培训
认证
Microsoft Certified: Security Operations Analyst Associate - Certifications
使用 Microsoft Sentinel、Microsoft Defender for Cloud 和 Microsoft 365 Defender 调查、搜索和缓解威胁。
适用于:
希望体验 Defender for Endpoint? 注册免费试用版。
Microsoft Defender for Endpoint 中的警报页面通过组合与所选警报相关的攻击信号和警报来构建详细的警报情景,从而提供警报的完整上下文。
快速会审、调查影响组织的警报并采取有效措施。 了解触发它们的原因,以及它们从一个位置产生的影响。 有关详细信息,请参阅本概述。
在 Defender for Endpoint 中选择警报的名称将进入其警报页。 在警报页上,所有信息都将显示在所选警报的上下文中。 每个警报页由 4 个部分组成:
记下警报的检测状态。
已阻止:已避免尝试的可疑操作。 例如,文件未写入磁盘或未执行。
阻止:已执行可疑行为,然后被阻止。 例如,执行了一个进程,但由于它随后表现出可疑行为,因此进程被终止。
检测到:检测到攻击,并且可能仍处于活动状态。
然后,还可以在警报的详细信息窗格中查看 自动调查详细信息 ,以查看已采取哪些操作,以及阅读警报对建议操作的说明。
警报打开时详细信息窗格中提供的其他信息包括 MITRE 技术、源和其他上下文详细信息。
备注
如果看到 “不支持”警报类型 警报状态,则表示自动调查功能无法选取该警报来运行自动调查。 但是,可以 手动调查这些警报。
在受影响的资产部分选择设备或用户卡将在详细信息窗格中切换到设备或用户的详细信息。
对于设备,详细信息窗格将显示有关设备本身的信息,例如“域”、“操作系统”和“IP”。 还可以使用该设备上的活动警报和已登录用户。 可以通过隔离设备、限制应用执行或运行防病毒扫描来立即采取措施。 或者,可以收集调查包、启动自动调查,或转到设备页面从设备的角度进行调查。
对于用户,详细信息窗格将显示详细的用户信息,例如用户的 SAM 名称和 SID,以及此用户执行的登录类型以及与该用户相关的任何警报和事件。 可以选择“ 打开用户页” ,从该用户的角度继续调查。
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区。
培训
认证
Microsoft Certified: Security Operations Analyst Associate - Certifications
使用 Microsoft Sentinel、Microsoft Defender for Cloud 和 Microsoft 365 Defender 调查、搜索和缓解威胁。