調查 Microsoft Defender XDR 中的警示

適用於：

• Microsoft Defender XDR

注意事項

本文說明 Microsoft Defender XDR 中的安全性警示。 不過，當使用者在 Microsoft 365 中執行特定活動時，您可以使用活動警示將電子郵件通知傳送給您自己或其他系統管理員。 如需詳細資訊，請 參閱建立活動警示 - Microsoft Purview |Microsoft檔。

警示是所有事件的基礎，並且會指出您的環境中發生惡意或可疑事件。 警示通常是更廣泛攻擊的一部分，可提供事件的線索。

在 Microsoft Defender XDR 中，相關警示會匯總在一起以形成 事件。 事件一律會提供更廣泛的攻擊內容，不過，當需要更深入的分析時，分析警示會很有價值。

[警示] 佇列會顯示一組目前的警示。 您會在 Microsoft Defender 入口網站快速啟動時，從事件 & 警示警示進入警示>佇列。

來自不同Microsoft安全性解決方案的警示，例如Microsoft適用於端點的Defender、適用於 Office 365 的 Defender、Microsoft Sentinel、適用於雲端的 Defender、適用於身分識別的 Defender、適用於雲端應用程式的 Defender、Defender XDR、應用程式控管、Microsoft Entra ID Protection，以及 Microsoft 數據外泄防護。

根據預設，Microsoft Defender 入口網站中的警示佇列會顯示過去七天內的新警示和進行中警示。 最新的警示位於清單頂端，因此您可以首先看到。

從預設警示佇列中，您可以選取 [ 篩選 ] 以查看 [ 篩選 ] 窗格，您可以從中指定警示的子集。 以下為範例。

您可以根據以下條件篩選警示:

• 嚴重性
• 狀態
• Categories
• 服務/偵測來源
• 標記
• 原則
• 實體 (影響的資產)
• 自動化調查狀態
• 警示訂用帳戶標識碼

注意事項

Microsoft Defender XDR 客戶現在可以透過適用於 IoT 的 Microsoft Defender 和適用於端點的 Microsoft Defender 的裝置探索整合，來篩選遭入侵裝置與操作技術通訊的事件， (OT) 裝置連線到企業網路。 若要篩選這些事件，請選取 [服務/偵測來源] 中的 [ 任何 ]，然後在 [產品名稱] 中選 取 [適用於 IoT 的 Microsoft Defender ]，或參閱在 Defender 入口網站 中調查適用於 IoT 的 Microsoft Defender 中的事件和警示。 您也可以使用裝置群組來篩選網站特定警示。 如需適用於IoT的Defender必要條件的詳細資訊，請 參閱在 Microsoft Defender XDR 中開始使用企業IoT監視。

警示可以有具有特定色彩背景的系統標籤和/或自定義標籤。 自定義標記使用白色背景，而系統標記通常使用紅色或黑色背景色彩。 系統標籤會在事件中識別下列專案：

• 一 種攻擊類型，例如勒索軟體或認證網路釣魚
• 自動動作，例如自動調查和回應，以及自動攻擊中斷
• 處理事件的Defender專家
• 事件涉及的重要資產

提示

根據預先定義的分類，Microsoft的安全性暴露管理會自動將裝置、身分識別和雲端資源標記為 重要資產。 此現成功能可確保保護組織重要且最重要的資產。 它也可協助安全性作業小組排定調查和補救的優先順序。 深入瞭解 重要資產管理。

適用於 Office 365 的 Defender 警示的必要角色

您必須具備下列任一角色，才能存取適用於 Office 365 Microsoft Defender 警示：

• 針對 Microsoft Entra 全域角色：

  • 全域系統管理員
  • 安全性系統管理員
  • 安全性操作員
  • 全域讀取者
  • 安全性讀取者

• Office 365 安全性 & 合規性角色群組

  • 合規性系統管理員
  • 組織管理

• 自訂角色

注意事項

Microsoft建議使用許可權較少的角色，以提升安全性。 具有許多許可權的全域管理員角色，只有在沒有其他角色符合時，才應該用於緊急。

分析警示

若要查看主要警示頁面，請選取警示的名稱。 以下為範例。

您也可以從 [管理警示] 窗格中選取 [開啟主要警示頁面] 動作。

警示頁面由以下各章節組成:

