分享方式:


調查適用於端點的 Microsoft Defender 中的事件

適用於:

調查會影響您網路的事件、瞭解其意義,並定序辨識項來解決這些事件。

當您調查事件時,您會看到:

  • 事件詳細資料
  • 事件批注和動作
  • (警示、裝置、調查、辨識項、圖表) 的索引標籤

分析事件詳細數據

提示

在 2024 年 1 月的有限時間內,當您流覽 [事件 ] 頁面時,會出現 Defender Boxed。 Defender Boxed 強調貴組織在 2023 年的安全性成功、改進和響應動作。 若要重新開啟 Defender Boxed,請在 Microsoft Defender 入口網站中移至 [事件],然後選取 [您的 Defender Boxed]

按兩下事件以查看 [ 事件] 窗格。 選取 [開啟事件] 頁面 ,以查看警示、裝置、調查、辨識項、圖表) (事件詳細數據和相關信息。

事件的詳細數據

警示

您可以調查警示,並查看警示在事件中如何連結在一起。 警示會根據下列原因分組為事件:

  • 自動化調查 - 自動化調查在調查原始警示時觸發連結的警示
  • 檔案特性 - 與警示相關聯的檔案具有類似的特性
  • 手動關聯 - 使用者手動連結警示
  • 近似時間 - 警示是在特定時間範圍內於相同裝置上觸發
  • 相同的檔案 - 與警示相關聯的檔案完全相同
  • 相同的 URL - 觸發警示的 URL 完全相同

[警示] 索引標籤與事件詳細數據頁面,其中顯示警示在該事件中連結在一起的原因

您也可以管理警示,並查看警示元數據以及其他資訊。 如需詳細資訊,請 參閱調查警示

裝置

您也可以調查屬於指定事件或與指定事件相關聯的裝置。 如需詳細資訊,請 參閱調查裝置

事件詳細數據頁面中的 [裝置] 索引標籤

調查

取 [調查 ] 以查看系統針對事件警示所啟動的所有自動調查。

事件詳細數據頁面中的 [調查] 索引標籤

通過辨識項

適用於端點的 Microsoft Defender 會自動調查警示中所有事件的支援事件和可疑實體,為您提供重要檔案、程序、服務等的自動響應和資訊。

每個分析的實體都會標示為受感染、補救或可疑。

事件詳細數據頁面中的 [辨識項] 索引標籤

將相關聯的網路安全性威脅可視化

適用於端點的 Microsoft Defender 將威脅資訊匯總成事件,以便查看來自各種數據點的模式和相互關聯。 您可以透過事件圖表來檢視這類相互關聯。

事件圖表

Graph 說明網路安全性攻擊的故事。 例如,它會顯示進入點是什麼,在哪個裝置上觀察到入侵或活動的指標。 等。

事件圖表

您可以單擊事件圖表上的圓圈,以檢視惡意檔案的詳細數據、相關聯的檔案偵測、全球有多少個實例、是否在您的組織中觀察到,如果有的話,有多少個實例。

事件詳細數據頁面

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。