注意
本文介绍 Microsoft Defender XDR 中的安全警报。 但是,当用户在 Microsoft 365 中执行特定活动时,可以使用警报策略将电子邮件通知发送给自己或其他管理员。 有关详细信息,请参阅 Microsoft Defender 门户中的警报策略。
警报是各种威胁检测活动产生的信号。 这些信号由驻留在 Microsoft Defender 门户中的许多安全服务生成,它们指示环境中发生恶意或可疑事件。
这些可疑事件通常是更广泛的攻击事件的一部分。 在Microsoft Defender门户中,警报表示Defender XDR关联在一起形成事件的单个证据。 事件讲述整个攻击故事:但是,当需要更深入的分析时,分析警报可能很有用。
警报队列显示当前警报集。 可以在快速启动Microsoft Defender门户时从事件 & 警报>中查看整个警报队列。 还可以在事件 队列和每个事件页面上的“警报”选项卡上查看每个事件的 警报 。
来自不同Microsoft安全解决方案的警报,例如Microsoft Defender for Endpoint、Defender for Office 365、Microsoft Sentinel、Defender for Cloud、Defender for Identity、Defender for Cloud Apps、Defender XDR、应用治理、Microsoft Entra ID保护和Microsoft数据丢失防护如下所示。
默认情况下,Microsoft Defender门户中的警报队列显示过去 7 天内的新警报和正在进行的警报。 最新的警报位于列表顶部,因此你可以先看到它。 还可以在搜索栏旁的队列中查找 警报总数 。 警报总数因队列中使用的筛选器而异。
在默认警报队列中,可以选择“ 筛选 ”,查看可从中指定警报子集的所有可用筛选器。 下面是一个示例。
可以根据以下条件筛选警报:
- Severity
- 状态
- 类别
- 服务/检测源
- 标记
- 策略/策略规则
- 警报类型
- 产品名称
- 警报订阅 ID
- 实体(受影响的资产)
- 自动调查状态
- 工作区
- 数据流 (工作负荷或位置)
- 敏感度标签
注意
Microsoft Defender XDR客户现在可以使用警报筛选事件,这些警报:通过设备发现集成连接到企业网络的 Microsoft Defender (OT) 设备与操作技术通信,并Microsoft Defender for Endpoint。 若要筛选这些事件,请在“服务/检测源”中选择“任何”,然后在“产品名称”中选择“ioT Microsoft Defender”,或者在 Defender 门户中查看“调查 ioT Microsoft Defender中的事件和警报”。 还可以使用设备组筛选特定于站点的警报。 有关 Defender for IoT 先决条件的详细信息,请参阅 Microsoft Defender XDR 中的企业 IoT 监视入门。
警报可以具有具有特定颜色背景的系统标记和/或自定义标记。 自定义标记使用白色背景,而系统标记通常使用红色或黑色背景色。 系统标记标识事件中的以下内容:
- 一 种攻击,例如勒索软件或凭据钓鱼
- 自动操作,例如自动调查和响应以及自动攻击中断
- 处理事件的 Defender 专家
- 事件中涉及的关键资产
提示
Microsoft安全风险管理,基于预定义的分类,自动将设备、标识和云资源标记为关键资产。 这种开箱即用的功能可确保保护组织的宝贵和最重要的资产。 它还可帮助安全运营团队确定调查和修正的优先级。 详细了解 关键资产管理。
重要
本文中的一些信息与预发布产品有关,在商业发布之前,该产品可能会进行重大修改。 Microsoft对此处提供的信息不作任何明示或暗示的保证。
可以使用自定义日期和时间范围或搜索栏搜索特定警报来搜索警报。 若要搜索特定日期或时间范围内的警报,请在日期选取器中选择 “自定义范围 ”,然后指定开始和结束日期和时间。
若要搜索特定警报,请在搜索栏中输入搜索词。 可以根据警报标题或警报 ID 搜索警报。
Defender Office 365警报所需的角色
需要具有以下任一角色才能访问Office 365警报Microsoft Defender:
对于Microsoft Entra全局角色:
- 全局管理员
- 安全管理员
- 安全操作员
- 全局读取者
- 安全读取者
Office 365安全性 & 合规性角色组
- 合规性管理员
- 组织管理
注意
Microsoft建议使用权限较少的角色以提高安全性。 全局管理员角色具有许多权限,仅当没有其他角色适合时,才应在紧急情况下使用。
分析警报
若要查看主警报页,请选择警报的名称。 下面是一个示例。
还可以从“管理警报”窗格中选择“打开主警报页”操作。
警报页由以下部分组成:
- 警报情景,它是与此警报相关的事件和警报的链,按时间顺序排列
- 摘要详细信息
在整个警报页中,可以选择任何实体旁边的省略号 (...) 以查看可用操作,例如将警报链接到另一个事件。 可用操作列表取决于警报的类型。
