閱讀英文

共用方式為


檢視及組織適用於端點的 Microsoft Defender 警示佇列

適用於:

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

[警示] 佇列會顯示從您網络中的裝置標幟的警示清單。 根據預設,佇列會在分組檢視中顯示過去 7 天內出現的警示。 最新的警示會顯示在清單頂端,協助您先看到最新的警示。

注意

自動化調查和補救可大幅降低警示,讓安全性作業專家專注於更複雜的威脅和其他高價值計劃。 例如,當警示包含用於自動化調查的支持實體時 (,在具有支援操作系統的裝置中) 檔案時,就可以開始進行自動化調查和補救。 如需自動化調查的詳細資訊,請參閱 自動化調查概觀

有數個選項可供您選擇,以自定義警示檢視。

在頂端導覽中,您可以:

  • 自訂要新增或移除數據行的數據行
  • 套用篩選
  • 顯示特定持續時間的警示,例如1天、3天、1周、30天和6個月
  • 將警示清單匯出至 Excel
  • 管理提醒

警示佇列頁面

排序和篩選警示

您可以套用下列篩選來限制警示清單,並取得更專注的警示檢視。

嚴重性

警示嚴重性 描述

(紅色)
與APT) (進階持續性威脅相關聯的常見警示。 這些警示表示高風險,因為它們可能會在裝置上造成損害的嚴重性。 一些範例包括:認證竊取工具活動、與任何群組無關的勒索軟體活動、竄改安全性感測器,或任何表示人類敵人的惡意活動。

(橙色)
來自端點偵測和回應入侵后行為的警示,這些行為可能是APT) (進階持續性威脅的一部分。 這些行為包括常見的攻擊階段觀察到的行為、異常登錄變更、可疑檔案的執行等等。 雖然有些可能是內部安全性測試的一部分,但它需要調查,因為它也可能是進階攻擊的一部分。

(黃色)
與普遍惡意代碼相關聯的威脅警示。 例如,駭客工具、非惡意代碼駭客工具,例如執行探索命令、清除記錄等等,通常不會指出以組織為目標的進階威脅。 它也可能來自組織中使用者所進行的隔離安全性工具測試。
參考
(灰色)
警示可能不會被視為對網路有害,但可能會提高組織對潛在安全性問題的安全性認知。

瞭解警示嚴重性

Microsoft Defender 防病毒軟體和適用於端點的Defender警示嚴重性不同,因為它們代表不同的範圍。

Microsoft Defender 防病毒軟體威脅嚴重性代表偵測到的威脅 (惡意代碼) 的絕對嚴重性,如果受到感染,則會根據個別裝置的潛在風險來指派。

適用於端點的 Defender 警示嚴重性代表偵測到的行為嚴重性、裝置的實際風險,但更重要的是組織的潛在風險。

因此,例如:

  • 適用於端點的 Defender 警示的嚴重性,與偵測到的 Microsoft Defender 防病毒軟體所偵測到的威脅已防止,且未感染裝置,因此會分類為「資訊」,因為沒有實際的損害。
  • 執行時偵測到商業惡意代碼的警示,但遭到 Microsoft Defender 防病毒軟體封鎖和補救,分類為「低」,因為它可能對個別裝置造成一些損害,但不會造成組織威脅。
  • 執行時偵測到惡意代碼的相關警示,不僅會對個別裝置造成威脅,也會對組織造成威脅,不論最終是否遭到封鎖,都可能排名為「中」或「高」。
  • 未封鎖或補救的可疑行為警示會在相同的組織威脅考慮下排名「低」、「中」或「高」。

狀態

您可以選擇根據警示的狀態來篩選警示清單。

注意

如果您看到 不支援的警示類型警示 狀態,這表示自動化調查功能無法挑選該警示來執行自動化調查。 不過,您可以 手動調查這些警示

Categories

我們已重新定義警示類別,以符合 MITRE ATT&CK 矩陣中的企業攻擊策略。 新的類別名稱會套用至所有新的警示。 現有的警示會保留先前的類別名稱。

服務來源

您可以根據下列服務來源篩選警示:

  • 適用於身分識別的 Microsoft Defender
  • Microsoft 雲端 App 安全性
  • 適用於端點的 Microsoft Defender
  • Microsoft Defender XDR
  • 適用於 Office 365 的 Microsoft Defender
  • 應用程式控管
  • Microsoft Entra ID Protection

Microsoft 端點通知客戶現在可以篩選並查看來自服務的偵測,方法是 Microsoft Defender 適用於端點的 Microsoft Defender 服務來源底下的專家進行篩選。

注意

只有在裝置使用 Microsoft Defender 防病毒軟體作為預設的即時保護反惡意代碼產品時,才會顯示防病毒軟體篩選器。

標記

您可以根據指派給警示的標籤來篩選警示。

原則

您可以根據下列原則篩選警示:

偵測來源 API 值
第三方感測器 ThirdPartySensors
防毒軟體 WindowsDefenderAv
自動化調查 AutomatedInvestigation
自定義偵測 CustomDetection
自訂 TI CustomerTI
EDR WindowsDefenderAtp
Microsoft Defender XDR MTP
適用於 Office 365 的 Microsoft Defender OfficeATP
Microsoft Defender 專家 ThreatExperts
SmartScreen WindowsDefenderSmartScreen

實體

您可以根據實體名稱或識別碼來篩選警示。

自動化調查狀態

您可以選擇根據警示的自動化調查狀態來篩選警示。

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。