Die Warnungsseite in Microsoft Defender for Endpoint bietet vollständigen Kontext für die Warnung, indem Angriffssignale und Warnungen im Zusammenhang mit der ausgewählten Warnung kombiniert werden, um eine detaillierte Warnungsgeschichte zu erstellen.
Schnelles Selektieren, Untersuchen und Ergreifen effektiver Maßnahmen für Warnungen, die sich auf Ihre organization auswirken. Verstehen Sie, warum sie ausgelöst wurden, und ihre Auswirkungen von einem Ort aus. Weitere Informationen finden Sie in dieser Übersicht.
Erste Schritte mit einer Warnung
Wenn Sie den Namen einer Warnung in Defender für Endpunkt auswählen, gelangen Sie zu der zugehörigen Warnungsseite. Auf der Warnungsseite werden alle Informationen im Kontext der ausgewählten Warnung angezeigt. Jede Warnungsseite besteht aus vier Abschnitten:
Der Warnungstitel zeigt den Namen der Warnung an und erinnert Sie daran, welche Warnung ihre aktuelle Untersuchung gestartet hat, unabhängig davon, was Sie auf der Seite ausgewählt haben.
Betroffene Ressourcen listet Karten von Geräten und Benutzern auf, die von dieser Warnung betroffen sind und auf die für weitere Informationen und Aktionen geklickt werden kann.
Der Warnungsverlauf zeigt alle Entitäten im Zusammenhang mit der Warnung an, die durch eine Strukturansicht miteinander verbunden sind. Die Warnung im Titel steht im Fokus, wenn Sie zum ersten Mal auf die Seite der ausgewählten Warnung gelangen. Entitäten im Warnungsverlauf können erweitert und geklickt werden, um zusätzliche Informationen bereitzustellen und die Reaktion zu beschleunigen, indem Sie Direkt im Kontext der Warnungsseite Aktionen ausführen können. Verwenden Sie die Warnungsgeschichte, um ihre Untersuchung zu starten. Informationen dazu finden Sie unter Untersuchen von Warnungen in Microsoft Defender for Endpoint.
Im Detailbereich werden zunächst die Details der ausgewählten Warnung mit Details und Aktionen im Zusammenhang mit dieser Warnung angezeigt. Wenn Sie eine der betroffenen Ressourcen oder Entitäten im Warnungsverlauf auswählen, ändert sich der Detailbereich, um Kontextinformationen und Aktionen für das ausgewählte Objekt bereitzustellen.
Notieren Sie sich die Erkennungs-status für Ihre Warnung.
Verhindert: Die versuchte verdächtige Aktion wurde vermieden. Beispielsweise wurde eine Datei nicht auf den Datenträger geschrieben oder ausgeführt.
Blockiert: Verdächtiges Verhalten wurde ausgeführt und dann blockiert. Beispielsweise wurde ein Prozess ausgeführt, aber da er anschließend verdächtiges Verhalten aufwiesen, wurde der Prozess beendet.
Erkannt: Ein Angriff wurde erkannt und ist möglicherweise noch aktiv.
Sie können dann auch die Details zur automatisierten Untersuchung im Detailbereich Ihrer Warnung überprüfen, um zu sehen, welche Aktionen bereits ausgeführt wurden, sowie die Beschreibung der Warnung für empfohlene Aktionen zu lesen.
Weitere Informationen, die im Detailbereich verfügbar sind, wenn die Warnung geöffnet wird, umfassen MITRE-Techniken, Quelle und zusätzliche kontextbezogene Details.
Hinweis
Wenn eine Warnung vom Typ "Nicht unterstützt" status angezeigt wird, bedeutet dies, dass automatisierte Untersuchungsfunktionen diese Warnung nicht zum Ausführen einer automatisierten Untersuchung aufnehmen können. Sie können diese Warnungen jedoch manuell untersuchen.
Überprüfen der betroffenen Ressourcen
Wenn Sie ein Gerät oder einen Benutzer Karte in den betroffenen Ressourcenabschnitten auswählen, wechseln Sie zu den Details des Geräts oder Benutzers im Detailbereich.
Für Geräte werden im Detailbereich Informationen zum Gerät selbst angezeigt, z. B. Domäne, Betriebssystem und IP. Aktive Warnungen und die angemeldeten Benutzer auf diesem Gerät sind ebenfalls verfügbar. Sie können sofortige Maßnahmen ergreifen, indem Sie das Gerät isolieren, die App-Ausführung einschränken oder eine Antivirenüberprüfung ausführen. Alternativ können Sie ein Untersuchungspaket erfassen, eine automatisierte Untersuchung initiieren oder zur Geräteseite wechseln, um die Untersuchung aus Der Sicht des Geräts zu untersuchen.
Für Benutzer werden im Detailbereich ausführliche Benutzerinformationen angezeigt, z. B. der SAM-Name und die SID des Benutzers, sowie anmeldetypen, die von diesem Benutzer ausgeführt werden, sowie alle damit verbundenen Warnungen und Vorfälle. Sie können Benutzerseite öffnen auswählen, um die Untersuchung aus sicht dieses Benutzers fortzusetzen.