• 警示劇本，這是與此警示相關的事件和警示鏈結，以時間順序排列
• 摘要詳細資料

在整個警示頁面中，您可以選取任何實體旁邊) 的省略號 (... ，以查看可用的動作，例如將警示連結至另一個事件。 可用動作清單取決於警示類型。

警示來源

Microsoft Defender XDR 警示來自Microsoft適用於端點的 Defender、適用於 Office 365 的 Defender、適用於身分識別的 Defender、適用於雲端應用程式的 Defender、適用於 Microsoft Defender for Cloud Apps 的應用程式控管附加元件、Microsoft Entra ID Protection，以及 Microsoft 數據外泄防護等解決方案。 您可能會注意到警示中有前置字元的警示。 下表提供指引，可協助根據警示上的前綴字元，瞭解警示來源的對應。

注意事項

• 前面所提示的 GUID 僅適用于統一體驗，例如統一警示佇列、統一警示頁面、統一調查和統一事件。
• 前置字元不會變更警示的 GUID。 GUID 的唯一變更是前綴元件。

警示來源	具有前置字元的警示標識碼
Microsoft Defender XDR	ra{GUID} ta{GUID} 來自 ThreatExperts 的警示 ea{GUID} 用於自定義偵測的警示
適用於 Office 365 的 Microsoft Defender	fa{GUID} 範例：fa123a456b-c789-1d2e-12f1g33h445h6i
適用於端點的 Microsoft Defender	da{GUID} ed{GUID} 用於自定義偵測的警示
適用於身分識別的 Microsoft Defender	aa{GUID} 範例：aa123a456b-c789-1d2e-12f1g33h445h6i
Microsoft 雲端 App 安全性	ca{GUID} 範例：ca123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Entra ID Protection	ad{GUID}
應用程式控管	ma{GUID}
Microsoft數據外洩防護	dl{GUID}
適用於雲端的 Microsoft Defender	dc{GUID}
Microsoft Sentinel	sn{GUID}

設定 Microsoft Entra IP 警示服務

1. 移至 Microsoft Defender 入口網站 (security.microsoft.com) ，選取 [ 設定>Microsoft Defender XDR]。

2. 從清單中，選取 [ 警示服務設定]，然後設定 您的 Microsoft Entra ID Protection 警示服務。

   

根據預設，只會啟用安全性作業中心最相關的警示。 如果您想要取得所有Microsoft的 Entra IP 風險偵測，您可以在 [ 警示服務設定 ] 區段中加以變更。

您也可以直接從 Microsoft Defender 入口網站中的 [事件] 頁面存取警示服務設定。

重要事項

部分資訊與發行前版本產品有關，在正式發行之前可能會實質上進行修改。 Microsoft 對此處提供的資訊，不提供任何明確或隱含的瑕疵擔保。

分析受影響的資產

在 [採取的動作] 章節，列出受影響的資產，例如信箱、裝置及受此警示影響的使用者。

您也可以在控制中心選取 [檢視]，以在 Microsoft Defender 入口網站中檢視控制中心的 [歷程記錄] 索引卷標。

在警示本文中追蹤警示的角色

警示本文會在程序樹狀檢視中，顯示與警示相關的所有資產或實體。 當您第一次登陸選取的警示頁面時，標題中的警示就是焦點。 警示案例中的資產是可展開且可點選的。 它們提供其他資訊，並允許您在警示頁面的內容中採取行動，以加速您的回應。

注意事項

警示劇本區段可能包含一個以上的警示，而與相同執行樹狀結構相關的其他警示會出現在您選取的警示之前或之後。

在詳細資料頁面上查看更多警示資訊

詳細數據頁面會顯示所選警示的詳細數據，以及與其相關的詳細數據和動作。 如果您在警示本文中選取任何受影響的資產或實體，詳細資料頁面會變更，以提供所選物件的內容相關資訊和動作。

