Tarkastele ilmoituksia Microsoft Defender for Endpoint

  • Artikkeli

Koskee seuraavia:

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Microsoft Defender for Endpoint ilmoitussivu antaa ilmoitukseen täyden kontekstin yhdistämällä hyökkäyssignaaleja ja valittuun ilmoitukseen liittyviä hälytyksiä yksityiskohtaisen ilmoitustarinan muodostamiseksi.

Tutki nopeasti, tutki ja ryhdy tehokkaisiin toimiin organisaatioosi vaikuttavissa hälytyksissä. Ymmärrät, miksi ne käynnistettiin ja miksi ne vaikuttivat yhteen sijaintiin. Lue lisätietoja tästä yleiskatsauksesta.

Ilmoituksen käytön aloittaminen

Kun valitset ilmoituksen nimen Defender for Endpointissa, pääset sen ilmoitussivulle. Ilmoitussivulla kaikki tiedot näytetään valitun ilmoituksen kontekstissa. Kukin ilmoitussivu koostuu neljästä osasta:

  1. Ilmoituksen otsikossa näkyy hälytyksen nimi, ja se muistuttaa sinua siitä, mikä ilmoitus aloitti nykyisen tutkimuksesi riippumatta siitä, mitä olet valinnut sivulla.
  2. Resurssiluettelo sisältää niiden laitteiden ja käyttäjien kortit, joihin tämä ilmoitus vaikuttaa ja joita voi napsauttaa saadaksesi lisätietoja ja toimintoja.
  3. Ilmoitusjuttu näyttää kaikki ilmoitukseen liittyvät entiteetit puunäkymän yhdistämänä. Otsikkoon tulee ilmoitus, joka on kohdistettu, kun siirryt ensimmäisen kerran valitun ilmoituksen sivulle. Ilmoitusjutun entiteetit ovat laajennettavia ja napsautettavia. Ne antavat lisätietoja ja nopeuttavat vastausta, jolloin voit ryhtyä toimiin suoraan ilmoitussivun kontekstissa. Aloita tutkinta hälytysjuttujen avulla. Lue ohjeet kohdasta Ilmoitusten tutkiminen Microsoft Defender for Endpoint.
  4. Tietoruudussa näkyvät aluksi valitun ilmoituksen tiedot sekä tähän ilmoitukseen liittyvät tiedot ja toiminnot. Jos valitset ilmoitusjutussa jonkin asianomaisista resursseista tai entiteeteistä, tietoruutu muuttuu tarjoamaan tilannekohtaisia tietoja ja toimintoja valitulle objektille.

Huomaa ilmoituksen tunnistustila.

  • Estetty: Epäilyttävän toiminnon yrittäminen vältettiin. Esimerkiksi tiedostoa ei ole kirjoitettu levylle tai suoritettu.

    Sivulla, jossa näytetään uhan estäminen

  • Estetty: Epäilyttävä toiminta suoritettiin ja sitten estettiin. Esimerkiksi prosessi suoritettiin, mutta koska se myöhemmin osoitti epäilyttävää käyttäytymistä, prosessi lopetettiin.

    Sivu, joka näyttää uhan tukoksen

  • Havaittu: Hyökkäys havaittiin, ja se on mahdollisesti yhä aktiivinen.

    Sivu, joka näyttää uhan havaitsemisen

Sen jälkeen voit myös tarkastella automatisoidun tutkinnan tietoja ilmoituksen tietoruudussa, nähdä, mitä toimintoja on jo tehty, sekä lukea hälytyksen kuvauksen suositelluista toiminnoista.

Tiedot-ruutu, jossa on ilmoituksen kuvaus ja automaattisen tutkinnan osiot korostettuina

Muut tiedot, jotka ovat käytettävissä tietoruudussa hälytyksen avautuessa, sisältävät MITRE-tekniikat, lähteen ja muita tilannekohtaisia tietoja.

Huomautus

Jos ilmoitustyyppiä ei tueta - ilmoituksen tila on, se tarkoittaa, että automaattisen tutkinnan ominaisuudet eivät voi noutaa kyseistä ilmoitusta automatisoidun tutkimuksen suorittamiseksi. Voit kuitenkin tutkia nämä hälytykset manuaalisesti.

Tarkista kohderesurssit

Laitteen tai käyttäjäkortin valitseminen asianomaisten resurssien osioissa vaihtaa laitteen tai käyttäjän tietoihin tietoruudussa.

  • Laitteissa tietoruutu näyttää tietoja laitteesta itsestään, kuten toimialueen, käyttöjärjestelmän ja IP-osoitteen. Myös aktiiviset ilmoitukset ja kirjautuneet käyttäjät kyseisessä laitteessa ovat käytettävissä. Voit ryhtyä välittömiin toimiin eristämällä laitteen, rajoittamalla sovelluksen suorittamista tai suorittamalla virustentorjuntatarkistuksen. Vaihtoehtoisesti voit kerätä tutkimuspaketin, aloittaa automaattisen tutkimuksen tai siirtyä laitteen sivulle tutkimaan asiaa laitteen näkökulmasta.

    Tietoruutu, kun laite on valittuna

  • Käyttäjien osalta tietoruutu näyttää yksityiskohtaisia käyttäjätietoja, kuten käyttäjän SAM-nimen ja SID-tunnuksen, sekä käyttäjän suorittamat kirjautumistyypit sekä kaikki siihen liittyvät hälytykset ja tapaukset. Voit valita Avaa käyttäjä -sivun jatkaaksesi tutkimusta kyseisen käyttäjän näkökulmasta.

    Tietoruutu, kun käyttäjä valitaan

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.