Share via

Badanie alertów w Ochrona punktu końcowego w usłudze Microsoft Defender

  • Artykuł

Dotyczy:

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Zbadaj alerty wpływające na sieć, dowiedz się, co one oznaczają i jak je rozwiązać.

Wybierz alert z kolejki alertów, aby przejść do strony alertów. Ten widok zawiera tytuł alertu, zasoby, których dotyczy problem, okienko po stronie szczegółów i historię alertu.

Na stronie alertu rozpocznij badanie, wybierając zasoby, których dotyczy problem, lub dowolne jednostki w widoku drzewa historii alertów. Okienko szczegółów zostanie automatycznie wypełnione dalszymi informacjami o wybranych elementach. Aby zobaczyć, jakiego rodzaju informacje można wyświetlić tutaj, przeczytaj artykuł Przejrzyj alerty w Ochrona punktu końcowego w usłudze Microsoft Defender.

Badanie przy użyciu scenariusza alertu

Historia alertu zawiera szczegółowe informacje o przyczynach wyzwolenia alertu, powiązanych zdarzeniach, które wystąpiły przed i po, a także innych powiązanych jednostkach.

Jednostki można klikać, a każda jednostka, która nie jest alertem, jest rozwijana przy użyciu ikony rozwijania po prawej stronie karty tej jednostki. Jednostka w centrum uwagi zostanie oznaczona niebieskim paskiem po lewej stronie karty tej jednostki, a alert w tytule będzie początkowo w centrum uwagi.

Rozwiń jednostki, aby szybko wyświetlić szczegóły. Wybranie jednostki spowoduje przełączenie kontekstu okienka szczegółów na tę jednostkę i umożliwi zapoznanie się z dalszymi informacjami, a także zarządzanie tą jednostką. Wybranie pozycji ... z prawej strony karty jednostki spowoduje wyświetlenie wszystkich akcji dostępnych dla tej jednostki. Te same akcje są wyświetlane w okienku szczegółów, gdy ta jednostka jest w centrum uwagi.

Uwaga

Sekcja dotycząca alertów może zawierać więcej niż jeden alert z dodatkowymi alertami dotyczącymi tego samego drzewa wykonywania wyświetlanymi przed wybranym alertem lub po nim.

scenariusz alertu z alertem w centrum uwagi i kilkoma rozwiniętymi kartami

Badanie przy użyciu osi czasu alertu

Oś czasu alertu uzupełnia istniejący widok "drzewo procesów", oferując użytkownikom kompleksowe spojrzenie na każdy alert. Chociaż drzewo procesów zawiera szczegółowy podział powiązanych procesów i działań alertu, oś czasu alertu przedstawia skrócony widok chronologiczny, który ułatwia szybkie klasyfikowanie i podejmowanie decyzji. 

Wykonaj akcję z okienka szczegółów

Po wybraniu interesującej jednostki okienko szczegółów zmieni się, aby wyświetlić informacje o wybranym typie jednostki, informacje historyczne, gdy są dostępne, i zaoferować kontrolki do podjęcia akcji na tej jednostce bezpośrednio ze strony alertu.

Po zakończeniu badania wróć do alertu, który został uruchomiony, oznacz stan alertu jako rozwiązany i zaklasyfikuj go jako alert False lub True. Klasyfikowanie alertów pomaga dostroić tę funkcję, aby zapewnić więcej prawdziwych alertów i mniej fałszywych alertów.

Jeśli zaklasyfikujesz go jako prawdziwy alert, możesz również wybrać określenie, jak pokazano na poniższej ilustracji.

Okienko szczegółów z rozwiązanym alertem i rozwiniętą listą rozwijaną określania

Jeśli występuje fałszywy alert z aplikacją biznesową, utwórz regułę pomijania, aby uniknąć tego typu alertów w przyszłości.

Akcje i klasyfikacja w okienku szczegółów z wyróżnioną regułą pomijania

Porada

Jeśli występują jakiekolwiek problemy, które nie zostały opisane powyżej, użyj przycisku 🙂 , aby przekazać opinię lub otworzyć bilet pomocy technicznej.

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.