調查適用於端點的 Microsoft Defender 中的事件
適用於:
調查會影響您網路的事件、瞭解其意義,並定序辨識項來解決這些事件。
當您調查事件時,您會看到:
- 事件詳細資料
- 事件批注和動作
- (警示、裝置、調查、辨識項、圖表) 的索引標籤
分析事件詳細數據
提示
在 2024 年 1 月的有限時間內,當您流覽 [事件 ] 頁面時,會出現 Defender Boxed。 Defender Boxed 強調貴組織在 2023 年的安全性成功、改進和響應動作。 若要重新開啟 Defender Boxed,請在 Microsoft Defender 入口網站中移至 [事件],然後選取 [您的 Defender Boxed]。
按兩下事件以查看 [ 事件] 窗格。 選取 [開啟事件] 頁面 ,以查看警示、裝置、調查、辨識項、圖表) (事件詳細數據和相關信息。
警示
您可以調查警示,並查看警示在事件中如何連結在一起。 警示會根據下列原因分組為事件:
- 自動化調查 - 自動化調查在調查原始警示時觸發連結的警示
- 檔案特性 - 與警示相關聯的檔案具有類似的特性
- 手動關聯 - 使用者手動連結警示
- 近似時間 - 警示是在特定時間範圍內於相同裝置上觸發
- 相同的檔案 - 與警示相關聯的檔案完全相同
- 相同的 URL - 觸發警示的 URL 完全相同
![[警示] 索引標籤與事件詳細數據頁面,其中顯示警示在該事件中連結在一起的原因](media/atp-incidents-alerts-reason.png#lightbox)
您也可以管理警示,並查看警示元數據以及其他資訊。 如需詳細資訊,請 參閱調查警示。
裝置
您也可以調查屬於指定事件或與指定事件相關聯的裝置。 如需詳細資訊,請 參閱調查裝置。
![事件詳細數據頁面中的 [裝置] 索引標籤](media/atp-incident-device-tab.png#lightbox)
調查
選 取 [調查 ] 以查看系統針對事件警示所啟動的所有自動調查。
![事件詳細數據頁面中的 [調查] 索引標籤](media/atp-incident-investigations-tab.png#lightbox)
通過辨識項
適用於端點的 Microsoft Defender 會自動調查警示中所有事件的支援事件和可疑實體,為您提供重要檔案、程序、服務等的自動響應和資訊。
每個分析的實體都會標示為受感染、補救或可疑。
![事件詳細數據頁面中的 [辨識項] 索引標籤](media/atp-incident-evidence-tab.png#lightbox)
將相關聯的網路安全性威脅可視化
適用於端點的 Microsoft Defender 將威脅資訊匯總成事件,以便查看來自各種數據點的模式和相互關聯。 您可以透過事件圖表來檢視這類相互關聯。
事件圖表
Graph 說明網路安全性攻擊的故事。 例如,它會顯示進入點是什麼,在哪個裝置上觀察到入侵或活動的指標。 等。
您可以單擊事件圖表上的圓圈,以檢視惡意檔案的詳細數據、相關聯的檔案偵測、全球有多少個實例、是否在您的組織中觀察到,如果有的話,有多少個實例。
相關主題
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。