Microsoft 365 Defender中的 Defender for Identity 安全警报

本文介绍了如何在Microsoft 365 Defender中使用Microsoft Defender for Identity安全警报的基础知识。

Defender for Identity 警报本机集成到具有专用标识警报页面格式的Microsoft 365 Defender中。

“标识警报”页为Microsoft Defender for Identity客户提供更好的跨域信号扩充和新的自动标识响应功能。 它可确保保持安全,并帮助提高安全操作的效率。

通过Microsoft 365 Defender调查警报的好处之一是Microsoft Defender for Identity警报与套件中其他产品获取的信息进一步关联。 这些增强型警报与其他源自Microsoft Defender for Office 365Microsoft Defender for Endpoint的Microsoft 365 Defender警报格式一致。 新页面实际上无需导航到另一个产品门户来调查与标识关联的警报。

源自 Defender for Identity 的警报现在可以触发Microsoft 365 Defender自动调查和响应 (AIR) 功能,包括自动修正警报,以及有助于可疑活动的工具和过程的缓解。

重要

作为与Microsoft 365 Defender融合的一部分,某些选项和详细信息已从 Defender for Identity 门户中的位置更改。 请阅读下面的详细信息,了解熟悉和新功能的查找位置。

查看安全警报

可以从多个位置访问警报,包括 “警报 ”页、“ 事件 ”页、单个 设备的页面以及“ 高级搜寻 ”页。 在此示例中,我们将查看 “警报”页

Microsoft 365 Defender中,转到“事件&警报”,然后转到“警报”。

“警报”菜单项

若要查看 Defender for Identity 中的警报,请在右上角选择“筛选器”,然后在“服务源”下选择“Microsoft Defender for Identity”,然后选择“应用” :

Defender for Identity 事件的筛选器

警报显示在以下列中的信息: 警报名称标记严重性调查状态状态类别检测源受影响的资产First 活动和Last 活动

Defender for Identity 事件

安全警报类别

Defender for Identity 安全警报分为以下类别或阶段,例如典型的网络攻击杀伤链中看到的阶段。

管理警报

如果单击其中一个警报的 警报名称 ,将转到该页面,其中包含有关警报的详细信息。 在左窗格中,你将看到 所发生情况的摘要:

“发生了什么”窗格

“发生了什么 ”框上方是 警报的帐户目标主机源主机 的按钮。 对于其他警报,你可能会看到有关其他主机、帐户、IP 地址、域和安全组的详细信息的按钮。 选择其中任一实体以获取有关相关实体的更多详细信息。

在右侧窗格中,你将看到 “警报”详细信息。 可在此处查看更多详细信息并执行多个任务:

  • 对此警报进行分类 - 可在此处将此警报指定为 True 警报False 警报

    可以对警报进行分类的页面

  • 警报状态 - 在 “设置分类”中,可以将警报分类为 TrueFalse。 在 “已分配”中,可以自行分配警报或取消分配警报。

    “警报状态”窗格

  • 警报详细信息 - 在 “警报详细信息”下,可以找到有关特定警报的详细信息,请遵循指向有关警报类型的文档链接,查看与警报关联的事件、查看链接到此警报类型的任何自动调查,以及查看受影响的设备和用户。

    “警报详细信息”页

  • 批注 & 历史记录 - 可在此处向警报添加批注,并查看与警报关联的所有操作的历史记录。

    “批注 & 历史记录”页

  • 管理警报 - 如果选择 “管理警报”,将转到允许编辑以下项的窗格:

    • 状态 - 可以选择“新建”、“已解决”“正在进行”。

    • 分类 - 可以选择 True 警报False 警报

    • 注释 - 可以添加有关警报的注释。

      如果选择 “管理警报”旁边的三个点,可以 咨询威胁专家、将警报 导出 到 Excel 文件或 链接到其他事件

      “管理警报”选项

      注意

      在 Excel 文件中,现在有两个可用链接:Microsoft Defender for Identity中的视图Microsoft 365 Defender中的视图。 每个链接都会将你带到相关门户,并提供有关警报的信息。

另请参阅

了解详细信息