在適用於企業的 Microsoft Defender 中檢視及管理事件
當偵測到威脅並觸發警示時, 即會建立事件。 貴公司的安全性小組可以在 Microsoft Defender 入口網站中檢視和管理事件。 您必須獲指派適當的許可權,才能執行本文中的工作。 請參閱 適用於企業的 Microsoft Defender 中的安全性角色和許可權。
本文包括:
如何監視事件和警示
在 Microsoft Defender 入口網站 (https://security.microsoft.com) ,在瀏覽窗格中,移至 [事件 & 警示],然後選取 [事件]。 頁面上會列出已建立的事件。
重要事項
如果您看到標記為
Attack disruption的事件,表示已偵測到進階攻擊。 請參閱 自動攻擊中斷。選取警示以開啟其飛出視窗窗格, 您可以在其中深入了解警示。
在飛出視窗窗格中,您可以看到警示標題、檢視 (的資產清單,例如受影響的裝置或使用者帳戶) 、採取可用的動作,以及使用連結來檢視詳細資訊,甚至開啟所選警示的詳細數據頁面。
提示
商務用Defender的設計目的是建議您可以採取的動作,協助您解決偵測到的威脅。 當您檢視警示時,請尋找這些建議。 另請注意警示嚴重性,這不只會根據偵測到的威脅嚴重性來決定,也會根據公司的風險層級來決定。
警示嚴重性
偵測到威脅時,系統會將嚴重性層級指派給每個產生的警示。
- Microsoft Defender 防病毒軟體會根據偵測到之威脅 (的絕對嚴重性指派警示嚴重性,例如惡意代碼) ,以及受感染) 時可能會對個別裝置 (的風險。
- 商務用 Defender 會根據偵測到的行為嚴重性、對裝置的實際風險指派警示嚴重性,更重要的是,為您的公司指派潛在風險。
下表列出一些警示及其嚴重性層級的範例:
| 案例 | 警示嚴重性和原因 |
|---|---|
| 自動攻擊中斷 會偵測進階攻擊,並包含裝置或用戶帳戶,以協助防止攻擊繼續進行。 | 高。 攻擊中斷功能有助於包含攻擊,讓IT/安全性小組可以解決此問題。 |
| Microsoft Defender 防毒軟體會在威脅造成任何損害之前偵測並停止威脅。 | 資訊。 威脅在損壞完成之前已停止。 |
| Microsoft Defender 防毒軟體偵測到貴公司內執行的惡意程式碼。 此惡意軟體已停止並修復。 | 低。 雖然可能已對個別裝置造成一些損害,但惡意代碼現在不會對您的公司造成任何威脅。 |
| 商務用 Defender 偵測到正在執行的惡意代碼。 惡意程式碼幾乎會立即被封鎖。 | 中 或 高。 惡意代碼會對個別裝置和您的公司造成威脅。 |
| 偵測到可疑的行為, 但尚未採取補救動作。 | 低、 中或 高。 嚴重性取決於行為對貴公司造成威脅的程度。 |
後續步驟
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應