Undersøke varsler i Microsoft Defender for endepunkt

Gjelder for:

• Microsoft Defender for endepunkt plan 1
• Microsoft Defender for endepunkt plan 2
• Microsoft Defender XDR

Vil du oppleve Defender for endepunkt? Registrer deg for en gratis prøveperiode.

Undersøk varsler som påvirker nettverket, forstå hva de betyr og hvordan du løser dem.

Velg et varsel fra varslingskøen for å gå til varselsiden. Denne visningen inneholder varseltittelen, de berørte ressursene, detaljsideruten og varselartikkelen.

Start undersøkelsen fra varselsiden ved å velge de berørte ressursene eller noen av enhetene under trevisningen for varselartikkelen. Detaljruten fylles automatisk ut med mer informasjon om det du valgte. Hvis du vil se hva slags informasjon du kan vise her, kan du lese Se gjennom varsler i Microsoft Defender for endepunkt.

Undersøk ved hjelp av varselartikkelen

Varselartikkelen beskriver hvorfor varselet ble utløst, relaterte hendelser som skjedde før og etter, samt andre relaterte enheter.

Enheter kan klikkes, og alle enheter som ikke er et varsel, kan utvides ved hjelp av utvidelsesikonet på høyre side av enhetens kort. Enheten i fokus angis med en blå stripe til venstre side av enhetens kort, der varselet i tittelen er i fokus først.

Utvid enheter for å vise detaljer med et øyekast. Hvis du velger en enhet, byttes konteksten for detaljruten til denne enheten, og du kan se gjennom ytterligere informasjon, samt administrere denne enheten. Hvis du velger ... til høyre for enhetskortet, vises alle handlinger som er tilgjengelige for denne enheten. De samme handlingene vises i detaljruten når enheten er i fokus.

Obs!

Varselartikkeldelen kan inneholde mer enn ett varsel, med flere varsler relatert til det samme kjøringstreet som vises før eller etter varselet du har valgt.

Undersøke ved hjelp av varseltidslinjen

Varseltidslinjen utfyller den eksisterende prosesstrevisningen ved å gi brukerne et omfattende perspektiv på hvert varsel. Mens prosesstreet gir en detaljert oversikt over varslets tilknyttede prosesser og aktiviteter, presenterer varseltidslinjen en kondensert kronologisk visning som forenkler rask triage og beslutningstaking.

Utfør handling fra detaljruten

Når du har valgt en enhet av interesse, endres detaljruten for å vise informasjon om den valgte enhetstypen, historisk informasjon når den er tilgjengelig, og tilbyr kontroller for å utføre handlinger på denne enheten direkte fra varselsiden.

Når du er ferdig med å undersøke, går du tilbake til varselet du startet med, merker varselets status som Løst og klassifiserer den som enten Falskt varsel eller True-varsel. Klassifisering av varsler bidrar til å justere denne muligheten til å gi mer ekte varsler og færre falske varsler.

Hvis du klassifiserer det som et ekte varsel, kan du også velge en bestemmelse, som vist i bildet nedenfor.

Hvis du opplever et falskt varsel med et bransjeprogram, oppretter du en undertrykkingsregel for å unngå denne typen varsel i fremtiden.

Tips

Hvis du opplever problemer som ikke er beskrevet ovenfor, kan du bruke 🙂 knappen til å gi tilbakemelding eller åpne en støtteforespørsel.

Beslektede emner

• Vise og organisere Microsoft Defender for endepunkt Varsler-køen
• Behandle Microsoft Defender for endepunkt varsler
• Undersøke en fil som er knyttet til et Defender for Endpoint-varsel
• Undersøke enheter i listen Over enheter i Defender for endepunkt
• Undersøke en IP-adresse som er knyttet til et Defender for Endpoint-varsel
• Undersøke et domene som er knyttet til et Defender for Endpoint-varsel
• Undersøke en brukerkonto i Defender for endepunkt

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.