סקור התראות ב- Microsoft Defender עבור נקודת קצה

  • מאמר

חל על:

רוצה לחוות את Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.

דף ההתראה ב- Microsoft Defender עבור נקודת קצה מספק הקשר מלא להתראה, על-ידי שילוב אותות תקיפה והתראות הקשורים להתראה שנבחרה, כדי לבנות סיפור התראה מפורט.

קביעת סדר עדיפויות מהירה, חקור ובצע פעולה יעילה לגבי התראות המשפיעות על הארגון שלך. להבין מדוע הם מופעלים, ואת השפעתם ממיקום אחד. קבל מידע נוסף בסקירה זו.

תחילת העבודה עם התראה

בחירת שם התראה ב- Defender for Endpoint תנחת בדף ההתראה שלה. בדף ההתראה, כל המידע יוצג בהקשר של ההתראה שנבחרה. כל דף התראה כולל 4 מקטעים:

  1. כותרת ההתראה מציגה את שם ההתראה ויש שם כדי להזכיר לך איזו התראה התחילה את החקירה הנוכחית שלך, ללא קשר למה שבחרת בדף.
  2. נכסים מושפעים מציגים רשימה של כרטיסים של מכשירים ומשתמשים המושפעים מהתראה זו הניתנים ללחיצה לקבלת מידע נוסף ופעולות.
  3. סיפור ההתראה מציג את כל הישויות הקשורות להתראה, המחוברות הדדית על-ידי תצוגת עץ. ההתראה בכותרת תהיה זו שתתמקד בה כאשר תגיע לראשונה לדף ההתראה שבחרת. ישויות בכתבת ההתראה ניתנות להרחבה וניתן ללחיצה, כדי לספק מידע נוסף ולזרז את התגובה בכך שהם מאפשרים לך לבצע פעולות ישירות בהקשר של דף ההתראה. השתמש בסיפור ההתראה כדי להתחיל בחקירה. למד כיצד לבדוק התראות ב- Microsoft Defender עבור נקודת קצה.
  4. חלונית הפרטים תציג בתחילה את פרטי ההתראה שנבחרה, עם פרטים ופעולות הקשורים להתראה זו. אם תבחר אחד מהרכושים או הישויות המושפעים בכתבת ההתראה, חלונית הפרטים תהשתנות כדי לספק מידע הקשרי ופעולות עבור האובייקט שנבחר.

שים לב למצב הזיהוי של ההתראה שלך.

  • מנעת: נמנעה הפעולה החשודה שניסתה לבצע. לדוגמה, קובץ לא נכתב בדיסק או שבוצע.

    הדף המציג את המניעה של איום

  • חסום: אופן פעולה חשוד בוצע ולאחר מכן נחסם. לדוגמה, תהליך בוצע, אך מאחר שהתהליך הציג אופני פעולה חשודים, התהליך הופסק.

    הדף מציג את החסימה של איום

  • זוהתה: זוהתה התקפה וכנראה עדיין פעילה.

    הדף המציג את הזיהוי של איום

לאחר מכן תוכל גם לסקור את פרטי החקירה האוטומטית בחלונית הפרטים של ההתראה שלך, כדי לראות אילו פעולות כבר בוצעו, וכן לקרוא את תיאור ההתראה עבור פעולות מומלצות.

חלונית הפרטים עם תיאור ההתראה ומקטעי חקירה אוטומטיים מסומנים

מידע נוסף הזמין בחלונית הפרטים כאשר ההתראה נפתחת כולל טכניקות MITRE, מקור ופרטים הקשריים נוספים.

הערה

אם אתה רואה מצב התראה של סוג התראה שאינו נתמך, משמעות הדבר היא שליכולות חקירה אוטומטית אין אפשרות לאתר התראה זו כדי להפעיל חקירה אוטומטית. עם זאת, באפשרותך לחקור התראות אלה באופן ידני.

סקור נכסים מושפעים

בחירת מכשיר או כרטיס משתמש במקטעים של הנכסים המושפעים תעבור לפרטי המכשיר או המשתמש בחלונית הפרטים.

  • עבור מכשירים, חלונית הפרטים תציג מידע אודות ההתקן עצמו, כגון תחום, מערכת הפעלה ו- IP. התראות פעילות והמשתמשים המחוברים במכשיר זה זמינים גם כן. באפשרותך לבצע פעולה מיידית על-ידי אבטחת המכשיר, הגבלת ביצוע האפליקציה או הפעלת סריקת אנטי-וירוס. לחלופין, באפשרותך לאסוף חבילת חקירה, ליזום חקירה אוטומטית או לעבור לדף המכשיר כדי לבדוק זאת מתוך נקודת מבטו של המכשיר.

    חלונית הפרטים כאשר מכשיר נבחר

  • עבור משתמשים, חלונית הפרטים תציג פרטי משתמש מפורטים, כגון שם SAM ו- SID של המשתמש, וכן סוגי כניסה שבוצעו על-ידי משתמש זה וכן התראות ותקריות הקשורות אליה. באפשרותך לבחור פתח דף משתמש כדי להמשיך בחקירה מנקודת הכניסה של משתמש זה.

    חלונית הפרטים כאשר משתמש נבחר

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.