警报源
Microsoft Defender XDR警报来自Microsoft Defender for Endpoint、Defender for Office 365、Defender for Identity、Defender for Cloud Apps、应用治理加载项等解决方案Microsoft Defender for Cloud Apps、Microsoft Entra ID保护和Microsoft数据丢失防护。 你可能会注意到警报中带有前面附加字符的警报。 下表提供了指导,可帮助你了解基于警报前置字符的警报源映射。
注意
- 前置 GUID 仅特定于统一体验,例如统一警报队列、统一警报页、统一调查和统一事件。
- 前面附加的字符不会更改警报的 GUID。 对 GUID 的唯一更改是前面的组件。
| 警报源 | 带有前面附加字符的警报 ID |
|---|---|
| Microsoft Defender XDR | ra{GUID} ta{GUID} 用于来自 ThreatExperts 的警报 ea{GUID} 用于来自自定义检测的警报 |
| Microsoft Defender for Office 365 | fa{GUID} 例如: fa123a456b-c789-1d2e-12f1g33h445h6i |
| Microsoft Defender for Endpoint | da{GUID} ed{GUID} 用于来自自定义检测的警报 |
| Microsoft Defender for Identity | aa{GUID} ri{GUID} 用于来自 XDR 检测引擎的警报 示例: aa123a456b-c789-1d2e-12f1g33h445h6i、 ri001122334455667788_-0123456789 |
| Microsoft Defender for Cloud Apps | ca{GUID} ma{GUID} 用于来自应用治理检测和策略的警报 rm{GUID} 用于来自 XDR 检测引擎的警报 例如: ca123a456b-c789-1d2e-12f1g33h445h6i |
| Microsoft Entra ID 保护 | ad{GUID} |
| 应用治理 | ma{GUID} |
| Microsoft数据丢失防护 | dl{GUID} |
| Microsoft Defender for Cloud | dc{GUID} |
| Microsoft Sentinel | sn{GUID} |
| Microsoft Purview 内部风险管理 | ir{GUID} |
| 智能 智能 Microsoft Security Copilot 副驾驶® 副驾驶® | sc{GUID} |
注意
如果已预配Microsoft Purview 内部风险管理访问权限,则可以在Microsoft Defender门户中查看和管理内部风险管理警报,并搜寻内部风险管理事件。 有关详细信息,请参阅在 Microsoft Defender 门户中调查内部风险威胁。
配置警报服务设置
若要在 Microsoft Defender XDR中配置警报服务设置,请执行以下操作:
转到Microsoft Defender门户 (security.microsoft.com) ,选择“设置Microsoft Defender XDR>”。
从列表中选择“ 警报服务设置”,然后配置该服务的警报设置。
重要
从 2025 年 12 月 11 日开始,Microsoft Defender XDR将推出增强的配置选项,用于公共预览版Entra ID 保护警报。 通过这些更新,可以更精细地控制基于风险的警报。 新的默认设置为 “仅高风险检测”。 根据组织的需要,将默认设置更改为 “高 + 中 ”或“ 所有检测 ”。
还可以直接从Microsoft Defender门户中的“事件”页访问警报服务设置。
重要
某些信息与预发布的产品有关,在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。
分析受影响的资产
处理部分包含受影响资产的列表,例如邮箱、设备和受此警报影响的用户。
还可以选择“在操作中心查看”,在Microsoft Defender门户中查看操作中心的“历史记录”选项卡。
跟踪警报在警报情景中的角色
警报情景在进程树视图中显示与警报相关的所有资产或实体。 首次进入所选警报页面时,游戏中的警报是焦点。 警报情景中的资产可展开且可单击。 它们提供了其他信息,并允许你在警报页面的上下文中采取相应措施,从而加快响应。
注意
警报情景部分可能包含多个警报,与所选警报之前或之后显示与相同执行树相关的其他警报。
在详细信息页上查看更多警报信息
详细信息页显示所选警报的详细信息,以及与之相关的详细信息和操作。 如果在警报情景中选择任何受影响的资产或实体,则详细信息页将更改为向所选对象提供上下文信息和操作。
选择感兴趣的实体后,详细信息页将更改为显示有关所选实体类型的信息、可用时的历史信息,以及直接从警报页对此实体执行操作的选项。
