查看并组织 Microsoft Defender for Endpoint 警报队列
适用于:
希望体验 Defender for Endpoint? 注册免费试用版。
“警报”队列显示从网络中设备标记的警报列表。 默认情况下,队列在分组视图中显示过去 7 天内看到的警报。 最新的警报显示在列表顶部,可帮助你首先看到最新的警报。
注意
自动调查和修正可显著减少警报,使安全运营专家能够专注于更复杂的威胁和其他高价值计划。 例如,当警报包含支持自动调查的实体 (文件时,文件) 在具有受支持的操作系统的设备中时,可以启动自动调查和修正。 有关自动调查的详细信息,请参阅 自动调查概述。
可以选择多个选项来自定义警报视图。
在顶部导航上,可以:
- 自定义列以添加或删除列
- 应用筛选器
- 显示特定持续时间的警报,例如 1 天、3 天、1 周、30 天和 6 个月
- 将警报列表导出到 Excel
- 管理通知
对警报进行排序和筛选
可以应用以下筛选器来限制警报列表,并获取更集中的警报视图。
Severity
| 警报严重性 | 说明 |
|---|---|
| 高 (红色) |
通常看到的警报与高级持久性威胁 (APT) 相关联。 这些警报表明存在高风险,因为它们可能会对设备造成损害的严重性。 一些示例包括:凭据盗窃工具活动、与任何组无关的勒索软件活动、篡改安全传感器或任何指示人类攻击者的恶意活动。 |
| 中 (橙色) |
来自终结点检测和响应违规后行为的警报,这些行为可能是高级持久性威胁 (APT) 的一部分。 这些行为包括观察到的典型攻击阶段行为、异常注册表更改、可疑文件执行等。 尽管有些可能是内部安全测试的一部分,但它需要调查,因为它也可能是高级攻击的一部分。 |
| 低 (黄色) |
有关与流行恶意软件关联的威胁的警报。 例如,黑客工具、非恶意软件黑客工具(如运行浏览命令、清除日志等),通常并不表示针对组织的高级威胁。 它还可能来自组织中用户的隔离安全工具测试。 |
| 信息 (灰色) |
可能不认为对网络有害但可提高组织对潜在安全问题的安全意识的警报。 |
了解警报严重性
Microsoft Defender防病毒和 Defender for Endpoint 警报严重性不同,因为它们表示不同的范围。
Microsoft Defender防病毒威胁严重性表示检测到的威胁 (恶意软件) 的绝对严重性,如果受到感染,则根据单个设备的潜在风险进行分配。
Defender for Endpoint 警报严重性表示检测到的行为的严重性、设备的实际风险,但更重要的是组织的潜在风险。
例如:
- Defender for Endpoint 警报有关Microsoft Defender防病毒检测到已阻止且未感染设备的威胁的严重性归类为“信息”,因为没有实际损坏。
- 在执行时检测到有关商业恶意软件的警报,但被Microsoft Defender防病毒阻止和修正,归类为“低”,因为它可能对单个设备造成一些损坏,但不会构成组织威胁。
- 有关在执行时检测到的恶意软件警报,该警报不仅可能对单个设备构成威胁,而且对组织构成威胁,无论它最终是否被阻止,都可以被列为“中”或“高”。
- 未阻止或修正的可疑行为警报将按照相同的组织威胁注意事项将排名为“低”、“中”或“高”。
状态
可以选择根据警报状态筛选警报列表。
注意
如果看到 “不支持”警报类型 警报状态,则表示自动调查功能无法选取该警报来运行自动调查。 但是,可以 手动调查这些警报。
类别
我们定义了警报类别,以符合 MITRE ATT&CK 矩阵中的企业攻击策略。 新类别名称适用于所有新警报。 现有警报将保留以前的类别名称。
服务源
可以根据以下服务源筛选警报:
- Microsoft Defender for Identity
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Endpoint
- Microsoft Defender XDR
- Microsoft Defender for Office 365
- 应用治理
- Microsoft Entra ID 保护
Microsoft Endpoint Notification 客户现在可以通过筛选嵌套在Microsoft Defender for Endpoint服务源下的Microsoft Defender专家来筛选和查看服务中的检测。
注意
仅当设备使用Microsoft Defender防病毒作为默认实时保护反恶意软件产品时,才会显示防病毒筛选器。
标记
可以根据分配给警报的标记筛选警报。
Policy
可以根据以下策略筛选警报:
| 检测源 | API 值 |
|---|---|
| 第三方传感器 | ThirdPartySensors |
| 防病毒 | WindowsDefenderAv |
| 自动调查 | AutomatedInvestigation |
| 自定义检测 | CustomDetection |
| 自定义 TI | CustomerTI |
| EDR | WindowsDefenderAtp |
| Microsoft Defender XDR | MTP |
| Microsoft Defender for Office 365 | OfficeATP |
| Microsoft Defender专家 | ThreatExperts |
| SmartScreen | WindowsDefenderSmartScreen |
实体
可以根据实体名称或 ID 筛选警报。
自动调查状态
可以选择根据警报的自动调查状态筛选警报。
相关主题
- 管理Microsoft Defender for Endpoint警报
- 调查Microsoft Defender for Endpoint警报
- 调查与Microsoft Defender for Endpoint警报关联的文件
- 调查“Microsoft Defender for Endpoint设备”列表中的设备
- 调查与Microsoft Defender for Endpoint警报关联的 IP 地址
- 调查与Microsoft Defender for Endpoint警报关联的域
- 在 Microsoft Defender for Endpoint 中调查用户帐户
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