共用方式為


在適用於企業的 Microsoft Defender 中檢視及管理事件

當偵測到威脅並觸發警示時, 即會建立事件。 貴公司的安全性小組可以在 Microsoft Defender 入口網站中檢視和管理事件。 您必須獲指派適當的許可權,才能執行本文中的工作。 請參閱 適用於企業的 Microsoft Defender 中的安全性角色和許可權

本文包括:

如何監視事件和警示

  1. 在 Microsoft Defender 入口網站 (https://security.microsoft.com) ,在瀏覽窗格中,移至 [事件 & 警示],然後選取 [事件]。 頁面上會列出已建立的事件。

    重要事項

    如果您看到標記為 Attack disruption的事件,表示已偵測到進階攻擊。 請參閱 自動攻擊中斷

  2. 選取警示以開啟其飛出視窗窗格, 您可以在其中深入了解警示。

    開啟飛出視窗時選取事件的螢幕擷取畫面

  3. 在飛出視窗窗格中,您可以看到警示標題、檢視 (的資產清單,例如受影響的裝置或使用者帳戶) 、採取可用的動作,以及使用連結來檢視詳細資訊,甚至開啟所選警示的詳細數據頁面。

提示

商務用Defender的設計目的是建議您可以採取的動作,協助您解決偵測到的威脅。 當您檢視警示時,請尋找這些建議。 另請注意警示嚴重性,這不只會根據偵測到的威脅嚴重性來決定,也會根據公司的風險層級來決定。

警示嚴重性

偵測到威脅時,系統會將嚴重性層級指派給每個產生的警示。

  • Microsoft Defender 防病毒軟體會根據偵測到之威脅 (的絕對嚴重性指派警示嚴重性,例如惡意代碼) ,以及受感染) 時可能會對個別裝置 (的風險。
  • 商務用 Defender 會根據偵測到的行為嚴重性、對裝置的實際風險指派警示嚴重性,更重要的是,為您的公司指派潛在風險。

下表列出一些警示及其嚴重性層級的範例:

案例 警示嚴重性和原因
自動攻擊中斷 會偵測進階攻擊,並包含裝置或用戶帳戶,以協助防止攻擊繼續進行。 。 攻擊中斷功能有助於包含攻擊,讓IT/安全性小組可以解決此問題。
Microsoft Defender 防毒軟體會在威脅造成任何損害之前偵測並停止威脅。 資訊。 威脅在損壞完成之前已停止。
Microsoft Defender 防毒軟體偵測到貴公司內執行的惡意程式碼。 此惡意軟體已停止並修復。 。 雖然可能已對個別裝置造成一些損害,但惡意代碼現在不會對您的公司造成任何威脅。
商務用 Defender 偵測到正在執行的惡意代碼。 惡意程式碼幾乎會立即被封鎖。 。 惡意代碼會對個別裝置和您的公司造成威脅。
偵測到可疑的行為, 但尚未採取補救動作。 。 嚴重性取決於行為對貴公司造成威脅的程度。

後續步驟