調查適用於身分識別的 Defender 安全性警示 Microsoft Defender 全面偵測回應

發行項
01/10/2024

本文說明如何在 Microsoft Defender 全面偵測回應中使用適用於身分識別的 Microsoft Defender 安全性警示的基本概念。

適用於身分識別的 Defender 警示原生整合至具有專用身分識別警示頁面格式的 Microsoft Defender 全面偵測回應。

[身分識別警示] 頁面提供適用於身分識別的 Microsoft Defender 客戶更好的跨網域訊號擴充和新的自動化身分識別回應功能。這可確保您保持安全，並協助提升安全性作業的效率。

透過 Microsoft Defender 全面偵測回應調查警示的優點之一是，適用於身分識別的 Microsoft Defender 警示會進一步與套件中其他產品取得的資訊相互關聯。這些增強的警示與其他源自適用於 Office 365 的 Microsoft Defender 和適用於端點的 Microsoft Defender 的 Microsoft Defender 全面偵測回應警示格式一致。新頁面實際上不需要流覽至另一個產品入口網站，以調查與身分識別相關聯的警示。

源自適用於身分識別的 Defender 的警示現在可以觸發 Microsoft Defender 全面偵測回應自動化調查和回應（AIR）功能，包括自動補救警示，以及有助於可疑活動的工具和程式風險降低。

重要

作為與 Microsoft Defender 全面偵測回應趨同的一部分，某些選項和詳細數據已從其在適用於身分識別的 Defender 入口網站中的位置變更。請閱讀下列詳細數據，以探索尋找熟悉和新功能的位置。

檢閱安全性警示

您可以從多個位置存取警示，包括 [警示 ] 頁面、[ 事件] 頁面、個別裝置的頁面，以及 [ 進階搜捕 ] 頁面。在此範例中，我們將檢閱 [ 警示] 頁面。

在 Microsoft Defender 全面偵測回應中，移至 [事件和警示]，然後移至 [警示]。

若要查看適用於身分識別的 Defender 警示，請在右上方選取 [篩選]，然後在 [服務來源] 底下選取 [適用於身分識別的 Microsoft Defender]，然後選取 [套用]：

警示會顯示在下列數據行中的資訊：警示名稱、標籤、嚴重性、調查狀態、狀態、類別、偵測來源、受影響的資產、第一個活動及最後一個活動。

安全性警示類別

適用於身分識別的 Defender 安全性警示分為下列類別或階段，例如典型的網路攻擊終止鏈結中所見的階段。

管理警示

如果您選取 其中一個警示的 [警示名稱 ]，您將移至頁面，其中包含警示的詳細數據。在左窗格中，您會看到所發生狀況的摘要：

在 [ 發生什麼事] 方塊上方是警示的 [帳戶]、 [目的地主機 ] 和 [來源主機 ] 按鈕。針對其他警示，您可能會看到按鈕，以取得其他主機、帳戶、IP 位址、網域和安全組的詳細數據。選取其中任何一個，以取得相關實體的詳細數據。

在右窗格中，您會看到 [警示詳細數據]。您可以在這裡查看更多詳細資料，並執行數個工作：

分類此警示 - 您可以在這裡將此警示指定為 True 警示 或 False 警示
警示狀態 - 在 [設定分類] 中，您可以將警示分類為 True 或 False。在 [指派給] 中，您可以將警示指派給自己或取消指派。
警示詳細數據 - 在 [警示詳細數據] 底下，您可以找到特定警示的詳細資訊、遵循警示類型相關文件的連結、查看警示相關聯的事件、檢閱與此警示類型連結的任何自動化調查，以及查看受影響的裝置和使用者。
批註和歷程記錄 - 您可以在這裡將批註新增至警示，並查看與警示相關聯的所有動作歷程記錄。
管理警示 - 如果您選取 [管理警示]，您將移至可讓您編輯的窗格：
- 狀態 - 您可以選擇 [ 新增]、[ 已解決] 或 [進行中]。
- 分類 - 您可以選擇 [True 警示] 或 [False 警示]。
- 批註 - 您可以新增警示的相關批注。
- 如果您選取 [管理警示] 旁的三個點，您可以將警示連結至另一個事件、建立隱藏規則（僅適用於預覽客戶），或詢問 Defender 專家。
  
  您也可以將警示匯出至 Excel 檔案。若要這樣做，請選取 [ 導出]。
  
  注意
  
  在 Excel 檔案中，您現在有兩個可用連結：在適用於身分識別的 Microsoft Defender 中檢視和在 Microsoft Defender 全面偵測回應 中檢視。每個鏈接都會帶您前往相關的入口網站，並提供警示的相關信息。