管理 適用於端點的 Microsoft Defender 警示

適用於:

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

適用於端點的 Defender 會透過警示通知您可能的惡意事件、屬性和內容相關信息。 隨即顯示新警示的摘要,您可以存取警示 佇列中的所有警示。

您可以在 [警示] 佇列中選取警示,或選取個別裝置之 [裝置] 頁面的 [ 警示 ] 索引標籤來管理警示。

選取任一位置的警示會顯示 [ 警示管理] 窗格

[警示管理] 窗格和 [警示] 佇列

觀看這段影片以瞭解如何使用新的 適用於端點的 Microsoft Defender 警示頁面。

您可以從警示或現有事件的連結建立新的事件。

指派警示

如果尚未指派警示,您可以選取 [ 指派給我] 將警示指派給您自己。

隱藏警示

在某些情況下,您可能需要隱藏警示,避免出現在 Microsoft Defender 全面偵測回應 中。 適用於端點的 Defender 可讓您針對已知為無害的特定警示建立隱藏規則,例如組織中的已知工具或程式。

您可以從現有的警示建立隱藏規則。 如有需要,可以停用和重新啟用它們。

建立隱藏規則時,它會從建立規則時開始生效。 在建立規則之前,此規則不會影響佇列中現有的警示。 規則只會套用在符合建立規則之後設定之條件的警示上。

歸並規則有兩個內容可供您選擇:

  • 隱藏此裝置的警示
  • 隱藏組織中的警示

規則的內容可讓您量身訂做顯示在入口網站中的內容,並確保只有實際的安全性警示才會顯示到入口網站中。

您可以使用下表中的範例,協助您選擇隱藏規則的內容:

上下文 定義 範例案例
隱藏此裝置的警示 只會隱藏具有相同警示標題和該特定裝置上的警示。

不會隱藏該裝置上的所有其他警示。

  • 安全性研究人員正在調查已用來攻擊組織中其他裝置的惡意腳本。
  • 開發人員會定期為其小組建立PowerShell腳本。
隱藏組織中的警示 任何裝置上具有相同警示標題的警示都會被隱藏。
  • 組織中的每個人都會使用良性的系統管理工具。

隱藏警示並建立新的歸併規則

Create 自定義規則來控制何時隱藏或解決警示。 您可以藉由指定警示標題、入侵指標和條件,來控制隱藏警示時的內容。 指定內容之後,您將能夠設定警示的動作和範圍。

  1. 選取您想要隱藏的警示。 這會顯示 [ 警示管理] 窗格。

  2. Create 隱藏規則

    您可以使用這些屬性建立歸併條件。 AND 運算子會在每個條件之間套用,因此只有在符合所有條件時才會進行歸併。

    • 檔案 SHA1
    • 檔名 - 支援通配符
    • 資料夾路徑 - 支援通配符
    • IP 位址
    • URL - 支持的通配符
    • 命令行 - 支援通配符
  3. 選取 [觸發 IOC]

  4. 指定警示的動作和範圍。

    您可以自動解決警示,或從入口網站隱藏警示。 自動解決的警示會出現在警示佇列、警示頁面和裝置時間軸的 [已解決] 區段中,並且會顯示為跨適用於端點的 Defender API 解析。

    標示為隱藏的警示會從整個系統隱藏,無論是在裝置的相關聯警示上,或是從儀錶板上,都不會跨適用於端點的 Defender API 串流處理。

  5. 輸入規則名稱和批注。

  6. 按一下儲存

檢視隱藏規則清單

  1. 在瀏覽窗格中,選> [設定端點>規則>警示隱藏]

  2. 隱藏規則清單會顯示組織中使用者已建立的所有規則。

如需管理隱藏規則的詳細資訊,請 參閱管理隱藏規則

變更警示的狀態

您可以在調查進行時變更警示的狀態,將警示分類 (為 [新增]、[ 進行中] 或 [已 解決) ]。 這可協助您組織及管理小組回應警示的方式。

例如,小組負責人可以檢閱所有 警示,並決定將警示指派給 進行中 佇列以進行進一步分析。

或者,如果小組負責人知道警示是良性的、來自不相關 (的裝置,例如屬於安全性系統管理員) ,或透過先前的警示處理的裝置,則可能會將警示指派給已 解決 的佇列。

警示分類

您可以選擇不設定分類,或指定警示為 true 警示或 False 警示。 請務必提供確判/誤判的分類。 此分類可用來監視警示品質,並讓警示更精確。 [判斷] 欄位會定義「確判為真」分類的額外精確度。

此影片包含分類警示的步驟:

新增批注並檢視警示的歷程記錄

您可以新增批注並檢視警示的相關歷史事件,以查看先前對警示所做的變更。

每當對警示進行變更或批注時,就會記錄在 [ 批注和歷程記錄 ] 區段中。

新增的註解會立即顯示在窗格中。

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。