管理警报
若要管理警报,请在警报页的摘要详细信息部分中选择“管理警报”。 对于单个警报,下面是“管理警报”窗格的示例。
使用“ 管理警报 ”窗格可以查看或指定:
- 警报状态(新建、已解决、正在进行)。
- 已分配警报的用户帐户。
- 警报的分类:
- 未设置 默认) (。
- 具有某种威胁的真正值。 对准确指示真实威胁的警报使用此分类。 指定此威胁类型会提醒安全团队看到威胁模式,并采取行动保护组织免受威胁模式的危害。
- 具有某种类型活动的信息性预期活动。 对于技术上准确但表示正常行为或模拟威胁活动的警报,请使用此选项。 你通常希望忽略这些警报,但预期这些警报适用于将来由实际攻击者或恶意软件触发的类似活动。 使用此类别中的选项对来自受信任应用和用户的安全测试、红队活动和预期异常行为的警报进行分类。
- 对于创建的警报类型(即使没有恶意活动)或针对误报,则为误报。 使用此类别中的选项将错误地标识为正常事件或活动的警报分类为恶意或可疑事件。 与“信息性、预期活动”的警报不同,“信息性、预期活动”也可用于捕获实际威胁,你通常不希望再次看到这些警报。 将警报分类为误报有助于Microsoft Defender XDR提高检测质量。
- 对警报的注释。
注意
2022 年 8 月,以前支持的警报确定值 (
Apt和SecurityPersonnel) 已弃用,不再通过 API 提供。使用标记管理警报的一种方法。 Microsoft Defender Office 365的标记功能目前为预览版,以增量方式推出。
目前,修改后的标记名称仅应用于更新 后 创建的警报。 修改前生成的警报不会反映更新的标记名称。
若要管理一组类似于特定警报的警报,请在警报页的“摘要详细信息”部分的“见解”框中选择“查看类似警报”。
然后,可从“管理警报”窗格中同时对所有相关警报进行分类。 下面是一个示例。
如果过去已对类似警报进行分类,则可以使用Microsoft Defender XDR建议来了解如何解决其他警报,从而节省时间。 在摘要详细信息部分中,选择“建议”。
建议 选项卡提供下一步操作和建议,用于调查、修正和预防。 下面是一个示例。
内置警报优化规则
Microsoft Defender XDR包括内置警报优化规则,可帮助减少常见良性活动的报告干扰。 这些内置规则在不影响 AIR 调查和电子邮件通知等其他功能的情况下抑制警报。 如果 AIR 调查检测到恶意或可疑活动,则会重新激活新警报。
若要在Microsoft Defender门户中查看内置警报优化规则,请转到“系统>设置Microsoft Defender XDR”警报优化“>部分>,>或直接转到”警报优化“页上。https://security.microsoft.com/securitysettings/defender/alert_suppression。
请务必查看这些规则,以了解它们如何影响哪些警报显示在Microsoft Defender门户中。
注意
智能 智能 Microsoft Security Copilot 副驾驶® 副驾驶®网络钓鱼会审代理不会对警报优化抑制的警报进行分类。 请务必禁用自动解决 - Email用户报告为恶意软件或网络钓鱼内置警报优化规则以及禁止显示此警报的任何自定义优化规则。
优化警报
作为安全运营中心 (SOC) 分析师,首要问题之一是会审每天触发的警报数量。 虽然希望仅关注高严重性和高优先级警报,但分析师还需要对低优先级警报进行会审和解决,这往往是一个手动过程。 警报优化 (以前的 警报抑制) 允许在发生预期的组织行为和满足规则条件时自动隐藏或解决警报。 这可以简化警报队列并节省会审时间。
警报优化规则支持基于 证据类型的 条件,例如文件、进程、计划任务和触发警报的其他类型的证据。 创建警报优化规则后,将其应用于所选警报或任何满足定义条件的警报类型,以优化警报。
Microsoft Defender XDR包括内置警报优化规则,可帮助减少常见良性活动的报告干扰。 这些内置规则在不影响 AIR 调查和电子邮件通知等其他功能的情况下抑制警报。 如果 AIR 调查检测到恶意或可疑活动,则会重新激活新警报。
还可以创建自己的自定义警报优化规则,以在满足特定条件时执行以下操作之一:
- 隐藏警报:取消警报并阻止事件创建。 隐藏的警报保留在 AlertInfo 和 AlertEvidence 表中。 此操作仅适用于 Defender for Endpoint 警报。
- 解决警报:自动解决警报和相关事件。 匹配的警报及其关联的事件以“已解决”状态触发。
- 设置为行为:将匹配信号转换为行为。 它们不会显示在警报队列或触发事件中。 数据保留在 BehaviorInfo 和 BehaviorEntities 表中进行搜寻。 Defender for Cloud 不支持此操作,Office 365警报不支持Microsoft Defender。
Microsoft Defender XDR还包括内置警报优化规则,这些规则可抑制来自常见良性活动的警报,而不会影响自动调查和响应 (AIR) 调查和电子邮件通知。
