Wyświetlanie zdarzeń i zarządzanie nimi w Microsoft Defender dla Firm
W miarę wykrywania zagrożeń i wyzwalania alertów tworzone są zdarzenia. Zespół ds. zabezpieczeń twojej firmy może wyświetlać zdarzenia i zarządzać nimi w portalu Microsoft Defender. Musisz mieć przypisane odpowiednie uprawnienia do wykonywania zadań w tym artykule. Zobacz Role zabezpieczeń i uprawnienia w Microsoft Defender dla Firm.
Ten artykuł zawiera:
W portalu Microsoft Defender (https://security.microsoft.com) w okienku nawigacji przejdź do pozycji Zdarzenia & alerty, a następnie wybierz pozycję Incydenty. Wszystkie utworzone zdarzenia są wyświetlane na stronie.
Ważne
Jeśli widzisz zdarzenie oznaczone
Attack disruption
tagiem , oznacza to, że wykryto zaawansowany atak. Zobacz Automatyczne zakłócanie ataków.Wybierz alert, aby otworzyć okienko wysuwane, w którym możesz dowiedzieć się więcej na temat alertu.
W okienku wysuwanym można wyświetlić tytuł alertu, wyświetlić listę zasobów (takich jak urządzenia lub konta użytkowników), których dotyczy problem, podjąć dostępne akcje i użyć linków, aby wyświetlić więcej informacji, a nawet otworzyć stronę szczegółów wybranego alertu.
Porada
Usługa Defender dla Firm została zaprojektowana w celu ułatwienia rozwiązania wykrytych zagrożeń, zalecając działania, które można wykonać. Podczas wyświetlania alertu poszukaj tych sugestii. Zwróć również uwagę na ważność alertu, która jest określana nie tylko na podstawie wykrytej ważności zagrożenia, ale także na poziomie ryzyka dla twojej firmy.
Po wykryciu zagrożenia do każdego wygenerowanego alertu jest przypisywany poziom ważności.
- Microsoft Defender Program antywirusowy przypisuje ważność alertu na podstawie bezwzględnej ważności wykrytego zagrożenia (takiego jak złośliwe oprogramowanie) i potencjalnego ryzyka dla pojedynczego urządzenia (jeśli zostanie zainfekowane).
- Usługa Defender dla firm przypisuje ważność alertu na podstawie ważności wykrytego zachowania, rzeczywistego ryzyka dla urządzenia i, co ważniejsze, potencjalnego zagrożenia dla twojej firmy.
W poniższej tabeli wymieniono kilka przykładów alertów i ich poziomów ważności:
Scenariusz | Ważność alertu i przyczyna |
---|---|
Automatyczne zakłócenie ataku wykrywa zaawansowany atak i zawiera urządzenia lub konta użytkowników, aby zapobiec kontynuowaniu ataku. | Wysoki. Możliwości zakłóceń w atakach pomagają w ataku, dzięki czemu twój zespół ds. zabezpieczeń może go rozwiązać. |
Microsoft Defender program antywirusowy wykrywa i zatrzymuje zagrożenie, zanim wyrządzi jakiekolwiek szkody. | Informacje. Zagrożenie zostało zatrzymane, zanim zostały wyrządzone jakiekolwiek szkody. |
Microsoft Defender Program antywirusowy wykrywa złośliwe oprogramowanie, które było wykonywane w firmie. Złośliwe oprogramowanie zostało zatrzymane i skorygowane. | Niski. Chociaż niektóre szkody mogły zostać wyrządzone poszczególnym urządzeniom, złośliwe oprogramowanie nie stanowi teraz zagrożenia dla Twojej firmy. |
Złośliwe oprogramowanie, które jest wykonywane, jest wykrywane przez usługę Defender dla Firm. Złośliwe oprogramowanie jest blokowane niemal natychmiast. | Średni lub wysoki. Złośliwe oprogramowanie stanowi zagrożenie dla poszczególnych urządzeń i twojej firmy. |
Wykryto podejrzane zachowanie, ale nie są jeszcze podejmowane żadne akcje korygujące. | Niski, Średni lub Wysoki. Ważność zależy od stopnia, w jakim zachowanie stanowi zagrożenie dla twojej firmy. |