Megosztás a következőn keresztül:


Riasztások áttekintése Végponthoz készült Microsoft Defender

Érintett szolgáltatás:

Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra

Az Végponthoz készült Microsoft Defender riasztási oldala teljes kontextust biztosít a riasztáshoz a kiválasztott riasztáshoz kapcsolódó támadási jelek és riasztások kombinálásával, hogy részletes riasztási történetet hozzon létre.

A szervezetet érintő riasztások gyors osztályozása, kivizsgálása és hatékony végrehajtása. Ismerje meg, hogy miért aktiválódtak, és milyen hatással vannak rájuk egy helyről. További információt ebben az áttekintésben talál.

A riasztások használatának első lépései

Ha kiválasztja egy riasztás nevét a Végponthoz készült Defenderben, az a riasztási oldalára kerül. A riasztási oldalon az összes információ a kiválasztott riasztás kontextusában jelenik meg. Minden riasztási oldal 4 szakaszból áll:

  1. A riasztás címe megjeleníti a riasztás nevét, és emlékezteti, hogy melyik riasztás indította el az aktuális vizsgálatot, függetlenül attól, hogy mit jelölt ki az oldalon.
  2. Az érintett eszközök felsorolják a riasztás által érintett eszközök és felhasználók kártyáit, amelyek további információkért és műveletekért kattinthatók.
  3. A riasztási történet a riasztáshoz kapcsolódó összes entitást megjeleníti, egy fanézettel összekapcsolva. A címben szereplő riasztás lesz a fókuszban, amikor először a kiválasztott riasztás oldalára kerül. A riasztási történet entitásai bővíthetők és kattinthatók, így további információkat és gyors választ biztosítanak, mivel lehetővé teszik a műveletek végrehajtását közvetlenül a riasztási oldal kontextusában. A riasztási történet használatával indítsa el a vizsgálatot. További információ: Riasztások vizsgálata a Végponthoz készült Microsoft Defender-ben.
  4. A részletek panelen először a kiválasztott riasztás részletei láthatók, a riasztással kapcsolatos részletekkel és műveletekkel együtt. Ha kiválasztja a riasztási történet érintett eszközeit vagy entitásait, a részletek panel úgy módosul, hogy környezeti információkat és műveleteket biztosítson a kiválasztott objektumhoz.

Jegyezze fel a riasztás észlelési állapotát.

  • Letiltva: A megkísérelt gyanús művelet el lett kerülve. Egy fájl például nem lemezre lett írva vagy nem lett végrehajtva.

    A fenyegetések megelőzését bemutató oldal

  • Letiltva: A rendszer gyanús viselkedést hajtott végre, majd letiltott. Például egy folyamat végre lett hajtva, de mivel később gyanús viselkedést mutatott, a folyamat leállt.

    A fenyegetés blokkolását bemutató oldal

  • Észlelt: A rendszer támadást észlelt, és valószínűleg még mindig aktív.

    A fenyegetés észlelését bemutató oldal

Ezután áttekintheti az automatikus vizsgálat részleteit a riasztás részletek ablaktábláján, hogy lássa, mely műveletek lettek már végrehajtva, valamint elolvashatja a riasztás leírását az ajánlott műveletekhez.

A részletek panel a riasztás leírásával és az automatikus vizsgálat kiemelt szakaszával

A riasztás megnyitásakor a részletek panelen elérhető további információk közé tartoznak a MITRE-technikák, a forrás és a környezetfüggő további részletek.

Megjegyzés:

Ha nem támogatott riasztástípusú riasztási állapotot lát, az azt jelenti, hogy az automatizált vizsgálati képességek nem tudják felvenni ezt a riasztást egy automatikus vizsgálat futtatásához. Ezeket a riasztásokat azonban manuálisan is megvizsgálhatja.

Az érintett eszközök áttekintése

Ha kiválaszt egy eszközt vagy felhasználói kártyát az érintett eszközök szakaszában, a részletek panelen átvált az eszköz vagy felhasználó adataira.

  • Az eszközök esetében a részletek panelen megjelennek az eszközre vonatkozó információk, például a Tartomány, az Operációs rendszer és az IP-cím. Aktív riasztások és az eszközön bejelentkezett felhasználók is elérhetők. Azonnali lépéseket tehet az eszköz elkülönítésével, az alkalmazás végrehajtásának korlátozásával vagy egy víruskereső vizsgálat futtatásával. Másik lehetőségként összegyűjthet egy vizsgálati csomagot, elindíthat egy automatizált vizsgálatot, vagy az eszközoldalra léphet, és megvizsgálhatja az eszköz szempontjából.

    A részletek panel, amikor egy eszköz ki van jelölve

  • A felhasználók számára a részletek panelen részletes felhasználói információk jelennek meg, például a felhasználó SAM-neve és SID-azonosítója, valamint a felhasználó által végrehajtott bejelentkezési típusok, valamint a hozzá kapcsolódó riasztások és incidensek. A Felhasználó lapjának megnyitása lehetőséget választva folytathatja a vizsgálatot az adott felhasználó szemszögéből.

    A részletek panel, amikor egy felhasználó ki van jelölve

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.