ניהול Microsoft Defender עבור נקודת קצה התראות

חל על:

• Microsoft Defender עבור תוכנית 1 של נקודת קצה
• Microsoft Defender עבור תוכנית 2 של נקודת קצה
• Microsoft Defender XDR

רוצה לחוות את Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.

Defender for Endpoint מיידע אותך לגבי אירועים זדוניים אפשריים, תכונות ומידע הקשרי באמצעות התראות. מוצג סיכום של התראות חדשות ובאפשרותך לגשת לכל ההתראות בתור התראות.

באפשרותך לנהל התראות על-ידי בחירת התראה בתור התראות, או בכרטיסיה התראות בדף מכשיר עבור מכשיר בודד.

בחירת התראה בכל אחד ממקומות אלה מביאה להצגת חלונית ניהול ההתראות.

צפה בסרטון וידאו זה כדי ללמוד כיצד להשתמש בדף ההתראה Microsoft Defender עבור נקודת קצה החדש.

קישור לתקרית אחרת

באפשרותך ליצור מקרה חדש מתוך ההתראה או מהקישור לתקרית קיימת.

הקצאת התראות

אם התראה עדיין לא הוקצתה, באפשרותך לבחור הקצה לי כדי להקצות את ההתראה לעצמך.

העלם התראות

עשויים להיות תרחישים שבהם עליך להעלים התראות כך שלא יופיעו Microsoft Defender XDR. Defender for Endpoint מאפשר לך ליצור כללי דיכוי עבור התראות ספציפיות הידועות כ'לא מזיקות', כגון כלים או תהליכים ידועים בארגון שלך.

ניתן ליצור כללי הסתרה מתוך התראה קיימת. ניתן להפוך אותם ללא זמינים וניתן להפוך אותם לזמינים מחדש במידת הצורך.

בעת יצירת כלל דיכוי, הוא נכנס לתוקף מהנקודה בה הכלל נוצר. הכלל לא ישפיע על התראות קיימות שכבר נמצאות בתור, לפני יצירת הכלל. הכלל יחול רק על התראות הממלאות את התנאים המוגדרים לאחר יצירת הכלל.

קיימים שני הקשרים עבור כלל דיכוי שניתן לבחור מביניהם:

• העלם התראה במכשיר זה
• העלם התראה בארגון שלי

ההקשר של הכלל מאפשר לך להתאים אישית את מה שהוכנס לפורטל ולהבטיח שרק התראות אבטחה אמיתיות יפורטו לתוך הפורטל.

באפשרותך להשתמש בדוגמאות שבטבלה הבאה כדי לבחור את ההקשר עבור כלל דיכוי:

הקשר	הגדרה	תרחישים לדוגמה
העלם התראה במכשיר זה	התראות עם אותה כותרת התראה ובהתקן ספציפי זה יודחקו בלבד. כל שאר ההתראות במכשיר זה לא יודחקו.	חוקר אבטחה חוקר קובץ Script זדוני שנעשה בו שימוש כדי לתקוף מכשירים אחרים בארגון שלך. מפתח יוצר באופן קבוע קבצי Script של PowerShell עבור הצוות שלו.
העלם התראה בארגון שלי	התראות עם אותה כותרת התראה בכל מכשיר יודחקו.	כלי ניהולי טוב משמש את כל האנשים בארגון שלך.

העלם התראה וצור כלל דיכוי חדש

Create כללים מותאמים אישית כדי לקבוע מתי התראות מודחקות, או שנפתרו. באפשרותך לקבוע את ההקשר עבור מצב שבו התראה מודחקת על-ידי ציון כותרת ההתראה, מחוון הסכנה והתנאים. לאחר ציון ההקשר, תוכל לקבוע את התצורה של הפעולה והיקף בהתראה.

1. בחר את ההתראה שברצונך להעלים. פעולה זו מעלה את חלונית ניהול ההתראות .

2. בחר Create כלל דיכוי.

