訓練
認證
Microsoft Certified: Security Operations Analyst Associate - Certifications
使用 Microsoft Sentinel、適用於雲端的 Microsoft Defender 和 Microsoft 365 Defender 調查、搜尋及降低威脅。
適用於:
想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。
適用於端點的 Microsoft Defender 中的 [警示] 頁面會結合與所選警示相關的攻擊訊號和警示,以建構詳細的警示案例,以提供警示的完整內容。
針對影響貴組織的警示快速分級、調查及採取有效動作。 了解觸發的原因,以及它們對某個位置的影響。 在此概觀中深入瞭解。
在適用於端點的 Defender 中選取警示的名稱,會讓您進入其警示頁面。 在警示頁面上,所有信息都會顯示在所選取警示的內容中。 每個警示頁面包含 4 個區段:
記下警示的偵測狀態。
已防止:已避免嘗試的可疑動作。 例如,檔案未寫入磁碟或執行。
已封鎖:已執行可疑行為,然後遭到封鎖。 例如,已執行進程,但由於其後續出現可疑的行為,因此進程已終止。
偵測到:偵測到攻擊,可能仍在作用中。
接著,您也可以在警示的詳細數據窗格中檢閱 自動化調查詳細 數據,以查看已採取的動作,以及閱讀警示的描述以了解建議的動作。
警示開啟時,詳細數據窗格中可用的其他資訊包括 MITRE 技術、來源和其他內容相關詳細數據。
注意
如果您看到 不支援的警示類型警示 狀態,這表示自動化調查功能無法挑選該警示來執行自動化調查。 不過,您可以 手動調查這些警示。
在受影響的資產區段中選取裝置或使用者卡片,將會切換至詳細數據窗格中裝置或使用者的詳細數據。
對於裝置,詳細數據窗格會顯示裝置本身的相關信息,例如網域、操作系統和IP。 您也可以使用作用中警示和該裝置上登入的使用者。 您可以藉由隔離裝置、限制應用程式執行,或執行防病毒軟體掃描,立即採取動作。 或者,您可以收集調查套件、起始自動化調查,或移至裝置頁面,從裝置的觀點進行調查。
對於使用者,詳細數據窗格會顯示詳細的用戶資訊,例如使用者的 SAM 名稱和 SID,以及此使用者所執行的登入類型,以及任何相關警示和事件。 您可以選取 [開啟用戶頁面 ],從該使用者的觀點繼續調查。
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。
訓練
認證
Microsoft Certified: Security Operations Analyst Associate - Certifications
使用 Microsoft Sentinel、適用於雲端的 Microsoft Defender 和 Microsoft 365 Defender 調查、搜尋及降低威脅。
文件
調查 適用於端點的 Microsoft Defender 警示 - Microsoft Defender for Endpoint
使用調查選項來取得警示會影響您網路的詳細數據、其意義,以及解決方式。
Microsoft Defender 全面偵測回應 中的警示佇列 - Microsoft Defender for Endpoint
檢視和管理 Microsoft Defender 全面偵測回應 中顯示的警示
檢視及組織適用於端點的 Microsoft Defender 警示佇列 - Microsoft Defender for Endpoint
瞭解 適用於端點的 Microsoft Defender 警示佇列的運作方式,以及如何排序和篩選警示清單。