调查Microsoft Defender for Endpoint中的警报

适用于：

希望体验 Defender for Endpoint？注册免费试用版。

调查影响网络的警报，了解其含义以及如何解决它们。

从警报队列中选择一个警报，转到“警报”页。此视图包含警报标题、受影响的资产、详细信息侧窗格和警报情景。

从警报页开始调查，方法是选择受影响的资产或警报故事树视图下的任何实体。详细信息窗格会自动填充有关所选内容的详细信息。若要查看可在此处查看的信息类型，请阅读查看Microsoft Defender for Endpoint中的警报。

使用警报情景进行调查

警报故事详细说明了触发警报的原因、之前和之后发生的相关事件以及其他相关实体。

实体是可单击的，每个不是警报的实体都可以使用该实体卡右侧的展开图标进行展开。焦点中的实体将由该实体卡左侧的蓝色条纹指示，标题中的警报首先处于焦点中。

展开实体可一目了然地查看详细信息。选择实体会将详细信息窗格的上下文切换到此实体，并允许您查看详细信息以及管理该实体。选择实体卡右侧的“...”将显示该实体可用的所有作。当实体处于焦点时，这些相同的作将显示在详细信息窗格中。

备注

警报情景部分可能包含多个警报，与所选警报之前或之后显示与相同执行树相关的其他警报。

警报时间线通过为用户提供每个警报的综合视角来补充现有的“流程树”视图。虽然流程树详细细分了警报的相关流程和活动，但警报时间线呈现了按时间顺序的精简视图，便于快速会审和决策。

选择感兴趣的实体后，详细信息窗格将发生更改，以显示有关所选实体类型的信息、可用时的历史信息，并提供控件以直接从警报页对此实体 执行作 。

调查完成后，返回到你开始使用的警报，将警报的状态标记为 “已解决 ”，并将其分类为 False 警报 或 True 警报。对警报进行分类有助于优化此功能，以提供更多真实警报和更少的虚假警报。

如果将它分类为真实警报，还可以选择一个确定，如下图所示。

如果遇到业务线应用程序的虚假警报，请创建抑制规则以避免将来出现此类警报。

提示

如果遇到上述任何问题，请使用 🙂 按钮提供反馈或开具支持票证。

提示

想要了解更多信息？ Engage技术社区中的Microsoft安全社区：Microsoft Defender for Endpoint技术社区。

其他资源

文档

查看Microsoft Defender for Endpoint中的警报 - Microsoft Defender for Endpoint

查看警报信息，包括可视化的警报情景和链中每个步骤的详细信息。
查看并组织 Microsoft Defender for Endpoint 警报队列 - Microsoft Defender for Endpoint

了解Microsoft Defender for Endpoint警报队列的工作原理，以及如何对警报列表进行排序和筛选。
Microsoft Defender XDR 中的警报队列 - Microsoft Defender for Endpoint

查看和管理Microsoft Defender XDR中显示的警报
管理Microsoft Defender for Endpoint警报 - Microsoft Defender for Endpoint

使用“管理警报”菜单更改警报状态、创建抑制规则以隐藏警报、提交注释以及查看单个警报的更改历史记录。
调查 Microsoft Defender for Endpoint 中的事件 - Microsoft Defender for Endpoint

查看关联的警报、管理事件并查看警报元数据，以帮助你调查事件
管理Microsoft Defender for Endpoint事件 - Microsoft Defender for Endpoint

通过分配事件、更新事件状态或设置事件分类来管理事件。
使用Microsoft Defender for Endpoint防病毒和Intune集成查看检测到的威胁 - Microsoft Defender for Endpoint

使用Microsoft Defender for Endpoint防病毒和Intune集成查看和管理威胁检测。
调查Microsoft Defender for Endpoint文件 - Microsoft Defender for Endpoint

使用调查选项获取与警报、行为或事件关联的文件的详细信息。