警示佇列會顯示已從您網路中的身分識別標幟的警示清單。 根據預設,佇列會在分組檢視中顯示過去七天內看到的警示。 最新的警示會顯示在清單頂端,協助您先看到最新的警示。
檢視警示佇列
在 Microsoft Defender 入口網站中,移至 [事件 & 警示],然後移至 [警示]。
過去七天的警示會顯示下列資訊:
- 警示名稱
- 標記
- 嚴重性
- 調查狀態
- 狀態
- 類別
- 偵測來源
- 受影響的資產
- 第一個活動
- 上次活動
![顯示 Defender 入口網站中 [警示] 頁面的螢幕快照。兩個名為可疑暴力密碼破解的警示會列出完整的警示詳細數據。](media/understanding-security-alerts/filtered-alerts.png#lightbox)
自訂警示佇列的檢視
您可以透過幾種方式自定義警示佇列的檢視。 使用頁面頂端的工具,您可以:
- 自訂要新增或移除數據行的檢視。
- 套用篩選。
- 自訂持續時間。 顯示特定持續時間的警示,例如1天、3天、1周、30天和6個月。
- 匯出詳細的Excel報表以進行分析。
篩選警示檢視
您可以套用下列篩選條件,以取得更專注的警示檢視。
| 提醒 | 描述 |
|---|---|
| 嚴重性 | 警示嚴重性是以數個因素為基礎,包括攻擊者可能擁有多少存取權、攻擊成功時的潛在影響,以及警示為真肯定的可能性。 如需警示類型及其指派嚴重性層級的完整清單,請參閱 安全性警示名稱對應和唯一的外部標識符 |
| 狀態 | 您可以選擇根據警示的狀態來篩選警示清單。 例如,您可以篩選,只顯示 [ 新增]、[ 進行中] 或 [ 已解決] 的警示。 |
| 偵測來源 | 您可以根據下列偵測來源來篩選警示:適用於身分識別的 Microsoft Defender 或 Microsoft Defender 全面偵測回應 |
| 標記 | 您可以根據指派給警示的標籤來篩選警示。 |
檢視警示
您可以從下列任一位置選取警示名稱,從多個位置存取個別警示:
- [ 警示] 頁面
- 事件頁面
- [身 分識別] 頁面
- 個別裝置的頁面
- 進 階搜捕 頁面
警示頁面
[警示] 頁面會結合與所選警示相關的攻擊訊號和警示,以建構詳細的警示案例,以提供警示的內容。 [警示] 頁面可協助您快速分級、調查警示,並採取有效的警示動作。
注意事項
適用於身分識別的 Microsoft Defender 警示目前會出現在 Microsoft Defender 全面偵測回應 入口網站中的兩個不同的版面配置中。 雖然警示檢視會顯示不同的資訊,但所有警示都是以適用於身分識別的 Defender 感測器偵測為基礎。 顯示的版面配置和信息差異,是跨 Microsoft Defender 產品持續轉換為統一警示體驗的一部分。
若要檢視適用於身分識別的 Defender 和 Defender 全面偵測回應 的警示,請選取 [篩選],然後在 [服務來源] 下選擇 [適用於身分識別的 Microsoft Defender 和 Defender 全面偵測回應],然後選取 [套用]:
適用於身分識別的 Microsoft Defender 警示
在頁面頂端,有警示的 [ 帳戶]、[ 目的地主機] 和 [ 來源主機 ] 區段。 視警示而定,您可能會看到有關其他主機、帳戶、IP 位址、網域和安全組的詳細數據。 選取其中任何一個,以取得有關相關實體的詳細數據。
- [ 警示劇本 ] 區段會提供資訊,以提供完整的警示詳細數據。 警示案例分成兩個區段:
- 發生的情況 包括警示的時間軸和警示所涉及的實體。
- 警示圖表 提供警示的可視化表示法,包括警示所涉及的實體及其關聯性。 此圖表可協助您瞭解實體的連線方式,以及它們與警示的關聯性。
- 重要資訊 提供支援警示調查的技術內容。 您可以使用此資訊來驗證活動是否為預期或可疑,並決定要採取哪些動作來包含或呈報事件。
- 活動詳細數據 提供詳細資訊,包括時間戳、基底物件、搜尋範圍,以及警示的其他詳細數據。
- 頁面右側的 詳細數據窗格 會提供警示的其他相關信息,包括警示 詳細數據、 批註 & 歷程記錄。 詳細資料窗格也提供其他選項,例如:
- 管理警示
- 匯出警示
- 將警示移至另一個事件
- 分類警示
Microsoft Defender 全面偵測回應 警示
在頁面頂端,有警示的 [ 帳戶]、[ 目的地主機] 和 [ 來源主機 ] 區段。 視警示而定,您可能會看到有關其他主機、帳戶、IP 位址、網域和安全組詳細數據的按鈕。 選取其中任何一個,以取得有關相關實體的詳細數據。
- [ 警示劇本 ] 區段會提供資訊,以提供完整的警示詳細數據。 警示案例分成兩個區段:
- 發生的情況 包括警示的時間軸和警示所涉及的實體。
- 頁面右側的 詳細數據窗格 會提供警示的其他相關信息,包括警示 詳細數據、 批註 & 歷程記錄。 詳細資料窗格也提供其他選項,例如:
- 管理警示
- 將警示移至另一個事件
- 分類警示
管理安全性警示
選取警示會開啟 [警示管理] 窗格,您可以在其中執行下列動作:
變更警示的狀態
您可以在調查進行時變更警示的狀態,將警示分類為 [新增]、[進行中] 或 [已解決]。 這可協助您組織及管理小組回應警示的方式。 例如,小組負責人可以檢閱所有新警示,並決定將警示指派給進行中佇列以進行進一步分析。 如果小組負責人知道警示是良性的,或來自不相關 (的裝置,例如屬於安全性系統管理員) ,或透過先前的警示處理的裝置,可能會將警示指派給已解決的佇列。
將警示移至另一個事件
您可以從警示或現有事件的連結建立新的事件。
指派警示
如果尚未指派警示,您可以選取 [指派給我] 將警示指派給您自己。
將批註新增至警示
您可以將批註新增至警示,以提供其他內容或資訊。 這適用於與您的小組共享見解或記錄您的調查程式。 每當對警示進行變更或批注時,就會記錄在 [批注和歷程記錄] 區段中。
![顯示 Microsoft Defender 入口網站中 [批注 & 歷程記錄] 區段的螢幕快照。提供用來輸入批註的文字框。](media/understanding-security-alerts/comments-history.png#lightbox)
分類安全性警示
針對每個警示,詢問下列問題以判斷警示分類,並協助決定下一步要執行的動作:
- 安全性警示是 TP、B-TP 或 FP?
- 此特定安全性警示在您的環境中有多常見?
- 警示是否由相同類型的電腦或使用者觸發? 例如,具有相同角色的伺服器或來自相同群組/部門的使用者? 如果計算機或使用者很類似,您可能會決定將其排除,以避免未來出現額外的 FP 警示。
經過適當的調查之後,所有適用於身分識別的 Defender 安全性警示都可以分類為下列其中一種活動類型:
確判 (TP) :適用於身分識別的 Defender 偵測到惡意動作。
良性確 (B-TP) :適用於身分識別的 Defender 偵測到真實但非惡意的動作,例如滲透測試或已核准應用程式產生的已知活動。
誤判 (FP) :誤判,表示活動未發生。
注意事項
相同類型的警示增加通常會減少警示的可疑/重要性層級。 對於重複的警示,請確認設定,並使用安全性警示詳細數據和定義來確切瞭解觸發重複的情況。
微調警示
調整警示以調整和優化警示,減少誤判。 警示調整可讓您的SOC小組專注於高優先順序警示,並改善整個系統的威脅偵測涵蓋範圍。 在 Microsoft Defender 全面偵測回應 中,根據辨識項類型建立規則條件,然後在符合條件的任何規則類型上套用您的規則。
如需詳細資訊,請 參閱微調警示。