選取感興趣的實體之後，詳細數據頁面會變更，以顯示所選實體類型的相關信息、可用時的歷史資訊，以及直接從警示頁面對此實體採取動作的選項。

管理警示

若要管理警示，請在警示頁面的摘要詳細資料章節選取 [管理警示]。 針對單一警示，以下是 [管理警示] 窗格的範例。

[ 管理警示 ] 窗格可讓您檢視或指定：

• 警示狀態 (新增、已解決、進行中)。
• 已指派警示的使用者帳戶。
• 警示的分類:
  • 未設定 預設) (。
  • 確判 為威脅類型。 針對精確指出實際威脅的警示使用此分類。 指定此威脅類型警示，您的安全性小組會看到威脅模式，並採取行動來保護組織免於威脅模式。
  • 具有活動類型的資訊、預期活動。 針對技術上精確但代表正常行為或模擬威脅活動的警示，請使用此選項。 您通常會想要忽略這些警示，但預期未來會有類似的活動，而實際攻擊者或惡意代碼會觸發這些活動。 使用此類別中的選項來分類安全性測試、紅色小組活動，以及來自受信任應用程式和使用者的預期異常行為的警示。
  • 即使沒有惡意活動或誤判警示，已建立的警示類型仍為誤判。 使用此類別中的選項，將誤認為一般事件或活動的警示分類為惡意或可疑。 不同於「資訊、預期活動」的警示，這對於攔截實際威脅也很有用，您通常不想再次看到這些警示。 將警示分類為誤判，有助於Microsoft Defender XDR改善其偵測品質。
• 警示的註解。

注意事項

在 2022 年 8 月 29 日左右，先前支援的警示判斷值 ('Apt' 和 'SecurityPersonnel') 將會被取代，且不再可透過 API 使用。

注意事項

其中一種管理方式是透過使用標籤來警示它。 適用於 Office 365 Microsoft Defender 的標記功能正在累加推出，目前為預覽狀態。

目前，已修改的標籤名稱只會套用至更新 之後 建立的警示。 修改之前產生的警示不會反映更新的標籤名稱。

若要管理類似特定警示的一組警示，請在警示頁面摘要詳細數據區段的 [深入解析] 方塊中選取 [檢視類似的警示]。

從 [管理警示] 窗格中，您可以同時分類所有相關的警示。 以下為範例。

如果類似的警示在過去已分類過，您可以使用 Microsoft Defender XDR 建議來節省時間，以瞭解如何解決其他警示。 從摘要詳細資料章節選取 [建議]。

[建議] 索引標籤提供調查、補救和預防的後續步驟動作和建議。 以下為範例。

微調警示

身為SOC) 分析師 (安全性作業中心，其中一個最主要的問題是分級每日觸發的大量警示。 分析師的時間很有價值，只想要專注於高嚴重性和高優先順序的警示。 同時，分析師也需要分級和解決優先順序較低的警示，這通常會是手動程式。

警示微調先前稱為 警示歸併，可讓您事先微調和管理警示。 這可簡化警示佇列，並在每次發生特定預期的組織行為並符合規則條件時自動隱藏或解決警示，以節省分級時間。

警示微調規則支援以辨識項類型為基礎的條件 ， 例如檔案、處理程式、排程的工作，以及觸發警示的其他辨識項類型。 建立警示微調規則之後，請將它套用至選取的警示或符合定義條件的任何警示類型，以微調警示。

一般可用性的警示微調只會從適用於端點的Defender擷取警示。 不過，在預覽版中，警示微調也會擴充至其他Microsoft Defender XDR 服務，包括適用於 Office 365 的 Defender、適用於身分識別的 Defender、適用於雲端應用程式的 Defender、Microsoft Entra ID Protection (Microsoft Entra IP) ，以及在您的平臺和方案中提供其他服務。

注意

對於已知的內部商務應用程式或安全性測試會觸發預期的活動，而且您不想要查看警示的案例，建議您謹慎使用警示微調。

建立規則條件以微調警示

從 [Microsoft Defender XDR 設定 ] 區域或警示詳細數據頁面建立警示微調規則。 選取下列其中一個索引標籤以繼續。

設定頁面

1. 在 Microsoft Defender 入口網站中，選取 [ 設定 > Microsoft Defender XDR > 警示微調]。

   

2. 選 取 [新增規則 ] 以微調新的警示，或選取現有的規則數據列進行變更。 選取規則標題會開啟規則詳細數據頁面，您可以在其中檢視相關聯的警示清單、編輯條件，或開啟和關閉規則。

3. 在 [ 調整警示 ] 窗格的 [ 選取服務來源] 下，選取您要套用規則的服務來源。 只有您擁有許可權的服務才會顯示在清單中。 例如：

   

4. 在 [ 條件] 區域中，新增警示觸發程序的條件。 例如，如果您想要防止在建立特定檔案時觸發警示，請定義 File：Custom 觸發程式的條件，並定義檔案詳細數據：

   

   • 列出的觸發程式會根據您選取的服務來源而有所不同。 觸發程式是所有可能觸發警示的 IOC) (入侵指標，例如檔案、處理程式、排程工作和其他可能觸發警示的辨識項類型，包括反惡意代碼掃描介面 (AMSI) 腳本、Windows Management Instrumentation (WMI) 事件或排程工作。

