了解 Microsoft Defender XDR 中的Defender 搜寻专家报表
适用于:
Microsoft Defender 搜寻专家对人工智能和经过专家培训的技术进行分层,以帮助Microsoft Defender XDR客户了解他们面临的重大威胁。 它重点介绍了 Defender 专家的威胁搜寻技能、对威胁形势的透彻理解以及新出现威胁的知识如何帮助你识别环境中的这些威胁、确定其优先级并解决这些威胁。
Defender 搜寻专家服务生成报告,帮助你了解搜寻服务在你的环境中出现的所有威胁,以及Microsoft Defender XDR产品生成的警报。 可以在当前 (查看运行) 个月或一个月、三个月或六个月的报表。
若要在Microsoft Defender门户中查看报表,请转到“报表”,选择“Defender 专家>Defender 搜寻专家报表”。 报告的每个部分旨在提供有关 Defender 专家在你的环境中发现的威胁和可疑活动的更多见解。
请参阅示例报表的以下屏幕截图:
识别常见威胁和其他潜在攻击入口点
Defender 搜寻专家来自Microsoft Defender XDR和调查的信号有助于识别环境中的可疑活动。 重大威胁活动将具有相应的 Defender 专家通知,这些通知还提供修正和防御组织的建议。
该报告提供我们的专家在所选时间段内发送的 Defender 专家通知总数:
若要查看这些通知,请选择“ 查看 Defender 专家通知”。 此按钮会将你重定向到“Microsoft Defender XDR事件”页。 用于搜寻警报或 Defender 专家通知的 Defender 专家使用 Defender 专家进行标记。
注意
仅当识别到的威胁数至少为 1 时,才会显示“ 查看 Defender 专家通知 ”按钮。
所有其他已识别的活动汇总在报表 的“威胁类别 ”部分中的表中。 这些列表示不同的威胁攻击策略和类别,可帮助你可视化活动在每个攻击阶段尝试实现的目标,以便你可以规划相应的遏制和修正操作。
可以通过在下拉菜单中选择以下任何选项来筛选表中显示的活动:
- 可疑活动 (默认) – 显示环境中标识的真正和良性真正活动。 请注意,并非所有可疑活动都具有相应的 Defender 专家通知。
- DEX 通知 - 仅显示具有相应 Defender 专家通知的活动。
- 所有活动 – 显示所有真正、良性真正和误报活动。
如果活动具有相关的 Defender 专家通知,其相应的图标也会显示在活动名称下。 选择已识别的可疑活动会打开一个浮出控件面板,其中详细说明了受影响的设备和用户:
如果适用,该页面还提供用于查看相关 Defender 专家通知的链接。
了解并了解环境中的安全弱点
报告的 “热门趋势可疑活动 ”部分标识了过去三个月环境中一直观察到的最多 20 个可疑活动,这些活动根据其严重性评级和发生频率进行排序:
通过显示最关键和最频繁观察到的活动,可以评估和评估其影响,并制定策略来防止或缓解对环境的潜在威胁
选择“查看每个卡的详细信息”,打开一个浮出控件面板,详细说明受影响的设备和用户。 如果适用,该页面还提供用于查看相关 Defender 专家通知的链接。
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender XDR技术社区。