A Végponthoz készült Microsoft Defender-riasztások üzenetsorának megtekintése és rendszerezése
Érintett szolgáltatás:
Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra
A Riasztások üzenetsor a hálózatban lévő eszközökről megjelölt riasztások listáját jeleníti meg. Alapértelmezés szerint az üzenetsor csoportosított nézetben jeleníti meg az elmúlt 7 napban látott riasztásokat. A legutóbbi riasztások a lista tetején jelennek meg, így először a legutóbbi riasztások jelennek meg.
Megjegyzés:
Az automatikus vizsgálat és szervizelés jelentősen csökkenti a riasztásokat, így a biztonsági üzemeltetési szakértők a kifinomultabb fenyegetésekre és más nagy értékű kezdeményezésekre összpontosítanak. Ha egy riasztás egy támogatott entitást tartalmaz az automatizált vizsgálathoz (például egy fájlhoz) egy olyan eszközön, amelyhez támogatott operációs rendszer tartozik, elindulhat egy automatizált vizsgálat és szervizelés. Az automatizált vizsgálatokkal kapcsolatos további információkért lásd: Az automatizált vizsgálatok áttekintése.
A riasztások nézetének testreszabásához számos lehetőség közül választhat.
A felső navigációs sávon a következőt teheti:
- Oszlopok testreszabása oszlopok hozzáadásához vagy eltávolításához
- Szűrők alkalmazása
- Adott időtartamra (például 1 nap, 3 nap, 1 hét, 30 nap és 6 hónap) vonatkozó riasztások megjelenítése
- A riasztások listájának exportálása az Excelbe
- Riasztások kezelése
Riasztások rendezése és szűrése
Az alábbi szűrők alkalmazásával korlátozhatja a riasztások listáját, és szűrtebb nézetet kaphat a riasztásokról.
Súlyossága
| Riasztás súlyossága | Leírás |
|---|---|
| Magas (Piros) |
A speciális állandó fenyegetésekkel (APT) kapcsolatos riasztások gyakran láthatók. Ezek a riasztások nagy kockázatot jeleznek az eszközökön okozott károk súlyossága miatt. Néhány példa: a hitelesítő adatok ellopására szolgáló eszközökkel kapcsolatos tevékenységek, a csoporthoz nem kapcsolódó zsarolóprogram-tevékenységek, a biztonsági érzékelők illetéktelen módosítása vagy az emberi támadóra utaló rosszindulatú tevékenységek. |
| Közepes (Narancssárga) |
A végpontészlelésből és az incidens utáni reagálásból származó riasztások, amelyek egy speciális állandó fenyegetés (APT) részét képezhetik. Ezek közé tartoznak a támadási szakaszokra jellemző megfigyelt viselkedések, a beállításjegyzék rendellenes módosítása, a gyanús fájlok végrehajtása stb. Bár néhány része lehet a belső biztonsági tesztelésnek, vizsgálatra van szükség, mivel egy speciális támadás része is lehet. |
| Alacsony (Sárga) |
Riasztások az elterjedt kártevőkkel kapcsolatos fenyegetésekről. Például a hack-tools, a nem kártevő hack eszközök, például a felderítési parancsok futtatása, a naplók törlése stb., amelyek gyakran nem jelentenek a szervezetet célzó fejlett fenyegetést. Ez egy elkülönített biztonsági eszköz teszteléséből is származhat, amelyet a szervezet egy felhasználója tesztel. |
| Információs (Szürke) |
Olyan riasztások, amelyek nem tekinthetők károsnak a hálózatra nézve, de növelhetik a szervezet biztonsági tudatosságát a lehetséges biztonsági problémákra. |
A riasztás súlyosságának ismertetése
Microsoft Defender víruskereső és a Végponthoz készült Defender riasztási súlyossága eltérő, mert különböző hatóköröket jelölnek.
A Microsoft Defender víruskereső fenyegetésének súlyossága az észlelt fenyegetés (kártevő) abszolút súlyosságát jelöli, és az adott eszközre vonatkozó lehetséges kockázat alapján van hozzárendelve, ha fertőzött.
A Végponthoz készült Defender riasztásának súlyossága az észlelt viselkedés súlyosságát, az eszközre vonatkozó tényleges kockázatot, de ennél is fontosabb a szervezetet veszélyeztető lehetséges kockázatot jelöli.
