Прочитать на английском

Поделиться через


Просмотр и упорядочивание очереди оповещений Microsoft Defender для конечной точки

Область применения:

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

В очереди оповещений отображается список оповещений, помеченных с устройств в сети. По умолчанию в очереди отображаются оповещения, отображаемые за последние 7 дней в сгруппированном представлении. Самые последние оповещения отображаются в верхней части списка, чтобы сначала увидеть самые последние оповещения.

Примечание

Благодаря автоматическому исследованию и исправлению количество оповещений значительно сокращается, что позволяет экспертам по операциям безопасности сосредоточиться на более сложных угрозах и других высокоценных инициативах. Если оповещение содержит поддерживаемую сущность для автоматического исследования (например, файл) на устройстве с поддерживаемой операционной системой, может начаться автоматическое исследование и исправление. Дополнительные сведения об автоматизированных исследованиях см. в статье Обзор автоматизированных расследований.

Существует несколько вариантов настройки представления оповещений.

В верхней области навигации можно:

  • Настройка столбцов для добавления или удаления столбцов
  • Применение фильтров
  • Отображение оповещений за определенную продолжительность, например 1 день, 3 дня, 1 неделю, 30 дней и 6 месяцев
  • Экспорт списка оповещений в Excel
  • Управление оповещениями

Страница очереди оповещений

Сортировка и фильтрация оповещений

Вы можете применить следующие фильтры, чтобы ограничить список оповещений и получить более подробное представление оповещений.

Severity

Серьезность оповещений Описание
Высокая
(красный)
Обычно встречаются оповещения, связанные с расширенными постоянными угрозами (APT). Эти оповещения указывают на высокий риск из-за серьезности ущерба, который они могут нанести устройствам. Некоторые примеры: действия с инструментами кражи учетных данных, действия программ-шантажистов, не связанные с какой-либо группой, незаконное изменение датчиков безопасности или любые вредоносные действия, указывающие на злоумышленника человека.
Средняя
(оранжевый)
Оповещения об обнаружении конечных точек и реагировании после нарушения безопасности, которые могут быть частью расширенной постоянной угрозы (APT). Это поведение, типичное для этапов атаки, аномальное изменение реестра, выполнение подозрительных файлов и т. д. Хотя некоторые из этих тестов могут быть частью внутреннего тестирования безопасности, это требует исследования, так как это также может быть частью расширенной атаки.
Низкая
(желтый)
Оповещения об угрозах, связанных с распространенными вредоносными программами. Например, хакерские инструменты, не относящиеся к вредоносным программам, такие как выполнение команд просмотра, очистка журналов и т. д., которые часто не указывают на расширенную угрозу, нацеленную на организацию. Это также может быть вызвано изолированным тестированием средств безопасности пользователем в вашей организации.
Информационный
(Серый)
Оповещения, которые не могут считаться вредными для сети, но могут повысить осведомленность организации о потенциальных проблемах безопасности.

Основные сведения о серьезности оповещений

Microsoft Defender антивирусная программа и серьезность оповещений Defender для конечной точки различаются, так как они представляют разные области.

Серьезность угроз Microsoft Defender Антивирусная программа представляет абсолютную серьезность обнаруженной угрозы (вредоносной программы) и назначается на основе потенциального риска для отдельного устройства в случае заражения.

Серьезность оповещений Defender для конечной точки представляет серьезность обнаруженного поведения, фактический риск для устройства, но, что более важно, потенциальный риск для организации.

Например:

  • Серьезность оповещения Defender для конечной точки о обнаруженной угрозе Microsoft Defender Антивирусная программа, которая была предотвращалась и не заразила устройство, классифицируется как "Информационное", так как фактический ущерб не был нанесен.
  • Оповещение о коммерческой вредоносной программе, обнаруженной во время выполнения, но заблокированной и исправленной Microsoft Defender антивирусной программой, классифицируется как "низкая", так как это могло причинить некоторый ущерб отдельному устройству, но не представляет угрозы организации.
  • Оповещение о вредоносной программе, обнаруженной во время выполнения, которая может представлять угрозу не только для отдельного устройства, но и для организации, независимо от того, была ли она заблокирована в конечном итоге, может быть ранжирована как "Средняя" или "Высокая".
  • Подозрительные оповещения о поведении, которые не были заблокированы или исправлены, будут ранжированы как "Низкий", "Средний" или "Высокий" в соответствии с теми же организационными рекомендациями по угрозам.

Состояние

Вы можете отфильтровать список оповещений по их состоянию.

Примечание

Если отображается состояние оповещения о типе неподдерживаемых оповещений , это означает, что возможности автоматического исследования не могут получить это оповещение для выполнения автоматического исследования. Однако эти оповещения можно исследовать вручную.

Категории

Мы переопредели категории оповещений в соответствии с тактикой атаки предприятия в матрице MITRE ATT&CK. Новые имена категорий применяются ко всем новым оповещениям. Существующие оповещения будут сохранять имена предыдущих категорий.

Служебные источники

Оповещения можно фильтровать по следующим источникам служб:

  • Microsoft Defender для удостоверений
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender для конечной точки
  • Microsoft Defender XDR
  • Microsoft Defender для Office 365
  • Управление приложениями
  • Защита Microsoft Entra ID

Пользователи уведомлений о конечной точке Майкрософт теперь могут фильтровать и просматривать обнаружения из службы, отфильтровав по Microsoft Defender экспертам, вложенным в источник службы Microsoft Defender для конечной точки.

Примечание

Фильтр антивирусной программы будет отображаться только в том случае, если устройства используют антивирусную программу Microsoft Defender в качестве антивредоносного продукта по умолчанию в режиме реального времени.

Tags

Оповещения можно фильтровать по тегам, назначенным оповещениям.

Политика

Оповещения можно фильтровать на основе следующих политик:

Источник обнаружения Значение API
Сторонние датчики ThirdPartySensors
антивирусная программа WindowsDefenderAv
Автоматическое исследование Автоматизированное расследование
Пользовательское обнаружение CustomDetection
Настраиваемый TI CustomerTI
EDR WindowsDefenderAtp
Microsoft Defender XDR MTP
Microsoft Defender для Office 365 OfficeATP
эксперты Microsoft Defender ThreatExperts
Smartscreen WindowsDefenderSmartScreen

Entities

Оповещения можно фильтровать по имени или идентификатору сущности.

Состояние автоматического расследования

Вы можете отфильтровать оповещения по состоянию автоматического исследования.

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.