調查適用於身分識別的 Defender 安全性警示 Microsoft Defender 全面偵測回應
注意
適用於身分識別的 Defender 並非設計為稽核或記錄解決方案,可擷取感測器安裝所在伺服器上的每個作業或活動。 它只會擷取其偵測和建議機制所需的數據。
本文說明如何在 Microsoft Defender 全面偵測回應 中使用 適用於身分識別的 Microsoft Defender 安全性警示的基本概念。
適用於身分識別的 Defender 警示原生整合至具有專用身分識別警示頁面格式的 Microsoft Defender 全面偵測回應。
[身分識別警示] 頁面提供 適用於身分識別的 Microsoft Defender 客戶更好的跨網域訊號擴充和新的自動化身分識別回應功能。 這可確保您保持安全,並協助提升安全性作業的效率。
透過 Microsoft Defender 全面偵測回應 調查警示的優點之一是,適用於身分識別的 Microsoft Defender 警示會進一步與套件中其他產品取得的資訊相互關聯。 這些增強的警示與其他源自 適用於 Office 365 的 Microsoft Defender 和 適用於端點的 Microsoft Defender 的 Microsoft Defender 全面偵測回應 警示格式一致。 新頁面實際上不需要流覽至另一個產品入口網站,以調查與身分識別相關聯的警示。
源自適用於身分識別的 Defender 的警示現在可以觸發 Microsoft Defender 全面偵測回應 自動化調查和回應 (AIR) 功能,包括自動補救警示,以及有助於可疑活動的工具和程式風險降低。
重要
在與 Microsoft Defender 全面偵測回應 趨同的一部分,某些選項和詳細數據已從適用於身分識別的Defender入口網站中的位置變更。 請閱讀下列詳細數據,以探索尋找熟悉和新功能的位置。
檢閱安全性警示
您可以從多個位置存取警示,包括 [警示 ] 頁面、[ 事件] 頁面、個別 裝置的頁面,以及 [ 進階搜捕 ] 頁面。 在此範例中,我們將檢閱 [ 警示] 頁面。
在 Microsoft Defender 全面偵測回應 中,移至 [事件與警示],然後移至 [警示]。
若要查看來自適用於身分識別的 Defender 警示,請在右上方選取 [篩選],然後在 [服務來源] 底下選取 [適用於身分識別的 Microsoft Defender],然後選取 [套用]:
警示會顯示在下列數據行中的資訊:警示名稱、標籤、嚴重性、調查狀態、狀態、類別、偵測來源、受影響的資產、第一個活動及最後一個活動。
安全性警示類別
適用於身分識別的 Defender 安全性警示分為下列類別或階段,例如典型的網路攻擊終止鏈結中所見的階段。
管理警示
如果您選取 其中一個警示的 [警示名稱 ],您將移至頁面,其中包含警示的詳細數據。 在左窗格中,您會看到所發生狀況的摘要:
在 [ 發生什麼事] 方塊上方是警示的 [帳戶]、 [目的地主機 ] 和 [來源主機 ] 按鈕。 針對其他警示,您可能會看到按鈕,以取得其他主機、帳戶、IP 位址、網域和安全組的詳細數據。 選取其中任何一個,以取得相關實體的詳細數據。
在右窗格中,您會看到 [警示詳細數據]。 您可以在這裡查看更多詳細資料,並執行數個工作:
分類此警示 - 您可以在這裡將此警示指定為 True 警示 或 False 警示
警示狀態 - 在 [設定分類] 中,您可以將警示分類為 True 或 False。 在 [指派給] 中,您可以將警示指派給自己或取消指派。
警示詳細數據 - 在 [警示詳細數據] 底下,您可以找到特定警示的詳細資訊、遵循警示類型相關文件的連結、查看警示相關聯的事件、檢閱與此警示類型連結的任何自動化調查,以及查看受影響的裝置和使用者。
批註和歷程記錄 - 您可以在這裡將批註新增至警示,並查看與警示相關聯的所有動作歷程記錄。
管理警示 - 如果您選取 [管理警示],您將移至可讓您編輯的窗格:
狀態 - 您可以選擇 [ 新增]、[ 已 解決] 或 [進行中]。
分類 - 您可以選擇 [True 警示] 或 [False 警示]。
批註 - 您可以新增警示的相關批注。
如果您選取 [管理警示] 旁的三個點,您可以將警示連結至另一個事件、建立隱藏規則(僅適用於預覽客戶),或詢問 Defender 專家。
您也可以將警示匯出至 Excel 檔案。 若要這樣做,請選取 [ 導出]。
注意
在 Excel 檔案中,您現在有兩個可用連結:在 適用於身分識別的 Microsoft Defender 中檢視和 Microsoft Defender 全面偵測回應 檢視。 每個鏈接都會帶您前往相關的入口網站,並提供警示的相關信息。
微調警示
調整警示以調整並優化警示,減少誤判。 警示調整可讓您的SOC小組專注於高優先順序的警示,並改善整個系統的威脅偵測涵蓋範圍。 在 Microsoft Defender 全面偵測回應 中,根據辨識項類型建立規則條件,然後將規則套用到符合條件的任何規則類型上。
如需詳細資訊,請參閱 微調警示。
另請參閱
深入了解
- 嘗試我們的互動式指南:使用 適用於身分識別的 Microsoft Defender 偵測可疑的活動和潛在攻擊