Sdílet prostřednictvím


Zobrazení a uspořádání fronty upozornění Microsoft Defender for Endpoint

Platí pro:

Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Fronta upozornění zobrazuje seznam výstrah, které byly označeny příznakem ze zařízení ve vaší síti. Ve výchozím nastavení fronta zobrazuje výstrahy zobrazené za posledních 7 dnů ve seskupeném zobrazení. Nejnovější výstrahy se zobrazují v horní části seznamu, abyste si jako první zobrazili nejnovější výstrahy.

Poznámka

Díky automatizovanému vyšetřování a nápravě jsou výstrahy výrazně omezené, což umožňuje odborníkům na operace zabezpečení zaměřit se na sofistikovanější hrozby a další iniciativy s vysokou hodnotou. Pokud výstraha obsahuje podporovanou entitu pro automatizované šetření (například soubor) v zařízení, které má podporovaný operační systém, může se spustit automatizované šetření a náprava. Další informace o automatizovaných šetřeních najdete v tématu Přehled automatizovaných šetření.

Můžete si vybrat z několika možností, ze které si můžete přizpůsobit zobrazení upozornění.

Na horním navigačním panelu můžete:

  • Přizpůsobení sloupců pro přidání nebo odebrání sloupců
  • Použití filtrů
  • Zobrazení upozornění na konkrétní dobu, například 1 den, 3 dny, 1 týden, 30 dní a 6 měsíců
  • Export seznamu upozornění do Excelu
  • Správa upozornění

Stránka Fronta upozornění

Řazení a filtrování upozornění

Pomocí následujících filtrů můžete omezit seznam výstrah a získat přehlednější zobrazení výstrah.

Závažnosti

Závažnost upozornění Popis
High (Vysoká)
(Červená)
Výstrahy, které se běžně zobrazují v souvislosti s pokročilými trvalými hrozbami (APT). Tyto výstrahy značí vysoké riziko kvůli závažnosti poškození, které mohou způsobit zařízením. Mezi příklady patří aktivity nástrojů pro krádež přihlašovacích údajů, aktivity ransomwaru, které nejsou přidružené k žádné skupině, manipulace se senzory zabezpečení nebo jakékoli škodlivé aktivity indikující lidskou osobu.
Střední
(Oranžová)
Výstrahy z detekce koncových bodů a reakce na chování po porušení zabezpečení, které může být součástí rozšířené trvalé hrozby (APT). Mezi tato chování patří pozorované chování typické pro fáze útoku, neobvyklé změny registru, spouštění podezřelých souborů atd. I když některé můžou být součástí interního testování zabezpečení, vyžaduje to šetření, protože může být také součástí pokročilého útoku.
Nízké
(Žlutá)
Upozornění na hrozby spojené s převládajícím malwarem Například hack-tools, jiné než malwarové hack nástroje, jako jsou spouštění příkazů pro zkoumání, mazání protokolů atd., které často nezoznačují pokročilou hrozbu, která cílí na organizaci. Může také pocházet z izolovaného nástroje zabezpečení, který testuje uživatel ve vaší organizaci.
Informační
(Šedá)
Výstrahy, které nemusí být považovány za škodlivé pro síť, ale můžou zvýšit povědomí organizace o potenciálních problémech se zabezpečením.

Vysvětlení závažnosti upozornění

závažnost upozornění Microsoft Defender Antivirus a Defender for Endpoint se liší, protože představují různé obory.

Závažnost hrozby Microsoft Defender Antivirus představuje absolutní závažnost zjištěné hrozby (malware) a přiřazuje se na základě potenciálního rizika pro jednotlivé zařízení, pokud je napadeno.

Závažnost upozornění Defenderu for Endpoint představuje závažnost zjištěného chování, skutečné riziko pro zařízení, ale ještě důležitější je potenciální riziko pro organizaci.

Takže například:

  • Závažnost upozornění Defenderu for Endpoint na Microsoft Defender Antivirus zjistil hrozbu, která byla zabráněna a nenakazila zařízení, je kategorizována jako informační, protože nedošlo k žádnému skutečnému poškození.
  • Výstraha týkající se komerčního malwaru byla zjištěna při provádění, ale blokována a napravena službou Microsoft Defender Antivirus, je kategorizována jako "Nízká", protože může způsobit určité poškození jednotlivých zařízení, ale nepředstavuje žádnou organizační hrozbu.
  • Výstraha o malwaru zjištěném při provádění, která může představovat hrozbu nejen pro jednotlivá zařízení, ale i pro organizaci, bez ohledu na to, jestli se nakonec zablokovalo, může být řazená jako střední nebo vysoká.
  • Podezřelá upozornění na chování, která nebyla zablokovaná nebo nenapravovaná, se budou podle stejných aspektů ohrožení organizace řadit jako nízká, střední nebo vysoká.

Stav

Seznam výstrah můžete filtrovat podle jejich stavu.

Poznámka

Pokud se zobrazí stav upozornění typu Nepodporovaný , znamená to, že funkce automatizovaného vyšetřování nemůžou tuto výstrahu vyzvednout, aby spustily automatizované šetření. Tyto výstrahy ale můžete prozkoumat ručně.

Kategorie

Předefinovali jsme kategorie výstrah tak, aby odpovídaly podnikové taktice útoku v matici MITRE ATT&CK. Nové názvy kategorií se vztahují na všechna nová upozornění. Stávající výstrahy si zachovají předchozí názvy kategorií.

Zdroje služeb

Výstrahy můžete filtrovat na základě následujících zdrojů služby:

  • Microsoft Defender for Identity
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Endpoint
  • Microsoft Defender XDR
  • Microsoft Defender pro Office 365
  • Zásady správného řízení aplikací
  • Microsoft Entra ID Protection

Zákazníci se službou Microsoft Endpoint Notification teď můžou filtrovat a zobrazovat detekce ze služby filtrováním podle odborníků Microsoft Defender vnořených ve zdroji služby Microsoft Defender for Endpoint.

Poznámka

Filtr Antivirus se zobrazí jenom v případě, že zařízení používají Microsoft Defender Antivirus jako výchozí antimalwarový produkt ochrany v reálném čase.

Značky

Výstrahy můžete filtrovat na základě značek přiřazených k upozorněním.

Zásad

Výstrahy můžete filtrovat na základě následujících zásad:

Zdroj detekce Hodnota rozhraní API
Senzory třetích stran ThirdPartySensors
Antivirus WindowsDefenderAv
Automatizované prověřování AutomatedInvestigation
Vlastní detekce CustomDetection
Vlastní TI CustomerTI
EDR WindowsDefenderAtp
Microsoft Defender XDR MTP
Microsoft Defender pro Office 365 OfficeATP
Microsoft Defender Experti ThreatExperts
Smartscreen WindowsDefenderSmartScreen

Entity

Výstrahy můžete filtrovat na základě názvu nebo ID entity.

Stav automatizovaného šetření

Výstrahy můžete filtrovat na základě stavu automatizovaného šetření.

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.