管理Microsoft Defender for Endpoint警报

  • 项目

适用于:

希望体验 Defender for Endpoint? 注册免费试用版

Defender for Endpoint 通过警报通知可能的恶意事件、属性和上下文信息。 将显示新警报的摘要,可以访问 警报队列中的所有警报

可以通过在“警报 ”队列中选择警报,或选择单个设备的“设备”页的“ 警报 ”选项卡来管理警报。

选择其中任一位置的警报会打开 “警报管理”窗格

“警报管理”窗格和“警报”队列

观看此视频,了解如何使用新的Microsoft Defender for Endpoint警报页。

可以从警报创建新事件,也可以链接到现有事件。

分配警报

如果尚未分配警报,可以选择“ 分配给我 ”,将警报分配给自己。

禁止显示警报

在某些情况下,可能需要禁止在Microsoft Defender XDR中显示警报。 Defender for Endpoint 允许为已知无害的特定警报(例如组织中的已知工具或进程)创建抑制规则。

可以从现有警报创建抑制规则。 如果需要,可以禁用和重新启用它们。

创建抑制规则时,它将从创建规则时起生效。 在创建规则之前,规则不会影响队列中已有的现有警报。 规则将仅应用于满足创建规则后设置的条件的警报。

抑制规则有两个上下文可供选择:

  • 禁止在此设备上发出警报
  • 禁止显示组织中的警报

通过规则的上下文,可以定制门户中显示的内容,并确保门户中仅显示真正的安全警报。

可以使用下表中的示例来帮助选择抑制规则的上下文:

上下文 定义 示例场景
禁止在此设备上发出警报 仅特定设备上具有相同警报标题的警报将被禁止显示。

不会禁止显示该设备上的所有其他警报。
  • 安全研究人员正在调查已用于攻击组织中的其他设备的恶意脚本。
  • 开发人员定期为其团队创建 PowerShell 脚本。
禁止显示组织中的警报 将禁止在任何设备上具有相同警报标题的警报。
  • 组织中的每个人都会使用良性管理工具。

禁止显示警报并创建新的抑制规则

Create自定义规则来控制何时取消或解决警报。 可以通过指定警报标题、泄露指示器和条件来控制取消警报的上下文。 指定上下文后,你将能够针对警报配置操作和范围。

  1. 选择要取消的警报。 此时会显示 “警报管理 ”窗格。

  2. 选择Create抑制规则

    可以使用这些属性创建抑制条件。 AND 运算符在每个条件之间应用,因此仅当满足所有条件时,才会发生抑制。

    • 文件 SHA1
    • 文件名 - 支持通配符
    • 文件夹路径 - 支持通配符
    • IP 地址
    • URL - 支持通配符
    • 命令行 - 支持通配符

  3. 选择 “触发 IOC”。

  4. 指定警报的操作和范围。

    可以自动解决警报或将其隐藏在门户中。 自动解决的警报将显示在警报队列、警报页和设备时间线的已解决部分中,并显示为跨 Defender for Endpoint API 解析的警报。

    标记为隐藏的警报将在整个系统中被禁止显示,无论是在设备的关联警报上还是从仪表板,并且不会跨 Defender for Endpoint API 流式传输。

  5. 输入规则名称和批注。

  6. 单击保存

查看抑制规则列表

  1. 在导航窗格中,选择 “设置>终结点>规则>警报抑制”。

  2. 抑制规则列表显示组织中用户已创建的所有规则。

有关管理抑制规则的详细信息,请参阅 管理抑制规则

更改警报的状态

可以通过在调查过程中更改警报的状态,将警报 (分类为 “新建”、“ 正在进行”或“ 已解决) ”。 这有助于组织和管理团队响应警报的方式。

例如,团队领导可以查看所有 警报,并决定将其分配到 “正在进行” 队列进行进一步分析。

或者,如果团队领导知道警报是良性的、来自不相关的设备 ((例如属于安全管理员) 的设备),或者正在通过早期警报进行处理,则团队领导可能会将警报分配给“ 已解决 ”队列。

警报分类

可以选择不设置分类,或指定警报是真正的警报还是假警报。 请务必提供真正/假正的分类。 此分类用于监视警报质量,并使警报更加准确。 “确定”字段定义“真正”分类的其他保真度。

此视频包含对警报进行分类的步骤:

添加注释并查看警报的历史记录

可以添加注释并查看有关警报的历史事件,以查看以前对警报所做的更改。

每当对警报进行更改或注释时,它都记录在 “注释和历史记录 ”部分中。

添加的备注会立即显示在窗格中。

提示

想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区