适用于:
希望体验 Defender for Endpoint? 注册免费试用版。
平台
- Windows
- macOS
- Android
在Microsoft Defender门户中,可以使用以下步骤查看和管理威胁检测:
访问 Microsoft XDR 门户 和登录。
在登录页上,可以看到具有活动恶意软件的设备卡以下信息:
- 显示文本:适用于Intune管理的设备。 具有多个恶意软件检测的设备可能会多次计数。
- 上次更新的日期和时间。
- 一个条形图,其中包含“主动”和“恶意软件”修正部分(根据扫描)。
有关详细信息,可以选择“ 查看详细信息 ”。
修正后,会看到以下文本正在显示:
已成功修正在设备上发现的恶意软件。
在 Microsoft Intune 中管理威胁检测
可以使用以下步骤管理在 Microsoft Intune 中注册的任何设备的威胁检测:
在 intune.microsoft.com 并登录时转到Microsoft Intune管理中心。
在导航窗格中,选择“ 终结点安全性”。
在 “管理”下,选择“ 防病毒”。 会看到“摘要”、“不正常终结点”和“活动恶意软件”选项卡。
查看可用选项卡上的信息,然后根据需要采取措施。
例如,当可以选择“ 活动恶意软件 ”选项卡下列出的设备时,可以从提供的作列表中选择一个作:
- Restart
- 快速扫描
- 完整扫描
- 同步
- 更新签名
常见问题解答
在Microsoft XDR 门户 > “具有活动恶意软件 > 的设备设备”中,“带有恶意软件检测的设备”报告中,为什么“上次更新”似乎在今天发生?
若要查看检测到恶意软件的时间,可以执行以下步骤:
由于这是与Intune的集成,因此请访问Intune门户,选择“防病毒”,然后选择“活动恶意软件”选项卡。
选择"导出"。
在设备上,转到“下载”,并提取
Active malware_YYYY_MM_DD_THH_MM_SS.0123Z.csv.zip文件。打开 CSV 并找到 LastStateChangeDateTime 列以查看检测到恶意软件的时间。
在具有恶意软件检测的设备报告中,为什么我看不到有关在设备上检测到哪些恶意软件的任何信息。
若要查看恶意软件名称,请访问Intune门户,因为这是与Intune集成,选择“防病毒”,然后选择“活动恶意软件”选项卡,此时会看到名为“恶意软件名称”的列。
与使用>报告检测到的恶意软件和防病毒 >>活动恶意软件Intune相比,在具有活动恶意软件报告的设备中看到的活动恶意软件的数字不同。
具有活动恶意软件的设备报告基于过去 1 天内处于活动状态 (24 小时) 且在过去 15 天内检测到恶意软件的设备。
使用以下高级搜寻查询:
DeviceInfo
| where Timestamp > startofday(datetime(2024-01-29 00:00:00))
| where OnboardingStatus == "Onboarded"
| where SensorHealthState == "Active"
| distinct DeviceId, DeviceName
| join kind=innerunique (
AlertEvidence
| where Timestamp > ago(15d)
| where ServiceSource == "Microsoft Defender for Endpoint"
| where DetectionSource == "Antivirus")
on DeviceName
| distinct DeviceName, DeviceId, Title, AlertId, Timestamp
我在顶部搜索栏中搜索了计算机名称,并得到了两个具有相同名称的设备。 我不知道报告指的是这两个设备中的哪一个?
使用 此处 提到的高级搜寻查询获取详细信息,例如唯一的 DeviceID、Title、AlertID 和修正过程。 标识后,请与 IT 管理员协作,确保设备名称唯一。 如果设备已停用,请使用 标记将其停用。
我在Intune和具有活动恶意软件的设备上看到恶意软件检测报告,但在MDE警报队列或事件队列中看不到它。
可能是当前不允许通过防火墙或代理使用 URL 的 云保护 。
你需要确保在设备上运行时 %ProgramFiles%\Windows Defender\MpCmdRun.exe -ValidateMapsConnection ,报告为“正常”。
我看到一个设备处于非活动状态 180 多天,但仍显示在“具有活动恶意软件的设备”的报告中。 设备未显示在“设备清单”中,无法打开,并且无法从Microsoft Defender for Endpoint卸载。
设备尚未从Intune停用。