   באפשרותך ליצור תנאי דיכוי באמצעות תכונות אלה. אופרטור AND מוחל בין כל תנאי, ולכן דיכוי מתרחש רק אם כל התנאים מתקיימים.

   • קובץ SHA1
   • שם הקובץ - נתמך תווים כלליים
   • נתיב תיקיה - נתמך תווים כלליים
   • כתובת IP
   • כתובת URL - תווים כלליים נתמכים
   • שורת פקודה - תווים כלליים נתמכים

3. בחר את ה- IOC המפעיל.

4. ציין את הפעולה והיקף בהתראה.

   באפשרותך לפתור התראה באופן אוטומטי או להסתיר אותה מהפורטל. התראות הנפתרו באופן אוטומטי יופיעו במקטע שנפתר של תור ההתראות, דף ההתראות וציר הזמן של המכשיר, והן יופיעו כפתורות בממשקי API של Defender for Endpoint.

   התראות המסומנות כמוסתר יועלו מהמערכת כולה, הן בהתראות המשויכות למכשיר והן בלוח המחוונים ולא יוזרמו ברחבי Defender for Endpoint API.

5. הזן שם כלל והערה.

6. לחץ על שמור.

הצגת רשימת כללי ההדחקה

1. בחלונית הניווט, בחר הגדרות מניעת> התראותשל>> כללינקודות קצה.

2. רשימת כללי ההדחקה מציגה את כל הכללים שמשתמשים בארגון שלך יצרו.

לקבלת מידע נוסף אודות ניהול כללי דיכוי, ראה ניהול כללי דיכוי

שינוי המצב של התראה

באפשרותך לסווג התראות לקטגוריות (כחדש, מתבצע או נפתר) על-ידי שינוי המצב שלהן עם התקדמות החקירה שלך. פעולה זו עוזרת לך לארגן ולנהל את האופן שבו הצוות שלך יכול להגיב להתראות.

לדוגמה, מוביל צוות יכול לסקור את כל ההתראות החדשות ולהחליט להקצות אותן לתור בביצוע לצורך ניתוח נוסף.

לחלופין, מוביל הצוות עשוי להקצות את ההתראה לתור שנפתר אם הוא יודע שההתראה אינה רלוונטית, או אם היא מטופלת באמצעות התראה מוקדמת יותר.

סיווג התראה

באפשרותך לבחור שלא להגדיר סיווג, או לציין אם התראה היא התראה אמיתית או התראה מוטעית. חשוב לספק את הסיווג של חיובי אמיתי/חיובי מוטעה. סיווג זה משמש לניטור איכות ההתראה ולהפיכת התראות למדויקות יותר. השדה "קביעה" מגדיר אמינות נוספת עבור סיווג "חיובי אמיתי".

השלבים לסווג התראות כלולים בסרטון וידאו זה:

הוספת הערות והצגת ההיסטוריה של התראה

באפשרותך להוסיף הערות ולראות אירועים היסטוריים אודות התראה כדי לראות שינויים קודמים שבוצעו בהתראה.

בכל פעם שמתבצע שינוי או הערה בהתראה, הם מתועדים במקטע הערות והיסטוריה .

הערות שנוספו מופיעות באופן מיידי בחלונית.

מאמרים קשורים

• פריטים שאינם נכללים Microsoft Defender עבור נקודת קצה אנטי Microsoft Defender וירוסים
• ניהול כללי דיכוי
• הצג וארגן את תור Microsoft Defender עבור נקודת קצה שלך
• בדוק Microsoft Defender עבור נקודת קצה התראות
• בדיקת קובץ המשויך להתראה Microsoft Defender עבור נקודת קצה אישית
• בדוק מכשירים ברשימה 'Microsoft Defender עבור נקודת קצה'
• בדוק כתובת IP המשויכת להתראה Microsoft Defender עבור נקודת קצה אישית
• חקירת תחום המשויך להתראה Microsoft Defender עבור נקודת קצה אישית
• בדיקת חשבון משתמש ב- Microsoft Defender עבור נקודת קצה

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.