Jaa


Microsoft Defender for Endpoint ilmoitusjonon tarkasteleminen ja järjestäminen

Koskee seuraavia:

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Ilmoitukset-jonossa näkyy luettelo ilmoituksista, jotka on merkitty verkon laitteista. Jono näyttää oletusarvoisesti viimeisten seitsemän päivän aikana näkyneet hälytykset ryhmitetyssä näkymässä. Uusimmat ilmoitukset näytetään luettelon yläosassa, jolloin näet uusimmat ilmoitukset ensin.

Huomautus

Hälytyksiä vähennetään merkittävästi automatisoidun tutkinnan ja korjauksen myötä, jolloin suojaustoimintojen asiantuntijat voivat keskittyä kehittyneempiin uhkiin ja muihin korkean arvon aloitteisiin. Kun ilmoitus sisältää tuetun entiteetin automatisoitua tutkimusta varten (esimerkiksi tiedoston) laitteessa, jossa on tuettu käyttöjärjestelmä, voidaan aloittaa automatisoitu tutkimus ja korjaus. Lisätietoja automatisoiduista tutkimuksista on artikkelissa Yleiskatsaus automatisoiduista tutkimuksista.

Voit mukauttaa ilmoitusnäkymää useilla eri vaihtoehdoilla.

Yläsiirtymispalkissa voit:

  • Sarakkeiden lisääminen tai poistaminen mukauttamalla
  • Käytä suodattimia
  • Näytä tietyn keston, kuten 1 päivän, 3 päivän, 1 viikon, 30 päivän ja 6 kuukauden ilmoitukset
  • Ilmoitusluettelon vieminen Exceliin
  • Ilmoitusten hallinta

Ilmoitukset-jonosivu

Hälytysten lajitteleminen ja suodattaminen

Voit käyttää seuraavia suodattimia rajoittaaksesi ilmoitusten luetteloa ja saadaksesi tarkemman näkymän ilmoituksista.

Vakavuus

Ilmoituksen vakavuus Kuvaus
Korkea
(Punainen)
Hälytykset, jotka yleisesti nähdään liittyen kehittyneisiin pysyviin uhkiin (APT). Nämä hälytykset ovat merkki suuresta riskistä, koska ne voivat aiheuttaa laitteille aiheuttamien vahinkojen vakavuutta. Esimerkkejä ovat: tunnistetietovarkaustyökalujen toiminnot, kiristyshaittaohjelmatoiminnot, joita ei ole liitetty mihinkään ryhmään, suojausantureiden peukalointi tai jokin ihmisen vastustajaan viittaava haitallinen toiminta.
Normaali
(Oranssi)
Hälytyksiä päätepisteen tunnistukseen ja vastaukseen murron jälkeisistä toiminnoista, jotka saattavat olla osa edistynyttä pysyvää uhkaa (APT). Näitä toimintoja ovat esimerkiksi hyökkäysvaiheille tyypillinen havaittu käyttäytyminen, poikkeava rekisterin muutos, epäilyttävien tiedostojen suorittaminen. Vaikka jotkut saattavat olla osa sisäistä turvallisuustestausta, se vaatii tutkimusta, koska se voi olla myös osa edistynyttä hyökkäystä.
Alhainen
(Keltainen)
Hälytyksiä laajalle levinneeseen haittaohjelmistoon liittyvistä uhista. Esimerkiksi hakkerointityökalut, muut kuin haittaohjelmien hakkerointityökalut, kuten etsintäkomentojen suorittaminen, lokien tyhjentäminen jne., jotka eivät useinkaan osoita organisaatiolle kohdistuvaa edistynyttä uhkaa. Se voi myös olla peräisin eristetystä suojaustyökalutestauksesta, jonka organisaatiosi käyttäjä on testannut.
Tiedottava
(Harmaa)
Hälytyksiä, joita ei ehkä pidetä verkon haitallisina, mutta jotka voivat lisätä organisaation suojaustietoisuutta mahdollisista suojausongelmista.

Ilmoituksen vakavuuden ymmärtäminen

Microsoft Defender virustentorjunta ja Defender for Endpoint -ilmoitusten vakavuus on erilainen, koska ne edustavat eri vaikutusalueita.

virustentorjuntaohjelman Microsoft Defender uhkien vakavuus edustaa havaitun uhan (haittaohjelmiston) absoluuttista vakavuutta, ja se määritetään yksittäiselle laitteelle mahdollisesti aiheutuvan riskin perusteella, jos se on infektoitunut.