Például:
- A végponthoz készült Defender-riasztás súlyossága egy Microsoft Defender víruskereső által észlelt fenyegetésről, amely megakadályozva lett, és nem fertőzte meg az eszközt, "Információs" kategóriába tartozik, mert nem történt tényleges kár.
- A program egy kereskedelmi kártevőről szóló riasztást észlelt a futtatás során, de a Microsoft Defender Víruskereső letiltotta és elhárította azt, "Alacsony" kategóriába tartozik, mert előfordulhat, hogy kárt okozott az egyes eszköznek, de nem jelent szervezeti fenyegetést.
- A végrehajtás során észlelt kártevőkre vonatkozó riasztások, amelyek nem csak az egyes eszközökre, hanem a szervezetre is veszélyt jelenthetnek, függetlenül attól, hogy az eszköz végül le lett tiltva, "Közepes" vagy "Magas" besorolású lehet.
- A gyanús viselkedési riasztások, amelyeket nem tiltottak le vagy nem orvosoltak, az "Alacsony", a "Közepes" vagy a "Magas" sorrendbe kerülnek ugyanazon szervezeti fenyegetésekkel kapcsolatos szempontok alapján.
Állapot
A riasztások listáját az állapotuk alapján szűrheti.
Megjegyzés:
Ha nem támogatott riasztástípusú riasztási állapotot lát, az azt jelenti, hogy az automatizált vizsgálati képességek nem tudják felvenni ezt a riasztást egy automatikus vizsgálat futtatásához. Ezeket a riasztásokat azonban manuálisan is megvizsgálhatja.
Kategóriák
Újradefiniáltuk a riasztási kategóriákat, hogy igazodjanak a vállalati támadási taktikához a MITRE ATT&CK mátrixban. Az új kategórianevek az összes új riasztásra érvényesek. A meglévő riasztások megőrzik az előző kategórianeveket.
Szolgáltatásforrások
A riasztásokat a következő szolgáltatásforrások alapján szűrheti:
- Microsoft Defender for Identity
- Microsoft Defender for Cloud Apps
- Végponthoz készült Microsoft Defender
- Microsoft Defender XDR
- Office 365-höz készült Microsoft Defender
- Alkalmazásirányítás
- Microsoft Entra ID-védelem
A Microsoft Endpoint Notification ügyfelei mostantól szűrhetik és megtekinthetik a szolgáltatásból származó észleléseket az Végponthoz készült Microsoft Defender szolgáltatásforrásba ágyazott Microsoft Defender-szakértők alapján.
Megjegyzés:
A víruskereső szűrő csak akkor jelenik meg, ha az eszközök Microsoft Defender Víruskeresőt használják alapértelmezett valós idejű védelmi kártevőirtó termékként.
Címkék
A riasztásokat a riasztásokhoz rendelt címkék alapján szűrheti.
Politika
A riasztásokat a következő szabályzatok alapján szűrheti:
| Észlelési forrás | API-érték |
|---|---|
| Külső érzékelők | ThirdPartySensors |
| Vírusölő | WindowsDefenderAv |
| Automatizált vizsgálat | AutomatedInvestigation |
| Egyéni észlelés | CustomDetection |
| Egyéni TI | CustomerTI |
| EDR | WindowsDefenderAtp |
| Microsoft Defender XDR | MTP |
| Office 365-höz készült Microsoft Defender | OfficeATP |
| Microsoft Defender szakértők | ThreatExperts |
| Smartscreen | WindowsDefenderSmartScreen |
Entitások
A riasztásokat az entitás neve vagy azonosítója alapján szűrheti.
Automatizált vizsgálati állapot
Dönthet úgy, hogy a riasztásokat az automatizált vizsgálati állapotuk alapján szűri.
Kapcsolódó témakörök
- Végponthoz készült Microsoft Defender-riasztások kezelése
- Végponthoz készült Microsoft Defender-riasztások vizsgálata
- Végponthoz készült Microsoft Defender-riasztáshoz társított fájl vizsgálata
- Eszközök vizsgálata a Végponthoz készült Microsoft Defender Eszközök listában
- Végponthoz készült Microsoft Defender-riasztáshoz társított IP-cím vizsgálata
- Végponthoz készült Microsoft Defender-riasztáshoz társított tartomány vizsgálata
- Felhasználói fiók vizsgálata a Végponthoz készült Microsoft Defender-ben
Tipp
Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: