檢視及組織適用於端點的 Microsoft Defender 警示佇列
適用於:
想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。
[警示] 佇列會顯示從您網络中的裝置標幟的警示清單。 根據預設,佇列會在分組檢視中顯示過去 7 天內出現的警示。 最新的警示會顯示在清單頂端,協助您先看到最新的警示。
注意
自動化調查和補救可大幅降低警示,讓安全性作業專家專注於更複雜的威脅和其他高價值計劃。 例如,當警示包含用於自動化調查的支持實體時 (,在具有支援操作系統的裝置中) 檔案時,就可以開始進行自動化調查和補救。 如需自動化調查的詳細資訊,請參閱 自動化調查概觀。
有數個選項可供您選擇,以自定義警示檢視。
在頂端導覽中,您可以:
- 自訂要新增或移除數據行的數據行
- 套用篩選
- 顯示特定持續時間的警示,例如1天、3天、1周、30天和6個月
- 將警示清單匯出至 Excel
- 管理提醒
您可以套用下列篩選來限制警示清單,並取得更專注的警示檢視。
警示嚴重性 | 描述 |
---|---|
高 (紅色) |
與APT) (進階持續性威脅相關聯的常見警示。 這些警示表示高風險,因為它們可能會在裝置上造成損害的嚴重性。 一些範例包括:認證竊取工具活動、與任何群組無關的勒索軟體活動、竄改安全性感測器,或任何表示人類敵人的惡意活動。 |
中 (橙色) |
來自端點偵測和回應入侵后行為的警示,這些行為可能是APT) (進階持續性威脅的一部分。 這些行為包括常見的攻擊階段觀察到的行為、異常登錄變更、可疑檔案的執行等等。 雖然有些可能是內部安全性測試的一部分,但它需要調查,因為它也可能是進階攻擊的一部分。 |
低 (黃色) |
與普遍惡意代碼相關聯的威脅警示。 例如,駭客工具、非惡意代碼駭客工具,例如執行探索命令、清除記錄等等,通常不會指出以組織為目標的進階威脅。 它也可能來自組織中使用者所進行的隔離安全性工具測試。 |
參考 (灰色) |
警示可能不會被視為對網路有害,但可能會提高組織對潛在安全性問題的安全性認知。 |
Microsoft Defender 防病毒軟體和適用於端點的Defender警示嚴重性不同,因為它們代表不同的範圍。
Microsoft Defender 防病毒軟體威脅嚴重性代表偵測到的威脅 (惡意代碼) 的絕對嚴重性,如果受到感染,則會根據個別裝置的潛在風險來指派。
適用於端點的 Defender 警示嚴重性代表偵測到的行為嚴重性、裝置的實際風險,但更重要的是組織的潛在風險。
因此,例如:
- 適用於端點的 Defender 警示的嚴重性,與偵測到的 Microsoft Defender 防病毒軟體所偵測到的威脅已防止,且未感染裝置,因此會分類為「資訊」,因為沒有實際的損害。
- 執行時偵測到商業惡意代碼的警示,但遭到 Microsoft Defender 防病毒軟體封鎖和補救,分類為「低」,因為它可能對個別裝置造成一些損害,但不會造成組織威脅。
- 執行時偵測到惡意代碼的相關警示,不僅會對個別裝置造成威脅,也會對組織造成威脅,不論最終是否遭到封鎖,都可能排名為「中」或「高」。
- 未封鎖或補救的可疑行為警示會在相同的組織威脅考慮下排名「低」、「中」或「高」。
您可以選擇根據警示的狀態來篩選警示清單。
注意
如果您看到 不支援的警示類型警示 狀態,這表示自動化調查功能無法挑選該警示來執行自動化調查。 不過,您可以 手動調查這些警示。
我們已重新定義警示類別,以符合 MITRE ATT&CK 矩陣中的企業攻擊策略。 新的類別名稱會套用至所有新的警示。 現有的警示會保留先前的類別名稱。
您可以根據下列服務來源篩選警示:
- 適用於身分識別的 Microsoft Defender
- Microsoft 雲端 App 安全性
- 適用於端點的 Microsoft Defender
- Microsoft Defender XDR
- 適用於 Office 365 的 Microsoft Defender
- 應用程式控管
- Microsoft Entra ID Protection
Microsoft 端點通知客戶現在可以篩選並查看來自服務的偵測,方法是 Microsoft Defender 適用於端點的 Microsoft Defender 服務來源底下的專家進行篩選。
注意
只有在裝置使用 Microsoft Defender 防病毒軟體作為預設的即時保護反惡意代碼產品時,才會顯示防病毒軟體篩選器。
您可以根據指派給警示的標籤來篩選警示。
您可以根據下列原則篩選警示:
偵測來源 | API 值 |
---|---|
第三方感測器 | ThirdPartySensors |
防毒軟體 | WindowsDefenderAv |
自動化調查 | AutomatedInvestigation |
自定義偵測 | CustomDetection |
自訂 TI | CustomerTI |
EDR | WindowsDefenderAtp |
Microsoft Defender XDR | MTP |
適用於 Office 365 的 Microsoft Defender | OfficeATP |
Microsoft Defender 專家 | ThreatExperts |
SmartScreen | WindowsDefenderSmartScreen |
您可以根據實體名稱或識別碼來篩選警示。
您可以選擇根據警示的自動化調查狀態來篩選警示。
- 管理 適用於端點的 Microsoft Defender 警示
- 調查 適用於端點的 Microsoft Defender 警示
- 調查與 適用於端點的 Microsoft Defender 警示相關聯的檔案
- 調查 [適用於端點的 Microsoft Defender 裝置] 清單中的裝置
- 調查與 適用於端點的 Microsoft Defender警示相關聯的IP位址
- 調查與 適用於端點的 Microsoft Defender 警示相關聯的網域
- 調查 適用於端點的 Microsoft Defender中的用戶帳戶
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。