管理 適用於端點的 Microsoft Defender 警示

適用於：

• 適用於端點的 Microsoft Defender 方案 1
• 適用於端點的 Microsoft Defender 方案 2
• Microsoft Defender XDR

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

適用於端點的 Defender 會透過警示通知您可能的惡意事件、屬性和內容相關信息。 隨即顯示新警示的摘要，您可以存取警示 佇列中的所有警示。

您可以在 [警示] 佇列中選取警示，或選取個別裝置之 [裝置] 頁面的 [ 警示 ] 索引標籤來管理警示。

選取任一位置的警示會顯示 [ 警示管理] 窗格。

觀看這段影片以瞭解如何使用新的 適用於端點的 Microsoft Defender 警示頁面。

連結至另一個事件

您可以從警示或現有事件的連結建立新的事件。

指派警示

如果尚未指派警示，您可以選取 [ 指派給我] 將警示指派給您自己。

隱藏警示

在某些情況下，您可能需要隱藏警示，避免出現在 Microsoft Defender 全面偵測回應 中。 適用於端點的 Defender 可讓您針對已知為無害的特定警示建立隱藏規則，例如組織中的已知工具或程式。

您可以從現有的警示建立隱藏規則。 如有需要，可以停用和重新啟用它們。

建立隱藏規則時，它會從建立規則時開始生效。 在建立規則之前，此規則不會影響佇列中現有的警示。 規則只會套用在符合建立規則之後設定之條件的警示上。

歸並規則有兩個內容可供您選擇：

• 隱藏此裝置的警示
• 隱藏組織中的警示

規則的內容可讓您量身訂做顯示在入口網站中的內容，並確保只有實際的安全性警示才會顯示到入口網站中。

您可以使用下表中的範例，協助您選擇隱藏規則的內容：

上下文	定義	範例案例
隱藏此裝置的警示	只會隱藏具有相同警示標題和該特定裝置上的警示。 不會隱藏該裝置上的所有其他警示。	安全性研究人員正在調查已用來攻擊組織中其他裝置的惡意腳本。 開發人員會定期為其小組建立PowerShell腳本。
隱藏組織中的警示	任何裝置上具有相同警示標題的警示都會被隱藏。	組織中的每個人都會使用良性的系統管理工具。

隱藏警示並建立新的歸併規則

Create 自定義規則來控制何時隱藏或解決警示。 您可以藉由指定警示標題、入侵指標和條件，來控制隱藏警示時的內容。 指定內容之後，您將能夠設定警示的動作和範圍。

1. 選取您想要隱藏的警示。 這會顯示 [ 警示管理] 窗格。

2. 選 Create 隱藏規則。

   您可以使用這些屬性建立歸併條件。 AND 運算子會在每個條件之間套用，因此只有在符合所有條件時才會進行歸併。

   • 檔案 SHA1
   • 檔名 - 支援通配符
   • 資料夾路徑 - 支援通配符
   • IP 位址
   • URL - 支持的通配符
   • 命令行 - 支援通配符

3. 選取 [觸發 IOC]。

4. 指定警示的動作和範圍。

   您可以自動解決警示，或從入口網站隱藏警示。 自動解決的警示會出現在警示佇列、警示頁面和裝置時間軸的 [已解決] 區段中，並且會顯示為跨適用於端點的 Defender API 解析。

   標示為隱藏的警示會從整個系統隱藏，無論是在裝置的相關聯警示上，或是從儀錶板上，都不會跨適用於端點的 Defender API 串流處理。

5. 輸入規則名稱和批注。

6. 按一下儲存。

檢視隱藏規則清單

1. 在瀏覽窗格中，選取> [設定端點>規則>警示隱藏]。

2. 隱藏規則清單會顯示組織中使用者已建立的所有規則。

如需管理隱藏規則的詳細資訊，請 參閱管理隱藏規則

變更警示的狀態

您可以在調查進行時變更警示的狀態，將警示分類 (為 [新增]、[ 進行中] 或 [已 解決) ]。 這可協助您組織及管理小組回應警示的方式。

例如，小組負責人可以檢閱所有 新 警示，並決定將警示指派給 進行中 佇列以進行進一步分析。

或者，如果小組負責人知道警示是良性的、來自不相關 (的裝置，例如屬於安全性系統管理員) ，或透過先前的警示處理的裝置，則可能會將警示指派給已 解決 的佇列。

警示分類

您可以選擇不設定分類，或指定警示為 true 警示或 False 警示。 請務必提供確判/誤判的分類。 此分類可用來監視警示品質，並讓警示更精確。 [判斷] 欄位會定義「確判為真」分類的額外精確度。

此影片包含分類警示的步驟：

新增批注並檢視警示的歷程記錄

您可以新增批注並檢視警示的相關歷史事件，以查看先前對警示所做的變更。

每當對警示進行變更或批注時，就會記錄在 [ 批注和歷程記錄 ] 區段中。

新增的註解會立即顯示在窗格中。

相關文章

• 適用於端點的 Microsoft Defender 和 Microsoft Defender 防病毒軟體的排除專案
• 管理歸併規則
• 檢視及組織適用於端點的 Microsoft Defender 警示佇列
• 調查 適用於端點的 Microsoft Defender 警示
• 調查與 適用於端點的 Microsoft Defender 警示相關聯的檔案
• 調查 [適用於端點的 Microsoft Defender 裝置] 清單中的裝置
• 調查與 適用於端點的 Microsoft Defender警示相關聯的IP位址
• 調查與 適用於端點的 Microsoft Defender 警示相關聯的網域
• 調查 適用於端點的 Microsoft Defender中的用戶帳戶

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群：適用於端點的 Microsoft Defender 技術社群。