Uç Nokta için Defender, uyarılar aracılığıyla olası kötü amaçlı olayları, öznitelikleri ve bağlamsal bilgileri size bildirir. Yeni uyarıların özeti görüntülenir ve Uyarılar kuyruğundaki tüm uyarılara erişebilirsiniz.
Uyarılar kuyruğunda bir uyarıyı veya tek bir cihaz için Cihaz sayfasının Uyarılar sekmesini seçerek uyarıları yönetebilirsiniz.
Bu yerlerden herhangi birinde bir uyarı seçildiğinde Uyarı yönetimi bölmesi açılır.
Yeni Uç Nokta için Microsoft Defender uyarı sayfasını kullanmayı öğrenmek için bu videoyu izleyin.
Başka bir olaya bağlantı
Uyarıdan yeni bir olay oluşturabilir veya mevcut bir olaya bağlanabilirsiniz.
Uyarı atama
Henüz bir uyarı atanmamışsa, uyarıyı kendinize atamak için Bana ata'yı seçebilirsiniz.
Uyarıları gizleme
Uyarıların Microsoft Defender XDR görünmesini engellemeniz gereken senaryolar olabilir. Uç Nokta için Defender, kuruluşunuzdaki bilinen araçlar veya işlemler gibi zararsız olduğu bilinen belirli uyarılar için gizleme kuralları oluşturmanıza olanak tanır.
Gizleme kuralları mevcut bir uyarıdan oluşturulabilir. Gerekirse devre dışı bırakılabilir ve yeniden kullanılabilir.
Bir gizleme kuralı oluşturulduğunda, kuralın oluşturulduğu noktadan itibaren geçerli olur. Kural, kural oluşturulmadan önce kuyrukta bulunan mevcut uyarıları etkilemez. Kural yalnızca kural oluşturulduktan sonra ayarlanan koşulları karşılayan uyarılara uygulanır.
Gizleme kuralı için aralarından seçim yapabileceğiniz iki bağlam vardır:
Bu cihazda uyarıyı gizle
Kuruluşumda uyarıyı gizleme
Kuralın bağlamı, portala nelerin ortaya çıkarıldığını uyarlamanıza ve portalda yalnızca gerçek güvenlik uyarılarının ortaya çıkarıldığından emin olmanıza olanak tanır.
Gizleme kuralının bağlamını seçmenize yardımcı olması için aşağıdaki tabloda yer alan örnekleri kullanabilirsiniz:
Bağlam
Tanım
Örnek senaryolar
Bu cihazda uyarıyı gizle
Aynı uyarı başlığına sahip ve yalnızca ilgili cihazda bulunan uyarılar gizlenecektir.
Bu cihazdaki diğer tüm uyarılar gizlenmeyecek.
Bir güvenlik araştırmacısı, kuruluşunuzdaki diğer cihazlara saldırmak için kullanılan kötü amaçlı bir betiği araştırıyor.
Bir geliştirici, ekibi için düzenli olarak PowerShell betikleri oluşturur.
Kuruluşumda uyarıyı gizleme
Herhangi bir cihazda aynı uyarı başlığına sahip uyarılar gizlenecektir.
İyi huylu bir yönetim aracı kuruluşunuzdaki herkes tarafından kullanılır.
Uyarıyı gizleme ve yeni bir gizleme kuralı oluşturma
Uyarıların ne zaman gizleneceğini veya çözümlendiğini denetlemek için özel kurallar İçerik Oluşturucu. Uyarı başlığını, Risk göstergesini ve koşulları belirterek uyarının ne zaman gizleneceğinin bağlamını denetleyebilirsiniz. Bağlamı belirttikten sonra uyarıdaki eylemi ve kapsamı yapılandırabilirsiniz.
Bastırmak istediğiniz uyarıyı seçin. Bu, Uyarı yönetimi bölmesini getirir.
Bir gizleme kuralı İçerik Oluşturucu seçin.
Bu öznitelikleri kullanarak bir gizleme koşulu oluşturabilirsiniz. Her koşul arasında bir AND işleci uygulandığı için, gizleme yalnızca tüm koşullar karşılandığında gerçekleşir.
DOSYA SHA1
Dosya adı - joker karakter desteklenir
Klasör yolu - joker karakter desteklenir
IP adresi
URL - joker karakter desteklenir
Komut satırı - joker karakter desteklenir
Tetikleme IOC'sini seçin.
Uyarıdaki eylemi ve kapsamı belirtin.
Uyarıyı otomatik olarak çözümleyebilir veya portaldan gizleyebilirsiniz. Otomatik olarak çözümlenen uyarılar, uyarı kuyruğunun, uyarı sayfasının ve cihaz zaman çizelgesinin çözümlenen bölümünde görünür ve Uç Nokta için Defender API'lerinde çözümlenmiş olarak görünür.
Gizli olarak işaretlenen uyarılar, hem cihazın ilişkili uyarılarında hem de panodan sistemin tamamından gizlenir ve Uç Nokta için Defender API'leri arasında akışa alınmaz.
Araştırmanız ilerledikçe durumlarını değiştirerek uyarıları ( Yeni, Devam Ediyor veya Çözümlendi olarak) kategorilere ayırabilirsiniz. Bu, ekibinizin uyarılara nasıl yanıt vereceğini düzenlemenize ve yönetmenize yardımcı olur.
Örneğin, bir ekip lideri tüm Yeni uyarıları gözden geçirebilir ve bunları daha fazla analiz için Devam Ediyor kuyruğuna atamaya karar verebilir.
Alternatif olarak, ekip lideri uyarının zararsız olduğunu, ilgisiz bir cihazdan (örneğin bir güvenlik yöneticisine ait) geldiğini veya daha önceki bir uyarı aracılığıyla ele alındığını biliyorsa uyarıyı Çözümlenmiş kuyruğuna atayabilir.
Uyarı sınıflandırması
Sınıflandırma ayarlamamayı seçebilir veya bir uyarının gerçek uyarı mı yoksa yanlış uyarı mı olduğunu belirtebilirsiniz. Gerçek pozitif/yanlış pozitif sınıflandırmasını sağlamak önemlidir. Bu sınıflandırma uyarı kalitesini izlemek ve uyarıları daha doğru hale getirmek için kullanılır. "Belirleme" alanı, "gerçek pozitif" sınıflandırma için ek uygunluk tanımlar.
Uyarıları sınıflandırma adımları bu videoya eklenmiştir:
Açıklama ekleme ve uyarı geçmişini görüntüleme
Uyarıda yapılan önceki değişiklikleri görmek için açıklamalar ekleyebilir ve bir uyarıyla ilgili geçmiş olayları görüntüleyebilirsiniz.
Bir uyarıda her değişiklik veya açıklama yapıldığında, bu değişiklik Açıklamalar ve geçmiş bölümüne kaydedilir.