Jaa

Microsoft Defender for Endpoint ilmoitusten hallinta

  • Artikkeli

Koskee seuraavia:

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Defender for Endpoint ilmoittaa sinulle mahdollisista haitallisista tapahtumista, määritteistä ja tilannekohtaisista tiedoista ilmoitusten kautta. Näet yhteenvedon uusista ilmoituksista, ja voit käyttää kaikkia Ilmoitukset-jonon ilmoituksia.

Voit hallita ilmoituksia valitsemalla ilmoituksen Ilmoitukset-jonosta tai Laite-sivun Ilmoitukset-välilehdestä yksittäiselle laitteelle.

Ilmoituksen valitseminen kummassakin paikassa tuo näkyviin Ilmoitusten hallinta -ruudun.

Ilmoitusten hallintaruutu ja Ilmoitukset-jono

Katso tästä videosta, miten voit käyttää uutta Microsoft Defender for Endpoint ilmoitussivua.

Voit luoda uuden tapauksen ilmoituksesta tai linkittää olemassa olevaan tapaukseen.

Määritä hälytykset

Jos ilmoitusta ei ole vielä määritetty, voit määrittää ilmoituksen itsellesi valitsemalla Määritä minulle .

Piilota ilmoitukset

Joissakin tilanteissa sinun on ehkä piilotettava ilmoitusten näkyminen Microsoft Defender XDR. Defender for Endpointin avulla voit luoda ekkelysääntöjä tietyille hälytyksille, joiden tiedetään olevan harmittomia, kuten tunnetut työkalut tai prosessit organisaatiossasi.

Piilotussäännöt voidaan luoda aiemmin luodusta ilmoituksesta. Ne voidaan tarvittaessa poistaa käytöstä ja lähettää uudelleen.

Kun piilotussääntö luodaan, se tulee voimaan siitä alkaen, kun sääntö luodaan. Sääntö ei vaikuta jonossa jo oleviin hälytyksiin ennen säännön luomista. Sääntöä käytetään vain ilmoituksiin, jotka täyttävät säännön luomisen jälkeen asetetut ehdot.

Piilotussäännölle on kaksi kontekstia, joista voit valita:

  • Piilota ilmoitus tässä laitteessa
  • Piilota ilmoitus organisaatiossa

Säännön kontekstin avulla voit räätälöidä portaaliin tulevat tiedot ja varmistaa, että portaaliin tulee esiin vain todellisia suojausilmoituksia.

Voit käyttää seuraavassa taulukossa olevia esimerkkejä, joiden avulla voit valita piilotussäännön kontekstin:

Yhteydessä Määritelmä Esimerkkejä eri tilanteista
Piilota ilmoitus tässä laitteessa Ilmoitukset, joilla on sama ilmoitusnimi ja vain kyseisessä laitteessa, eivät tule näkyviin.

Kaikkia muita kyseisessä laitteessa olevia ilmoituksia ei piiloteta.
  • Tietoturvatutkija tutkii haitallista komentosarjaa, jota on käytetty hyökkäämään organisaation muihin laitteisiin.
  • Kehittäjä luo säännöllisesti PowerShell-komentosarjoja tiimilleen.
Piilota ilmoitus organisaatiossa Ilmoitukset, joissa on sama ilmoitusnimi missä tahansa laitteessa, eivät ole käytössä.
  • Kaikki organisaatiossasi käyttävät hyvänlaatuista hallintatyökalua.

Piilota ilmoitus ja luo uusi piilotussääntö

Create mukautettuja sääntöjä, joiden avulla hallitaan sitä, milloin ilmoituksia ei vaieta tai ratkaistaan. Voit hallita kontekstia, kun ilmoitusta ei poisteta, määrittämällä ilmoituksen otsikon, kompromissiilmaisimen ja ehdot. Kun olet määrittänyt kontekstin, voit määrittää ilmoituksen toiminnon ja vaikutusalueen.

  1. Valitse ilmoitus, jonka haluat estää. Tämä tuo näkyviin Ilmoitusten hallinta -ruudun.

  2. Valitse Create piilotussääntö.

    Näiden määritteiden avulla voit luoda estastausehdon. AND-operaattoria käytetään kunkin ehdon välillä, joten estasointi tapahtuu vain, jos kaikki ehdot täyttyvät.

    • Tiedoston SHA1
    • Tiedostonimi – yleismerkki tuettu
    • Kansiopolku - yleismerkki tuettu
    • IP-osoite
    • URL - yleismerkki tuettu
    • Komentorivi – yleismerkki tuettu

  3. Valitse Käynnistävä KOK.

  4. Määritä ilmoituksen toiminto ja vaikutusalue.

    Voit ratkaista ilmoituksen automaattisesti tai piilottaa sen portaalista. Automaattisesti ratkaistut ilmoitukset näkyvät ilmoitusjonon, ilmoitussivun ja laitteen aikajanan ratkaistussa osassa, ja ne näkyvät ratkaistuina Kaikissa Defender for Endpoint -ohjelmointirajapinnoissa.

    Piilotetuksi merkityt ilmoitukset poistetaan koko järjestelmästä sekä laitteen liittyvissä ilmoituksista että koontinäytöstä, eikä niitä suoratoistaa Defender for Endpoint -ohjelmointirajapintojen kautta.

  5. Kirjoita säännön nimi ja kommentti.

  6. Valitse Tallenna.

Näytä estosääntöjen luettelo

  1. Valitse siirtymisruudussa Asetukset>Päätepisteet>Säännöt>Ilmoitusten estäminen.

  2. Estosääntöjen luettelossa näkyvät kaikki säännöt, jotka organisaatiosi käyttäjät ovat luoneet.

Lisätietoja evätyssääntöjen hallinnasta on artikkelissa Estämissääntöjen hallinta

Ilmoituksen tilan muuttaminen

Voit luokitella hälytyksiä uusiksi,keskeneräisiksi tai ratkaistuiksi muuttamalla niiden tilaa tutkinnan edetessä. Näin voit järjestellä ja hallita sitä, miten tiimisi voi vastata hälytyksiin.

Ryhmänjohtaja voi esimerkiksi tarkistaa kaikki uudet hälytykset ja päättää määrittää ne Keskeneräiset-jonoon lisäanalyyseja varten.

Vaihtoehtoisesti ryhmänjohtaja voi määrittää hälytyksen Ratkaistu-jonoon, jos hän tietää hälytyksen olevan hyvänlaatuinen, se tulee laitteesta, jolla ei ole merkitystä (kuten suojauksen järjestelmänvalvojalle kuuluva) tai jota käsitellään aiemmassa hälytyksessä.

Hälytysten luokitus

Voit valita, ettei luokitusta määritetä, tai määrittää, onko ilmoitus tosi-ilmoitus vai epätosi-ilmoitus. On tärkeää antaa true positive/false -positiivisen luokitus. Tämän luokituksen avulla valvotaan ilmoitusten laatua ja tehdään hälytyksistä tarkempia. "Määritys"-kenttä määrittää lisätiteettiarvon "true positive" -luokitukselle.

Hälytysten luokitteluvaiheet sisältyvät tähän videoon:

Kommenttien lisääminen ja ilmoituksen historian tarkasteleminen

Voit lisätä kommentteja ja tarkastella ilmoituksen historiallisia tapahtumia nähdäksesi hälytykseen tehdyt aiemmat muutokset.

Aina kun ilmoituksiin tehdään muutos tai kommentti, se tallennetaan Kommentit ja historia -osioon.

Lisätyt kommentit näkyvät heti ruudussa.

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.