檢視及組織適用於端點的 Microsoft Defender 警示佇列
適用於:
想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。
[警示] 佇列會顯示從您網路中的裝置標幟的警示清單。 根據預設,佇列會在分組檢視中顯示過去 30 天內出現的警示。 最新的警示會顯示在清單頂端,協助您先看到最新的警示。
注意事項
自動化調查和補救可大幅降低警示,讓安全性作業專家專注于更複雜的威脅和其他高價值計畫。 例如,當警示包含用於自動化調查的支援實體時 (,在具有支援作業系統的裝置中) 檔案時,就可以開始進行自動化調查和補救。 如需自動化調查的詳細資訊,請參閱 自動化調查概觀。
有數個選項可供您選擇,以自訂警示檢視。
在頂端導覽中,您可以:
- 自訂要新增或移除資料行的資料行
- 套用篩選
- 顯示特定持續時間的警示,例如 1 天、3 天、1 周、30 天和 6 個月
- 將警示清單匯出至 Excel
- 管理提醒
排序和篩選警示
您可以套用下列篩選來限制警示清單,並取得更專注的警示檢視。
嚴重性
| 警示嚴重性 | 描述 |
|---|---|
| 高 (紅色) |
與 APT) (進階持續性威脅相關聯的常見警示。 這些警示表示高風險,因為它們可能會在裝置上造成損害的嚴重性。 一些範例包括:認證竊取工具活動、與任何群組無關的勒索軟體活動、竄改安全性感應器,或任何表示人類敵人的惡意活動。 |
| 中 (橙色) |
來自端點偵測和回應入侵後行為的警示,這些行為可能是 APT) (進階持續性威脅的一部分。 這些行為包括常見的攻擊階段觀察到的行為、異常登錄變更、可疑檔案的執行等等。 雖然有些可能是內部安全性測試的一部分,但它需要調查,因為它也可能是進階攻擊的一部分。 |
| 低 (黃色) |
與普遍惡意程式碼相關聯的威脅警示。 例如,駭客工具、非惡意程式碼駭客工具,例如執行探索命令、清除記錄等等,通常不會指出以組織為目標的進階威脅。 它也可能來自組織中使用者所進行的隔離安全性工具測試。 |
| 參考 (灰色) |
警示可能不會被視為對網路有害,但會提高組織對潛在安全性問題的安全性認知。 |
瞭解警示嚴重性
Microsoft Defender防毒軟體和適用于端點的 Defender 警示嚴重性不同,因為它們代表不同的範圍。
Microsoft Defender防毒軟體威脅嚴重性代表偵測到的威脅 (惡意程式碼) 的絕對嚴重性,並在受感染時根據個別裝置的潛在風險來指派。
適用于端點的 Defender 警示嚴重性代表偵測到的行為嚴重性、裝置的實際風險,但更重要的是組織的潛在風險。
因此,例如:
- 適用于端點的 Defender 警示的嚴重性,與偵測到的Microsoft Defender防毒軟體偵測到的威脅已防止,且未感染裝置,因為沒有實際損壞,所以會分類為「資訊」。
- 執行時偵測到商業惡意程式碼的相關警示,但Microsoft Defender防毒軟體封鎖並修復,分類為「低」,因為它可能對個別裝置造成一些損害,但不會造成組織威脅。
- 執行時偵測到惡意程式碼的相關警示,不僅會對個別裝置造成威脅,也會對組織造成威脅,不論最終是否遭到封鎖,都可能排名為「中」或「高」。
- 未封鎖或補救的可疑行為警示會在相同的組織威脅考慮下排名「低」、「中」或「高」。
狀態
您可以選擇根據警示的狀態來篩選警示清單。
注意事項
如果您看到 不支援的警示類型警示 狀態,這表示自動化調查功能無法挑選該警示來執行自動化調查。 不過,您可以 手動調查這些警示。
Categories
我們已重新定義警示類別,以符合MITRE ATT & CK 矩陣中的企業攻擊策略。 新的類別名稱會套用至所有新的警示。 現有的警示會保留先前的類別名稱。
服務來源
您可以根據下列服務來源篩選警示:
- 適用於身分識別的 Microsoft Defender
- Microsoft 雲端 App 安全性
- 適用於端點的 Microsoft Defender
- Microsoft 365 Defender
- 適用於 Office 365 的 Microsoft Defender
- 應用程式控管
- AAD Identity Protection
Microsoft 端點通知客戶現在可以篩選並查看來自服務的偵測,方法是透過巢狀于適用於端點的 Microsoft Defender服務來源底下的Microsoft Defender專家進行篩選。
注意事項
只有在裝置使用 Microsoft Defender 防毒軟體作為預設即時保護反惡意程式碼產品時,才會顯示防毒軟體篩選器。
標記
您可以根據指派給警示的標籤來篩選警示。
原則
您可以根據下列原則來篩選警示:
| 偵測來源 | API 值 |
|---|---|
| 協力廠商感應器 | ThirdPartySensors |
| 防毒軟體 | WindowsDefenderAv |
| 自動化調查 | AutomatedInvestigation |
| 自訂偵測 | CustomDetection |
| 自訂 TI | CustomerTI |
| EDR | WindowsDefenderAtp |
| Microsoft 365 Defender | MTP |
| 適用於 Office 365 的 Microsoft Defender | OfficeATP |
| Microsoft Defender專家 | ThreatExperts |
| SmartScreen | WindowsDefenderSmartScreen |
實體
您可以根據機構名稱或識別碼來篩選警示。
自動化調查狀態
您可以選擇根據警示的自動化調查狀態來篩選警示。