訓練
認證
Microsoft Certified: Security Operations Analyst Associate - Certifications
使用 Microsoft Sentinel、適用於雲端的 Microsoft Defender 和 Microsoft 365 Defender 調查、搜尋及降低威脅。
適用於:
想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。
適用於端點的 Defender 會透過警示通知您可能的惡意事件、屬性和內容相關信息。 隨即顯示新警示的摘要,您可以存取警示 佇列中的所有警示。
您可以在 [警示] 佇列中選取警示,或選取個別裝置之 [裝置] 頁面的 [ 警示 ] 索引標籤來管理警示。
選取任一位置的警示會顯示 [ 警示管理] 窗格。
觀看這段影片以瞭解如何使用新的 適用於端點的 Microsoft Defender 警示頁面。
您可以從警示或現有事件的連結建立新的事件。
如果尚未指派警示,您可以選取 [ 指派給我] 將警示指派給您自己。
在某些情況下,您可能需要隱藏警示,避免出現在 Microsoft Defender 全面偵測回應 中。 適用於端點的 Defender 可讓您針對已知為無害的特定警示建立隱藏規則,例如組織中的已知工具或程式。
您可以從現有的警示建立隱藏規則。 如有需要,可以停用和重新啟用它們。
建立隱藏規則時,它會從建立規則時開始生效。 在建立規則之前,此規則不會影響佇列中現有的警示。 規則只會套用在符合建立規則之後設定之條件的警示上。
歸並規則有兩個內容可供您選擇:
規則的內容可讓您量身訂做顯示在入口網站中的內容,並確保只有實際的安全性警示才會顯示到入口網站中。
您可以使用下表中的範例,協助您選擇隱藏規則的內容:
上下文 | 定義 | 範例案例 |
---|---|---|
隱藏此裝置的警示 | 只會隱藏具有相同警示標題和該特定裝置上的警示。 不會隱藏該裝置上的所有其他警示。 |
|
隱藏組織中的警示 | 任何裝置上具有相同警示標題的警示都會被隱藏。 |
|
Create 自定義規則來控制何時隱藏或解決警示。 您可以藉由指定警示標題、入侵指標和條件,來控制隱藏警示時的內容。 指定內容之後,您將能夠設定警示的動作和範圍。
選取您想要隱藏的警示。 這會顯示 [ 警示管理] 窗格。
選 Create 隱藏規則。
您可以使用這些屬性建立歸併條件。 AND 運算子會在每個條件之間套用,因此只有在符合所有條件時才會進行歸併。
選取 [觸發 IOC]。
指定警示的動作和範圍。
您可以自動解決警示,或從入口網站隱藏警示。 自動解決的警示會出現在警示佇列、警示頁面和裝置時間軸的 [已解決] 區段中,並且會顯示為跨適用於端點的 Defender API 解析。
標示為隱藏的警示會從整個系統隱藏,無論是在裝置的相關聯警示上,或是從儀錶板上,都不會跨適用於端點的 Defender API 串流處理。
輸入規則名稱和批注。
按一下儲存。
在瀏覽窗格中,選取> [設定端點>規則>警示隱藏]。
隱藏規則清單會顯示組織中使用者已建立的所有規則。
如需管理隱藏規則的詳細資訊,請 參閱管理隱藏規則
您可以在調查進行時變更警示的狀態,將警示分類 (為 [新增]、[ 進行中] 或 [已 解決) ]。 這可協助您組織及管理小組回應警示的方式。
例如,小組負責人可以檢閱所有 新 警示,並決定將警示指派給 進行中 佇列以進行進一步分析。
或者,如果小組負責人知道警示是良性的、來自不相關 (的裝置,例如屬於安全性系統管理員) ,或透過先前的警示處理的裝置,則可能會將警示指派給已 解決 的佇列。
您可以選擇不設定分類,或指定警示為 true 警示或 False 警示。 請務必提供確判/誤判的分類。 此分類可用來監視警示品質,並讓警示更精確。 [判斷] 欄位會定義「確判為真」分類的額外精確度。
此影片包含分類警示的步驟:
您可以新增批注並檢視警示的相關歷史事件,以查看先前對警示所做的變更。
每當對警示進行變更或批注時,就會記錄在 [ 批注和歷程記錄 ] 區段中。
新增的註解會立即顯示在窗格中。
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。
訓練
認證
Microsoft Certified: Security Operations Analyst Associate - Certifications
使用 Microsoft Sentinel、適用於雲端的 Microsoft Defender 和 Microsoft 365 Defender 調查、搜尋及降低威脅。