   • 若要設定多個規則條件，請選取 [ 新增篩選 條件]，並使用 AND、 OR和群組選項來定義觸發警示的多個辨識項類型之間的關聯性。 進階辨識項屬性會自動填入為新的子群組，您可以在其中定義條件值。 條件值不區分大小寫，而且某些屬性支援通配符。

5. 在 [調整警示] 窗格的 [動作] 區域中，選取您想要規則採取的相關動作：[隱藏警示] 或 [解決警示]。

6. 為您的警示輸入有意義的名稱和描述警示的批注，然後選取 [ 儲存]。

警示頁面

1. 在 Microsoft Defender 入口網站中，移至 [ 警示 ] 頁面或警示詳細數據頁面。 如果您在 [警示] 頁面上，請先選取您要微調 的 警示，然後選取 [ 調整警示]。 視螢幕解析度而定，您可能需要選取省略號 (...) 才能看到 [調整警示 ] 選項。 例如：

   

   [ 微調警示 ] 窗格會在側邊開啟，您可以在其中定義警示的條件。 例如：

   

2. 設定下列詳細數據，然後選取 [ 儲存]：

3. 在 [ 警示類型] 區域中，選取 [僅將警示微調規則套用至選取類型的警示] 或根據相同條件的任何警示類型。 如果您 根據特定條件選取 [任何警示類型]，也請選取您要套用規則的服務來源。 只有您擁有許可權的服務才會顯示在清單中。 例如：

   

4. 在 [ 條件] 區域中，新增警示觸發程序的條件。 例如，如果您想要防止在建立特定檔案時觸發警示，請定義 File：Custom 觸發程式的條件，並定義檔案詳細數據：

   

   • 列出的觸發程式會根據您選取的服務來源而有所不同。 觸發程式是所有可能觸發警示的 IOC) (入侵指標，例如檔案、處理程式、排程工作和其他可能觸發警示的辨識項類型，包括反惡意代碼掃描介面 (AMSI) 腳本、Windows Management Instrumentation (WMI) 事件或排程工作。

   • 若要設定多個規則條件，請選取 [ 新增篩選 條件]，並使用 AND、 OR和群組選項來定義觸發警示的多個辨識項類型之間的關聯性。 進階辨識項屬性會自動填入為新的子群組，您可以在其中定義條件值。 條件值不區分大小寫，而且某些屬性支援通配符。

5. 在 [調整警示] 窗格的 [動作] 區域中，選取您想要規則採取的相關動作：[隱藏警示] 或 [解決警示]。

6. 為您的警示輸入有意義的名稱，並輸入批注來描述警示。

注意事項

警示標題 (名稱) 是以 (IoaDefinitionId) 的警示類型為基礎，這會決定警示標題。 具有相同警示類型的兩個警示可以變更為不同的警示標題。

解決警示

當您完成分析警示並可解決警示之後，請移至警示或類似警示的 [ 管理警示 ] 窗格，並將狀態標示為 [已 解決 ]，然後將它分類為 True 正值 ，其中包含威脅類型、具有活動類型的 資訊、預期活動 或 誤判。

分類警示有助於Microsoft Defender XDR改善其偵測品質。

使用 Power Automate 將警示分級

SecOps) 小組 (新式安全性作業需要自動化才能有效運作。 為了專注於搜捕和調查真正的威脅，SecOps 小組會使用Power Automate來分級警示清單，並消除不是威脅的警示。

解決警示的準則

• 用戶已開啟非辦公室訊息
• 使用者未標記為高風險

如果兩者皆為 true，SecOps 會將警示標示為合法的移動並加以解決。 解決警示之後，系統會在Microsoft Teams 中張貼通知。

將 Power Automate 連線到適用於雲端應用程式Microsoft Defender

若要建立自動化，您需要 API 令牌，才能將 Power Automate 連線到適用於雲端應用程式Microsoft Defender。

1. 開啟 Microsoft Defender]，然後選取 [設定>雲端應用程式>API 令牌]，然後在 [API 令牌] 索引卷標中選取 [新增令牌]。

2. 提供令牌的名稱，然後選取 [ 產生]。 儲存令牌，因為您稍後會用到它。

建立自動化流程

觀看這段短片，瞭解自動化如何有效率地建立順暢的工作流程，以及如何將Power Automate 連線到適用於雲端應用程式的Defender。

後續步驟

如同進程事件需要，請繼續 調查。

另請參閱

• 事件概觀
• 管理事件
• 調查事件
• 調查 Defender 中的數據外洩防護警示
• Microsoft Entra ID Protection

提示

想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。