Microsoft Defender for Endpoint ilmoitusten tutkiminen

Koskee seuraavia:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Tutki verkkoon vaikuttavia hälytyksiä ja ymmärrä, mitä ne tarkoittavat ja miten ne ratkaistaan.

Valitse ilmoitus ilmoitusjonosta siirtyäksesi ilmoitussivulle. Tämä näkymä sisältää ilmoituksen otsikon, kyseessä olevat resurssit, tietojen sivuruudun ja ilmoituksen tarinan.

Aloita tutkimus ilmoitussivulla valitsemalla kyseessä olevat resurssit tai mikä tahansa entiteeteistä ilmoitustarinanäkymässä. Tietoruutu täyttää automaattisesti lisätietoja valitsemastasi asiasta. Jos haluat nähdä, millaisia tietoja voit tarkastella täällä, lue artikkeli Tarkastele ilmoituksia Microsoft Defender for Endpoint.

Tutki ilmoitustarinan avulla

Ilmoitusjuttu kertoo, miksi ilmoitus käynnistettiin, liittyvät tapahtumat, jotka tapahtuivat ennen ja jälkeen, sekä muut liittyvät entiteetit.

Entiteetit ovat napsautettavissa ja kaikki entiteetit, jotka eivät ole ilmoituksia, ovat laajennettavissa käyttämällä entiteetin kortin oikeassa reunassa olevaa laajennuskuvaketta. Kohdistettava entiteetti merkitään sinisellä raidalla kyseisen entiteetin kortin vasemmalla puolella, ja otsikkoon kohdistetaan ensin ilmoitus.

Voit tarkastella tietoja yhdellä silmäyksellä laajentamalla entiteetit. Entiteetin valitseminen vaihtaa tietoruudun kontekstin tähän entiteettiin, ja voit tarkastella lisätietoja sekä hallita kyseistä entiteettiä. Kun valitset ... entiteettikortin oikealta puolelta, näet kaikki kyseiselle entiteetille käytettävissä olevat toiminnot. Nämä samat toiminnot näkyvät tietoruudussa, kun kyseinen entiteetti on kohdistetuna.

Huomautus

Ilmoituksen juttu -osiossa voi olla useita ilmoituksia, ja samaan suorituspuuhun liittyvät lisäilmoitukset näkyvät ennen valitsemaasi ilmoitusta tai sen jälkeen.

Tutki ilmoitusaikajanan avulla

Hälytyksen aikajana täydentää olemassa olevaa prosessipuunäkymää tarjoamalla käyttäjille kattavan perspektiivin kuhunkin ilmoituksesta. Vaikka prosessipuu sisältää yksityiskohtaisen erittelyn hälytyksen liittyvistä prosesseista ja toiminnoista, hälytyksen aikajana näyttää tiivistetyn aikajärjestyksessä olevan näkymän, joka helpottaa nopeaa käsittelyä ja päätöksentekoa.

Toiminnon suorittaminen tietoruudusta

Kun olet valinnut kiinnostavan entiteetin, tiedot-ruutu muuttuu näyttämään valitun entiteettityypin tiedot, historialliset tiedot, kun ne ovat käytettävissä, ja tarjoamaan ohjausobjekteja tämän entiteetin toimien toteuttamiseksi suoraan ilmoitussivulta.

Kun olet lopettanut tutkimisen, palaa takaisin aloittamaan ilmoitukseen, merkitse ilmoituksen tilaksi Ratkaistu ja luokittele se joko False-ilmoitukseksi tai True-hälytykseksi. Ilmoitusten luokittelu auttaa hienosäätämään tätä ominaisuutta niin, että se tarjoaa enemmän todellisia ilmoituksia ja vähemmän vääriä ilmoituksia.

Jos luokittelet sen todelliseksi ilmoitukseksi, voit myös valita määrityksen alla olevan kuvan mukaisesti.

Jos saat epätosi-ilmoituksen toimialasovelluksessa, luo estosääntö, jotta tämäntyyppinen ilmoitus vältetään tulevaisuudessa.

Vihje

Jos kohtaat ongelmia, joita ei ole kuvattu edellä, voit antaa palautetta painikkeella 🙂 tai avata tukipalvelupyynnön.

Aiheeseen liittyvät artikkelit

• Microsoft Defender for Endpoint ilmoitusjonon tarkasteleminen ja järjestäminen
• Microsoft Defender for Endpoint ilmoitusten hallinta
• Defender for Endpoint -hälytykseen liittyvän tiedoston tutkiminen
• Laitteiden tutkiminen Defender for Endpoint Devices -luettelossa
• Defender for Endpoint -hälytykseen liittyvän IP-osoitteen tutkiminen
• Defender for Endpoint -hälytykseen liittyvän toimialueen tutkiminen
• Käyttäjätilin tutkiminen Defender for Endpointissa

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.