Microsoft Defender for Endpoint ilmoitusjonon tarkasteleminen ja järjestäminen
Koskee seuraavia:
Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.
Ilmoitukset-jonossa näkyy luettelo ilmoituksista, jotka on merkitty verkon laitteista. Jono näyttää oletusarvoisesti viimeisten seitsemän päivän aikana näkyneet hälytykset ryhmitetyssä näkymässä. Uusimmat ilmoitukset näytetään luettelon yläosassa, jolloin näet uusimmat ilmoitukset ensin.
Huomautus
Hälytyksiä vähennetään merkittävästi automatisoidun tutkinnan ja korjauksen myötä, jolloin suojaustoimintojen asiantuntijat voivat keskittyä kehittyneempiin uhkiin ja muihin korkean arvon aloitteisiin. Kun ilmoitus sisältää tuetun entiteetin automatisoitua tutkimusta varten (esimerkiksi tiedoston) laitteessa, jossa on tuettu käyttöjärjestelmä, voidaan aloittaa automatisoitu tutkimus ja korjaus. Lisätietoja automatisoiduista tutkimuksista on artikkelissa Yleiskatsaus automatisoiduista tutkimuksista.
Voit mukauttaa ilmoitusnäkymää useilla eri vaihtoehdoilla.
Yläsiirtymispalkissa voit:
- Sarakkeiden lisääminen tai poistaminen mukauttamalla
- Käytä suodattimia
- Näytä tietyn keston, kuten 1 päivän, 3 päivän, 1 viikon, 30 päivän ja 6 kuukauden ilmoitukset
- Ilmoitusluettelon vieminen Exceliin
- Ilmoitusten hallinta
Hälytysten lajitteleminen ja suodattaminen
Voit käyttää seuraavia suodattimia rajoittaaksesi ilmoitusten luetteloa ja saadaksesi tarkemman näkymän ilmoituksista.
Vakavuus
| Ilmoituksen vakavuus | Kuvaus |
|---|---|
| Korkea (Punainen) |
Hälytykset, jotka yleisesti nähdään liittyen kehittyneisiin pysyviin uhkiin (APT). Nämä hälytykset ovat merkki suuresta riskistä, koska ne voivat aiheuttaa laitteille aiheuttamien vahinkojen vakavuutta. Esimerkkejä ovat: tunnistetietovarkaustyökalujen toiminnot, kiristyshaittaohjelmatoiminnot, joita ei ole liitetty mihinkään ryhmään, suojausantureiden peukalointi tai jokin ihmisen vastustajaan viittaava haitallinen toiminta. |
| Normaali (Oranssi) |
Hälytyksiä päätepisteen tunnistukseen ja vastaukseen murron jälkeisistä toiminnoista, jotka saattavat olla osa edistynyttä pysyvää uhkaa (APT). Näitä toimintoja ovat esimerkiksi hyökkäysvaiheille tyypillinen havaittu käyttäytyminen, poikkeava rekisterin muutos, epäilyttävien tiedostojen suorittaminen. Vaikka jotkut saattavat olla osa sisäistä turvallisuustestausta, se vaatii tutkimusta, koska se voi olla myös osa edistynyttä hyökkäystä. |
| Alhainen (Keltainen) |
Hälytyksiä laajalle levinneeseen haittaohjelmistoon liittyvistä uhista. Esimerkiksi hakkerointityökalut, muut kuin haittaohjelmien hakkerointityökalut, kuten etsintäkomentojen suorittaminen, lokien tyhjentäminen jne., jotka eivät useinkaan osoita organisaatiolle kohdistuvaa edistynyttä uhkaa. Se voi myös olla peräisin eristetystä suojaustyökalutestauksesta, jonka organisaatiosi käyttäjä on testannut. |
| Tiedottava (Harmaa) |
Hälytyksiä, joita ei ehkä pidetä verkon haitallisina, mutta jotka voivat lisätä organisaation suojaustietoisuutta mahdollisista suojausongelmista. |
Ilmoituksen vakavuuden ymmärtäminen
Microsoft Defender virustentorjunta ja Defender for Endpoint -ilmoitusten vakavuus on erilainen, koska ne edustavat eri vaikutusalueita.
virustentorjuntaohjelman Microsoft Defender uhkien vakavuus edustaa havaitun uhan (haittaohjelmiston) absoluuttista vakavuutta, ja se määritetään yksittäiselle laitteelle mahdollisesti aiheutuvan riskin perusteella, jos se on infektoitunut.
Defender for Endpoint -ilmoituksen vakavuus määrittää havaitun toiminnan vakavuuden, todellisen riskin laitteelle, mutta mikä tärkeintä, mahdollisen riskin organisaatiolle.