警告
对于已知内部业务应用程序或安全测试触发预期活动的场景,请谨慎使用警报优化。
创建规则条件以优化警报
从“Microsoft Defender XDR设置”区域或警报详细信息页创建警报优化规则。 选择以下选项卡之一以继续。
在Microsoft Defender门户中,选择“设置Microsoft Defender XDR >>警报优化”。
选择“ 添加新规则 ”以优化新警报,或选择现有规则行进行更改。 选择规则标题将打开规则详细信息页,可在其中查看关联警报列表、编辑条件或打开和关闭规则。
在 “优化警报 ”窗格的 “选择服务源”下,选择要应用规则的服务源。 列表中仅显示具有权限的服务。 例如:
在 “条件” 区域中,为警报的触发器添加条件。 例如,如果要阻止在创建特定文件时触发警报,请为 File:Custom 触发器定义条件,并定义文件详细信息:
列出的触发器会有所不同,具体取决于所选的服务源。 触发器是 IOC) (入侵的所有指标,例如文件、进程、计划任务和其他可能触发警报的证据类型,包括反恶意软件扫描接口 (AMSI) 脚本、Windows Management Instrumentation (WMI) 事件或计划任务。
若要设置多个规则条件,请选择“ 添加筛选器 ”,并使用 AND、 OR 和分组选项来定义触发警报的多个证据类型之间的关系。 进一步的证据属性会自动填充为新的子组,可在其中定义条件值。 条件值不区分大小写,某些属性支持通配符。
在“优化警报”窗格的“操作”区域中,选择要对规则执行的相关操作。 从 “隐藏警报”、“ 解决警报”或 “设置为行为”中进行选择。
为警报输入有意义的名称和用于描述警报的注释,然后选择“ 保存”。
注意
警报标题 (名称) 基于警报类型 (IoaDefinitionId) 决定警报标题。 具有相同警报类型的两个警报可以更改为不同的警报标题。 “隐藏警报”功能仅在 Defender for Endpoint 警报中可用。
从警报详细信息页创建警报优化规则后,在出现的“ 成功创建规则 ”页中,将任何与警报相关的 IOC 作为指示器添加到 允许列表 ,以防止将来阻止它们。 默认情况下,选择配置为警报优化规则一部分的 IOC。 例如:
- 将文件添加到 “选择证据 (IOC) 允许 列表。 默认情况下,已选择触发警报的文件。
- 为 “选择要应用于值的范围”定义范围 。 默认情况下,将选择应用于警报的范围。
- 选择“ 保存 ”,将文件添加到允许列表并阻止它。
解决警报
分析完警报并可以解决警报后,请转到警报或类似警报 的“管理警报 ”窗格,将状态标记为“ 已解决 ”,然后将其分类为 具有 某种威胁类型、 信息性活动、具有 某种类型活动的预期活动或 误报。
对警报进行分类有助于Microsoft Defender XDR提高其检测质量。
使用 Power Automate 对警报进行会审
(SecOps) 团队需要自动化才能高效工作的新式安全运营。 为了专注于搜寻和调查实际威胁,SecOps 团队使用 Power Automate 对警报列表进行会审,并消除那些不是威胁的警报。
解决警报的条件
- 用户已打开外出邮件
- 用户未标记为高风险
如果两者均为 true,则 SecOps 会将警报标记为合法旅行并解决它。 警报解决后,Microsoft Teams 中会发布通知。
将 Power Automate 连接到Microsoft Defender for Cloud Apps
若要创建自动化,需要先获得 API 令牌,然后才能将 Power Automate 连接到Microsoft Defender for Cloud Apps。
打开Microsoft Defender并选择“设置>云应用>API 令牌”,然后在“API 令牌”选项卡中选择“添加令牌”。
提供令牌的名称,然后选择“ 生成”。 保存令牌,因为稍后会用到它。
创建自动化流
观看此简短视频,了解自动化如何高效地创建流畅的工作流,以及如何将 Power Automate 连接到Defender for Cloud Apps。
使用动态威胁检测代理对警报进行会审
Microsoft Defender中的智能 智能 Microsoft Security Copilot 副驾驶® 副驾驶®包括动态威胁检测代理,这是一种始终处于打开状态的自适应后端服务,可发现 Defender 和Microsoft Sentinel环境中的隐藏威胁。 它使用 AI 来识别差距,并通过关联警报、事件、异常和威胁情报来发现误报。 代理识别差距时,它会生成动态警报,其中包含警报详细信息中的完整上下文,包括自然语言说明、映射的 MITRE ATT&CK 技术以及定制的修正步骤。
有关详细信息,请参阅智能 智能 Microsoft Security Copilot 副驾驶® 副驾驶®动态威胁检测代理。
后续步骤
对于进程内事件,请继续 调查。
另请参阅
提示
想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区。