Defender for Endpoint -ilmoituksen vakavuus määrittää havaitun toiminnan vakavuuden, todellisen riskin laitteelle, mutta mikä tärkeintä, mahdollisen riskin organisaatiolle.

Näin ollen esimerkiksi:

  • Defender for Endpoint -hälytyksen vakavuus Microsoft Defender virustentorjuntaohjelma havaitsi uhan, joka estettiin eikä tartunut laitteeseen, luokitellaan tiedottavaksi, koska varsinaisia vaurioita ei ollut.
  • Kaupallisesta haittaohjelmasta on havaittu ilmoitus, mutta Microsoft Defender virustentorjuntaohjelma on estänyt sen ja korjannut sen, luokitellaan arvoksi "Pieni", koska se on saattanut aiheuttaa vahinkoa yksittäiselle laitteelle, mutta ei aiheuta organisaatiouhkaa.
  • Suoritusten aikana havaittu haittaohjelmistoa koskeva ilmoitus, joka voi aiheuttaa uhan paitsi yksittäiselle laitteelle myös organisaatiolle, riippumatta siitä, onko se lopulta estetty, voidaan luokitella "Keskikokoiseksi" tai "korkeaksi".
  • Epäilyttävät toimintahälytykset, joita ei estetty tai korjattu, luokitellaan "Low", "Medium" tai "High" samojen organisaation uhkiin huomioitavien seikkojen mukaisesti.

Tila

Voit suodattaa ilmoitusten luettelon niiden tilan perusteella.

Huomautus

Jos ilmoitustyyppiä ei tueta - ilmoituksen tila on, se tarkoittaa, että automaattisen tutkinnan ominaisuudet eivät voi noutaa kyseistä ilmoitusta automatisoidun tutkimuksen suorittamiseksi. Voit kuitenkin tutkia nämä hälytykset manuaalisesti.

Luokat

Olemme määrittäneet hälytysluokat uudelleen linjaan yrityksen hyökkäystaktiikoihinMITRE ATT&CK -matriisissa. Uudet luokkien nimet koskevat kaikkia uusia ilmoituksia. Aiemmin luodut ilmoitukset säilyttävät edelliset luokkien nimet.

Palvelulähteet

Voit suodattaa ilmoitukset seuraavien palvelulähteiden perusteella:

  • Microsoft Defender for Identity
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Endpoint
  • Microsoft Defender XDR
  • Microsoft Defender for Office 365
  • Sovellusten hallinta
  • Microsoft Entra ID -tunnuksien suojaus

Microsoftin päätepisteen ilmoitusasiakkaat voivat nyt suodattaa ja nähdä tunnistuksia palvelusta suodattamalla Microsoft Defender asiantuntijat Microsoft Defender for Endpoint -palvelulähteen alla.

Huomautus

Virustentorjuntasuodatin tulee näkyviin vain, jos laitteet käyttävät Microsoft Defender virustentorjuntaohjelmaa oletusarvoisena reaaliaikaisena haittaohjelmien torjuntatuotteena.

Tunnisteet

Voit suodattaa ilmoitukset hälytyksille määritettyjen tunnisteiden perusteella.

Politiikan

Voit suodattaa hälytykset seuraavien käytäntöjen perusteella:

Tunnistamislähde Ohjelmointirajapinnan arvo
Kolmannen osapuolen tunnistimet ThirdPartySensors
Antivirus WindowsDefenderAv
Automaattinen tutkinta Automaattinen tunnistaminen
Mukautettu tunnistaminen Mukautettu detection
Mukautettu ti Asiakkaanti.
EDR WindowsDefenderAtp
Microsoft Defender XDR MTP
Microsoft Defender for Office 365 OfficeATP
Microsoft Defender asiantuntijat ThreatExperts
Smartscreen WindowsDefenderSmartScreen

Yhteisöt

Voit suodattaa ilmoitukset entiteetin nimen tai tunnuksen perusteella.

Automaattisen tutkinnan tila

Voit suodattaa hälytykset niiden automatisoidun tutkinnan tilan perusteella.

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.