Vise og organisere Microsoft Defender for endepunkt Varsler-køen
Gjelder for:
Vil du oppleve Defender for endepunkt? Registrer deg for en gratis prøveperiode.
Varsler-køen viser en liste over varsler som ble flagget fra enheter i nettverket. Som standard viser køen varsler som vises i de siste sju dagene i en gruppert visning. De nyeste varslene vises øverst i listen for å hjelpe deg med å se de nyeste varslene først.
Obs!
Varslene er betydelig redusert med automatisert undersøkelse og utbedring, slik at sikkerhetsoperasjonseksperter kan fokusere på mer sofistikerte trusler og andre høyverdiinitiativer. Når et varsel inneholder en støttet enhet for automatisert undersøkelse (for eksempel en fil) i en enhet som har et støttet operativsystem for det, kan en automatisert undersøkelse og utbedring starte. Hvis du vil ha mer informasjon om automatiserte undersøkelser, kan du se Oversikt over automatiserte undersøkelser.
Det finnes flere alternativer du kan velge mellom for å tilpasse varslingsvisningen.
I den øverste navigasjonen kan du:
- Tilpasse kolonner for å legge til eller fjerne kolonner
- Bruk filtre
- Vis varslene for en bestemt varighet, for eksempel 1 dag, 3 dager, 1 uke, 30 dager og 6 måneder
- Eksporter listen over varsler til Excel
- Behandle varsler
Sortere og filtrere varsler
Du kan bruke følgende filtre for å begrense listen over varsler og få en mer fokusert visning av varslene.
Alvorlighetsgraden
| Alvorsgrad for varsel | Beskrivelse |
|---|---|
| Høy (Rød) |
Varsler som vanligvis vises forbundet med avanserte vedvarende trusler (APT). Disse varslene indikerer en høy risiko på grunn av alvorlighetsgraden av skade de kan påføre enheter. Noen eksempler er: Aktiviteter for verktøy for legitimasjonstyveri, løsepengevirusaktiviteter som ikke er knyttet til noen gruppe, manipulering av sikkerhetssensorer eller skadelige aktiviteter som indikerer en menneskelig motstander. |
| Middels (Oransje) |
Varsler fra gjenkjenning av endepunkt og respons etter brudd som kan være en del av en avansert vedvarende trussel (APT). Disse virkemåtene omfatter observert atferd som er typisk for angrepsfaser, uregelmessig registerendring, kjøring av mistenkelige filer og så videre. Selv om noen kan være en del av intern sikkerhetstesting, krever det undersøkelse, da det også kan være en del av et avansert angrep. |
| Lav (Gul) |
Varsler om trusler knyttet til utbredt skadelig programvare. For eksempel hack-verktøy, ikke-malware hack verktøy, for eksempel kjører utforskning kommandoer, clearing logger, etc., som ofte ikke indikerer en avansert trussel rettet mot organisasjonen. Det kan også komme fra en isolert sikkerhetsverktøytesting av en bruker i organisasjonen. |
| Informativ (Grå) |
Varsler som kanskje ikke anses som skadelige for nettverket, men som kan føre til sikkerhetsbevissthet for organisasjoner om potensielle sikkerhetsproblemer. |
Forstå alvorsgrad for varsel
Microsoft Defender antivirus- og Defender for endepunktvarslingsgrader er forskjellige fordi de representerer forskjellige omfang.
Alvorlighetsgraden Microsoft Defender antivirustrussel representerer den absolutte alvorlighetsgraden av den oppdagede trusselen (skadelig programvare), og tilordnes basert på den potensielle risikoen for den individuelle enheten, hvis den er infisert.
Varselalvorlighetsgraden for Defender for endepunkt representerer alvorlighetsgraden av den oppdagede virkemåten, den faktiske risikoen for enheten, men enda viktigere den potensielle risikoen for organisasjonen.
