Defender для конечной точки уведомляет вас о возможных вредоносных событиях, атрибутах и контекстной информации с помощью оповещений. Отобразится сводка новых оповещений, и вы можете получить доступ ко всем оповещениям в очереди оповещений.
Вы можете управлять оповещениями, выбрав оповещение в очереди оповещений или вкладку Оповещения на странице Устройство для отдельного устройства.
Если выбрать оповещение в любом из этих мест, откроется панель Управление оповещениями.
Просмотрите это видео, чтобы узнать, как использовать новую страницу оповещений Microsoft Defender для конечной точки.
Ссылка на другой инцидент
Вы можете создать новый инцидент из оповещения или ссылки на существующий инцидент.
Назначение оповещений
Если оповещение еще не назначено, можно выбрать Назначить мне , чтобы назначить оповещение себе.
Подавление оповещений
Могут возникать сценарии, в которых необходимо отключить оповещения от отображения в Microsoft Defender XDR. Defender для конечной точки позволяет создавать правила подавления для определенных оповещений, которые, как известно, являются безобидными, например известными инструментами или процессами в вашей организации.
Правила подавления можно создать на основе существующего оповещения. При необходимости их можно отключить и повторно включить.
При создании правила подавления оно вступит в силу с момента создания правила. Правило не повлияет на существующие оповещения, которые уже находятся в очереди до создания правила. Правило будет применяться только к оповещениям, которые удовлетворяют условиям, заданным после создания правила.
Существует два контекста для правила подавления, из которых можно выбрать:
Отключение оповещений на этом устройстве
Подавление оповещений в организации
Контекст правила позволяет настроить то, что отображается на портале, и убедиться, что на портале отображаются только реальные оповещения системы безопасности.
Примеры, приведенные в следующей таблице, помогут выбрать контекст для правила подавления:
Контекст
Определение
Примеры сценариев
Отключение оповещений на этом устройстве
Оповещения с тем же заголовком оповещений и только на этом конкретном устройстве будут подавляться.
Все остальные оповещения на этом устройстве не будут подавляться.
Исследователь безопасности изучает вредоносный сценарий, который использовался для атак на другие устройства в вашей организации.
Разработчик регулярно создает сценарии PowerShell для своей команды.
Подавление оповещений в организации
Оповещения с одинаковым заголовком оповещений на любом устройстве будут подавляться.
Неопасный инструмент администрирования используется всеми сотрудниками вашей организации.
Подавление оповещения и создание нового правила подавления
Create настраиваемые правила для управления подавлением или разрешением оповещений. Вы можете управлять контекстом, когда оповещение подавляется, указав заголовок оповещения, индикатор компрометации и условия. После указания контекста вы сможете настроить действие и область в оповещении.
Выберите оповещение, для подавления. Откроется панель Управления оповещениями .
Выберите Create правило подавления.
Условие подавления можно создать с помощью этих атрибутов. Оператор AND применяется между каждым условием, поэтому подавление происходит только при выполнении всех условий.
Файл SHA1
Имя файла — поддерживается подстановочный знак
Путь к папке — поддерживается подстановочный знак
IP-адрес
URL-адрес — поддерживаемые подстановочные знаки
Командная строка — поддерживается подстановочный знак
Выберите триггер IOC.
Укажите действие и область в оповещении.
Вы можете автоматически устранить оповещение или скрыть его на портале. Оповещения, которые разрешаются автоматически, будут отображаться в разделе разрешенных оповещений очереди, страницы оповещений и временная шкала устройства и будут отображаться как разрешенные в API Defender для конечной точки.
Оповещения, помеченные как скрытые, будут подавляться из всей системы, как в связанных с устройством оповещениях, так и с панели мониторинга и не будут передаваться через API Defender для конечной точки.
Введите имя правила и комментарий.
Нажмите кнопку Сохранить.
Просмотр списка правил подавления
В области навигации выберите Параметры Конечные> точкиПравила подавления>оповещений>.
В списке правил подавления отображаются все правила, созданные пользователями в вашей организации.
Оповещения можно классифицировать ( как Новые, Выполняется или Разрешено), изменив их состояние по мере выполнения исследования. Это помогает упорядочить и управлять тем, как ваша команда может реагировать на оповещения.
Например, руководитель группы может просмотреть все новые оповещения и решить назначить их очереди Выполняется для дальнейшего анализа.
Кроме того, руководитель группы может назначить оповещение в очередь Разрешено , если он знает, что оповещение является небезопасным, поступает с устройства, которое не имеет значения (например, относится к администратору безопасности) или рассматривается через более раннее оповещение.
классификация оповещений;
Вы можете не задавать классификацию или указать, является ли оповещение истинным или ложным. Важно предоставить классификацию истинноположительных и ложноположительных результатов. Эта классификация используется для мониторинга качества оповещений и повышения точности оповещений. Поле "определение" определяет дополнительную точность для классификации "истинно положительных".
Инструкции по классификации оповещений приведены в этом видео:
Добавление комментариев и просмотр журнала оповещений
Вы можете добавлять комментарии и просматривать исторические события оповещения, чтобы просмотреть предыдущие изменения, внесенные в оповещение.
Каждый раз, когда в оповещение вносится изменение или комментарий, оно записывается в разделе Примечания и журнал .
Добавленные комментарии сразу же появляются в соответствующей области.