, kann mithilfe des Erweiterungssymbols auf der rechten Seite des Karte dieser Entität erweitert werden. Die Entität im Fokus wird durch einen blauen Streifen links neben dem Karte dieser Entität angezeigt, wobei die Warnung im Titel zuerst im Fokus steht.

Erweitern Sie Entitäten, um Details auf einen Blick anzuzeigen. Wenn Sie eine Entität auswählen, wird der Kontext des Detailbereichs in diese Entität umgestellt, und Sie können weitere Informationen überprüfen und diese Entität verwalten. Wenn Sie ... rechts neben dem Entitäts-Karte auswählen, werden alle aktionen angezeigt, die für diese Entität verfügbar sind. Die gleichen Aktionen werden im Detailbereich angezeigt, wenn sich diese Entität im Fokus befindet.

Hinweis

Der Abschnitt "Warnungsverlauf" kann mehrere Warnungen enthalten, wobei zusätzliche Warnungen im Zusammenhang mit derselben Ausführungsstruktur vor oder nach der ausgewählten Warnung angezeigt werden.

Untersuchen mithilfe des Warnungs-Zeitleiste

Die Warnungs-Zeitleiste ergänzt die vorhandene Ansicht "Prozessstruktur", indem sie Benutzern eine umfassende Perspektive für jede Warnung bietet. Während die Prozessstruktur eine detaillierte Aufschlüsselung der der Warnung zugeordneten Prozesse und Aktivitäten bietet, bietet die Warnungs-Zeitleiste eine verkürzte chronologische Ansicht, die eine schnelle Selektierung und Entscheidungsfindung ermöglicht.

Ausführen von Aktionen im Detailbereich

Nachdem Sie eine entität von Interesse ausgewählt haben, ändert sich der Detailbereich, um Informationen zum ausgewählten Entitätstyp, Verlaufsinformationen anzuzeigen, wenn er verfügbar ist, und bietet Steuerelemente an, um direkt auf der Warnungsseite Maßnahmen für diese Entität zu ergreifen .

Sobald Sie die Untersuchung abgeschlossen haben, kehren Sie zu der Warnung zurück, mit der Sie begonnen haben, markieren Sie die status der Warnung als Gelöst, und klassifizieren Sie sie entweder als Falsche Warnung oder True-Warnung. Durch das Klassifizieren von Warnungen können Sie diese Funktion optimieren, um mehr echte und weniger falsche Warnungen bereitzustellen.

Wenn Sie sie als echte Warnung klassifizieren, können Sie auch eine Bestimmung auswählen, wie in der folgenden Abbildung dargestellt.

Wenn bei einer Branchenanwendung eine falsche Warnung auftritt, erstellen Sie eine Unterdrückungsregel, um diese Art von Warnung in Zukunft zu vermeiden.

Tipp

Wenn Probleme auftreten, die oben nicht beschrieben sind, verwenden Sie die 🙂 Schaltfläche, um Feedback zu geben oder ein Supportticket zu öffnen.

Verwandte Themen

• Anzeigen und Organisieren der Warnungswarteschlange für Microsoft Defender für Endpunkt
• Verwalten von Microsoft Defender for Endpoint Warnungen
• Untersuchen einer Datei, die einer Defender für Endpunkt-Warnung zugeordnet ist
• Untersuchen von Geräten in der Liste "Defender für Endpunktgeräte"
• Untersuchen einer IP-Adresse, die einer Defender für Endpunkt-Warnung zugeordnet ist
• Untersuchen einer Domäne, die einer Defender für Endpunkt-Warnung zugeordnet ist
• Untersuchen eines Benutzerkontos in Defender für Endpunkt

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.