Kontrola výstrah v Microsoft Defender for Endpoint

  • Článek

Platí pro:

Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Stránka upozornění v Microsoft Defender for Endpoint poskytuje úplný kontext výstrahy díky kombinaci signálů útoku a výstrah souvisejících s vybranou výstrahou, aby se vytvořil podrobný scénář upozornění.

Rychle rozsaďte, prošetřujte a proveďte efektivní akce s upozorněními, které ovlivňují vaši organizaci. Seznamte se s tím, proč se aktivovaly, a jejich dopad z jednoho místa. Další informace najdete v tomto přehledu.

Začínáme s upozorněním

Když v Defenderu for Endpoint vyberete název upozornění, dostanete se na jeho stránku s upozorněním. Na stránce výstrahy se zobrazí všechny informace v kontextu vybrané výstrahy. Každá stránka upozornění se skládá ze 4 částí:

  1. Název upozornění zobrazuje název upozornění a je tam, aby vám připomněl, která výstraha zahájila vaše aktuální šetření bez ohledu na to, co jste na stránce vybrali.
  2. Ovlivněné prostředky obsahují karty zařízení a uživatelů ovlivněných touto výstrahou, na které lze kliknout a zobrazit další informace a akce.
  3. V textu upozornění se zobrazí všechny entity související s upozorněním, které jsou propojené stromovým zobrazením. Když se poprvé dostanete na vybranou stránku výstrahy, bude fokus na upozornění v názvu. Entity v textu upozornění se dají rozbalit a kliknout, aby poskytovaly další informace a urychlily odpověď tím, že umožňují provádět akce přímo v kontextu stránky upozornění. Pokud chcete zahájit šetření, použijte scénář upozornění. Postup najdete v tématu Zkoumání upozornění v Microsoft Defender for Endpoint.
  4. V podokně podrobností se nejprve zobrazí podrobnosti vybrané výstrahy s podrobnostmi a akcemi souvisejícími s touto výstrahou. Pokud v textu upozornění vyberete některý z ovlivněných prostředků nebo entit, podokno podrobností se změní tak, aby poskytovalo kontextové informace a akce pro vybraný objekt.

Poznamenejte si stav detekce výstrahy.

  • Zabráněno: Pokusu o podezřelou akci se zabránilo. Soubor se například buď nezapsal na disk, nebo se spustil.

    Stránka zobrazující prevenci hrozby

  • Blokováno: Podezřelé chování se spustilo a pak zablokovalo. Například byl spuštěn proces, ale protože následně vykazoval podezřelé chování, proces byl ukončen.

    Stránka zobrazující zablokování hrozby

  • Zjištěno: Byl zjištěn útok, který je pravděpodobně stále aktivní.

    Stránka zobrazující detekci hrozby

Pak můžete také zkontrolovat podrobnosti automatizovaného šetření v podokně podrobností výstrahy a zjistit, které akce už byly podniknuty, a přečíst si popis upozornění pro doporučené akce.

Podokno podrobností se zvýrazněnými částmi popis upozornění a automatickým šetřením

Další informace dostupné v podokně podrobností při otevření výstrahy zahrnují techniky MITRE, zdroj a další kontextové podrobnosti.

Poznámka

Pokud se zobrazí stav upozornění typu Nepodporovaný , znamená to, že funkce automatizovaného vyšetřování nemůžou tuto výstrahu vyzvednout, aby spustily automatizované šetření. Tyto výstrahy ale můžete prozkoumat ručně.

Kontrola ovlivněných prostředků

Výběrem zařízení nebo uživatelské karty v částech ovlivněných prostředků se přepne na podrobnosti o zařízení nebo uživateli v podokně podrobností.

  • U zařízení se v podokně podrobností zobrazí informace o samotném zařízení, jako je doména, operační systém a IP adresa. K dispozici jsou také aktivní výstrahy a přihlášení uživatelé na daném zařízení. Můžete provést okamžitou akci tím, že zařízení izolujete, omezíte spouštění aplikací nebo spustíte antivirovou kontrolu. Případně můžete shromáždit balíček pro šetření, zahájit automatizované šetření nebo přejít na stránku zařízení a prozkoumat ho z pohledu zařízení.

    Podokno podrobností při výběru zařízení

  • U uživatelů se v podokně podrobností zobrazí podrobné informace o uživateli, jako je jméno SAM a IDENTIFIKÁTOR SID uživatele, a také typy přihlášení prováděné tímto uživatelem a všechny související výstrahy a incidenty. Můžete vybrat Otevřít stránku uživatele a pokračovat ve vyšetřování z pohledu daného uživatele.

    Podokno podrobností při výběru uživatele

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.