Så, for eksempel:
- Alvorlighetsgraden av et Defender for Endpoint-varsel om en Microsoft Defender Antivirus oppdaget trussel som ble forhindret og ikke infiserer enheten, kategoriseres som "Informasjon" fordi det ikke var noen faktisk skade.
- Et varsel om en kommersiell skadelig programvare ble oppdaget under kjøring, men blokkert og utbedret av Microsoft Defender Antivirus, er kategorisert som "Lav" fordi det kan ha forårsaket noen skade på den enkelte enheten, men utgjør ingen organisatorisk trussel.
- Et varsel om skadelig programvare som ble oppdaget under kjøring, som kan utgjøre en trussel, ikke bare for den individuelle enheten, men for organisasjonen, uansett om den ble blokkert til slutt, kan bli rangert som «Middels» eller «Høy».
- Mistenkelige atferdsvarsler, som ikke ble blokkert eller utbedret, vil bli rangert som «Lav», «Middels» eller «Høy» etter de samme trusselvurderingene for organisasjonen.
Status
Du kan velge å filtrere listen over varsler basert på statusen deres.
Obs!
Hvis du ser varselstatusen varselstatus for varslingstypen som ikke støttes , betyr det at automatiserte undersøkelsesfunksjoner ikke kan hente varselet for å kjøre en automatisert undersøkelse. Du kan imidlertid undersøke disse varslene manuelt.
Kategorier
Vi har omdefinert varslingskategoriene for å justere til bedriftens angrepstaktikk i MITRE ATT-&CK-matrisen. Nye kategorinavn gjelder for alle nye varsler. Eksisterende varsler beholder de forrige kategorinavnene.
Tjenestekilder
Du kan filtrere varslene basert på følgende tjenestekilder:
- Microsoft Defender for identitet
- Microsoft Defender for skyapper
- Microsoft Defender for endepunkt
- Microsoft Defender XDR
- Microsoft Defender for Office 365
- Appstyring
- Microsoft Entra ID-beskyttelse
Microsoft Endpoint Notification-kunder kan nå filtrere og se gjenkjenninger fra tjenesten ved å filtrere etter Microsoft Defender Eksperter nestet under Microsoft Defender for endepunkt tjenestekilde.
Obs!
Antivirusfilteret vises bare hvis enheter bruker Microsoft Defender Antivirus som standard produkt for beskyttelse mot skadelig programvare i sanntid.
Tags
Du kan filtrere varslene basert på merker som er tilordnet varsler.
Policy
Du kan filtrere varslene basert på følgende policyer:
| Gjenkjenningskilde | API-verdi |
|---|---|
| Tredjepartssensorer | ThirdPartySensors |
| Antivirus | WindowsDefenderAv |
| Automatisert undersøkelse | AutomatedInvestigation |
| Egendefinert gjenkjenning | CustomDetection |
| Egendefinert TI | CustomerTI |
| EDR | WindowsDefenderAtp |
| Microsoft Defender XDR | MTP |
| Microsoft Defender for Office 365 | OfficeATP |
| Microsoft Defender-eksperter | ThreatExperts |
| Smartscreen | WindowsDefenderSmartScreen |
Enheter
Du kan filtrere varslene basert på enhetsnavn eller ID.
Automatisert undersøkelsestilstand
Du kan velge å filtrere varslene basert på tilstanden deres for automatisert undersøkelse.
Beslektede emner
- Behandle Microsoft Defender for endepunkt varsler
- Undersøke Microsoft Defender for endepunkt varsler
- Undersøke en fil som er knyttet til et Microsoft Defender for endepunkt varsel
- Undersøke enheter i listen over Microsoft Defender for endepunkt enheter
- Undersøke en IP-adresse som er knyttet til et Microsoft Defender for endepunkt-varsel
- Undersøke et domene som er knyttet til et Microsoft Defender for endepunkt varsel
- Undersøke en brukerkonto i Microsoft Defender for endepunkt
Tips
Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.