Se gjennom varsler i Microsoft Defender for endepunkt
Gjelder for:
Vil du oppleve Defender for endepunkt? Registrer deg for en gratis prøveperiode.
Varselsiden i Microsoft Defender for endepunkt gir full kontekst til varselet, ved å kombinere angrepssignaler og varsler relatert til det valgte varselet, for å konstruere en detaljert varselartikkel.
Du kan raskt triage, undersøke og iverksette effektive handlinger på varsler som påvirker organisasjonen. Forstå hvorfor de ble utløst, og deres innvirkning fra ett sted. Mer informasjon i denne oversikten.
Komme i gang med et varsel
Hvis du velger navnet på et varsel i Defender for endepunkt, havner du på varslingssiden. På varselsiden vises all informasjon i konteksten til det valgte varselet. Hver varselside består av fire inndelinger:
- Varseltittelen viser varselets navn og er der for å minne deg på hvilket varsel som startet den gjeldende undersøkelsen, uavhengig av hva du har valgt på siden.
- Berørte ressurser viser kort over enheter og brukere som er berørt av dette varselet, som kan klikkes for mer informasjon og handlinger.
- Varselartikkelen viser alle enheter som er relatert til varselet, koblet sammen av en trevisning. Varselet i tittelen vil være det som er i fokus når du først lander på siden for det valgte varselet. Enheter i varselartikkelen kan utvides og klikkes, slik at du kan gi ytterligere informasjon og fremskynde responsen ved å la deg utføre handlinger direkte i konteksten til varselsiden. Bruk varselartikkelen til å starte etterforskningen. Finn ut hvordan i Undersøk varsler i Microsoft Defender for endepunkt.
- Detaljruten viser detaljene for det valgte varselet først, med detaljer og handlinger relatert til dette varselet. Hvis du velger noen av de berørte ressursene eller enhetene i varselartikkelen, endres detaljruten for å gi kontekstuell informasjon og handlinger for det valgte objektet.
Legg merke til registreringsstatusen for varselet.
Forhindret: Forsøket på mistenkelig handling ble unngått. En fil ble for eksempel ikke skrevet til disken eller kjørt.
Blokkert: Mistenkelig oppførsel ble utført og deretter blokkert. En prosess ble for eksempel utført, men fordi den senere viste mistenkelig atferd, ble prosessen avsluttet.
Oppdaget: Et angrep ble oppdaget og er muligens fortsatt aktivt.
Du kan deretter også se gjennom de automatiserte undersøkelsesdetaljene i detaljruten for varselet for å se hvilke handlinger som allerede er utført, samt lese beskrivelsen av varselet for anbefalte handlinger.
Annen informasjon som er tilgjengelig i detaljruten når varselet åpnes, omfatter MITRE-teknikker, kilde og ytterligere kontekstuelle detaljer.
Obs!
Hvis du ser varselstatusen varselstatus for varslingstypen som ikke støttes , betyr det at automatiserte undersøkelsesfunksjoner ikke kan hente varselet for å kjøre en automatisert undersøkelse. Du kan imidlertid undersøke disse varslene manuelt.
Se gjennom berørte ressurser
Hvis du velger en enhet eller et brukerkort i de berørte aktivadelene, bytter du til detaljene for enheten eller brukeren i detaljruten.
For enheter viser detaljruten informasjon om selve enheten, for eksempel domene, operativsystem og IP. Aktive varsler og påloggede brukere på denne enheten er også tilgjengelige. Du kan utføre umiddelbare handlinger ved å isolere enheten, begrense kjøringen av appen eller kjøre en antivirusskanning. Alternativt kan du samle inn en undersøkelsespakke, starte en automatisert undersøkelse eller gå til enhetssiden for å undersøke fra enhetens synspunkt.
For brukere vil detaljruten vise detaljert brukerinformasjon, for eksempel brukerens SAM-navn og SID, samt påloggingstyper utført av denne brukeren og eventuelle varsler og hendelser relatert til den. Du kan velge Åpne brukerside for å fortsette undersøkelsen fra brukerens synspunkt.
Beslektede emner
Tips
Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.