Näin ollen esimerkiksi:
- Defender for Endpoint -hälytyksen vakavuus Microsoft Defender virustentorjuntaohjelma havaitsi uhan, joka estettiin eikä tartunut laitteeseen, luokitellaan tiedottavaksi, koska varsinaisia vaurioita ei ollut.
- Kaupallisesta haittaohjelmasta on havaittu ilmoitus, mutta Microsoft Defender virustentorjuntaohjelma on estänyt sen ja korjannut sen, luokitellaan arvoksi "Pieni", koska se on saattanut aiheuttaa vahinkoa yksittäiselle laitteelle, mutta ei aiheuta organisaatiouhkaa.
- Suoritusten aikana havaittu haittaohjelmistoa koskeva ilmoitus, joka voi aiheuttaa uhan paitsi yksittäiselle laitteelle myös organisaatiolle, riippumatta siitä, onko se lopulta estetty, voidaan luokitella "Keskikokoiseksi" tai "korkeaksi".
- Epäilyttävät toimintahälytykset, joita ei estetty tai korjattu, luokitellaan "Low", "Medium" tai "High" samojen organisaation uhkiin huomioitavien seikkojen mukaisesti.
Tila
Voit suodattaa ilmoitusten luettelon niiden tilan perusteella.
Huomautus
Jos ilmoitustyyppiä ei tueta - ilmoituksen tila on, se tarkoittaa, että automaattisen tutkinnan ominaisuudet eivät voi noutaa kyseistä ilmoitusta automatisoidun tutkimuksen suorittamiseksi. Voit kuitenkin tutkia nämä hälytykset manuaalisesti.
Luokat
Olemme määrittäneet hälytysluokat uudelleen linjaan yrityksen hyökkäystaktiikoihinMITRE ATT&CK -matriisissa. Uudet luokkien nimet koskevat kaikkia uusia ilmoituksia. Aiemmin luodut ilmoitukset säilyttävät edelliset luokkien nimet.
Palvelulähteet
Voit suodattaa ilmoitukset seuraavien palvelulähteiden perusteella:
- Microsoft Defender for Identity
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Endpoint
- Microsoft Defender XDR
- Microsoft Defender for Office 365
- Sovellusten hallinta
- Microsoft Entra ID -tunnuksien suojaus
Microsoftin päätepisteen ilmoitusasiakkaat voivat nyt suodattaa ja nähdä tunnistuksia palvelusta suodattamalla Microsoft Defender asiantuntijat Microsoft Defender for Endpoint -palvelulähteen alla.
Huomautus
Virustentorjuntasuodatin tulee näkyviin vain, jos laitteet käyttävät Microsoft Defender virustentorjuntaohjelmaa oletusarvoisena reaaliaikaisena haittaohjelmien torjuntatuotteena.
Tunnisteet
Voit suodattaa ilmoitukset hälytyksille määritettyjen tunnisteiden perusteella.
Politiikan
Voit suodattaa hälytykset seuraavien käytäntöjen perusteella:
| Tunnistamislähde | Ohjelmointirajapinnan arvo |
|---|---|
| Kolmannen osapuolen tunnistimet | ThirdPartySensors |
| Antivirus | WindowsDefenderAv |
| Automaattinen tutkinta | Automaattinen tunnistaminen |
| Mukautettu tunnistaminen | Mukautettu detection |
| Mukautettu ti | Asiakkaanti. |
| EDR | WindowsDefenderAtp |
| Microsoft Defender XDR | MTP |
| Microsoft Defender for Office 365 | OfficeATP |
| Microsoft Defender asiantuntijat | ThreatExperts |
| Smartscreen | WindowsDefenderSmartScreen |
Yhteisöt
Voit suodattaa ilmoitukset entiteetin nimen tai tunnuksen perusteella.
Automaattisen tutkinnan tila
Voit suodattaa hälytykset niiden automatisoidun tutkinnan tilan perusteella.
Aiheeseen liittyvät artikkelit
- Microsoft Defender for Endpoint ilmoitusten hallinta
- Microsoft Defender for Endpoint ilmoitusten tutkiminen
- Microsoft Defender for Endpoint-ilmoituksiin liittyvän tiedoston tutkiminen
- Microsoft Defender for Endpoint Laitteet-luettelon laitteiden tutkiminen
- Microsoft Defender for Endpoint-ilmoituksiin liittyvän IP-osoitteen tutkiminen
- Microsoft Defender for Endpoint-ilmoitukseen liittyvän toimialueen tutkiminen
- Käyttäjätilin tutkiminen Microsoft Defender for Endpoint
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.
Palaute
Tulossa pian: Vuoden 2024 aikana poistamme asteittain GitHub Issuesin käytöstä sisällön palautemekanismina ja korvaamme sen uudella palautejärjestelmällä. Lisätietoja on täällä: https://aka.ms/ContentUserFeedback.
Lähetä ja näytä palaute kohteelle