Kontrola upozornění v Microsoft Defender for Endpoint

Platí pro:

Chcete si prožít Defender pro koncový bod? Zaregistrujte si bezplatnou zkušební verzi.

Stránka s upozorněním v Microsoft Defender for Endpoint poskytuje úplný kontext upozornění tím, že kombinuje signály útoku a upozornění související s vybraným upozorněním a vytvoří podrobný popis upozornění.

Můžete rychle zjistit, prozkoumat a provést účinná opatření u upozornění, která mají vliv na vaši organizaci. Pochopte, proč se aktivoval, a jejich dopad z jednoho místa. Další informace najdete v tomto přehledu.

Začínáme s upozorněním

Když v Defenderu pro koncový bod vyberete název upozornění, zobrazíte se na jeho stránce s upozorněním. Na stránce s upozorněním se všechny informace zobrazí v kontextu vybraného upozornění. Každá stránka upozornění se skládá ze 4 oddílů:

  1. Název upozornění zobrazuje název upozornění a je tam, aby vám připomněl, které upozornění zahájilo vaše aktuální vyšetřování bez ohledu na to, co jste vybrali na stránce.
  2. Ovlivněné prostředky uvádí karty zařízení a uživatelů, kterých se toto upozornění týká, na které můžete kliknout a získat další informace a akce.
  3. V článku upozornění se zobrazí všechny entity související s upozorněním propojené stromem. Upozornění v názvu bude fokus, když poprvé přistanete na stránce vybraného upozornění. Entity v článku upozornění se rozšiřují a rozšiřují kliknutím a poskytují další informace a urychlují odezvu tím, že umožňují provádět akce přímo v kontextu stránky s upozorněním. Pomocí článku s upozorněním můžete zahájit vyšetřování. Přečtěte si, jak se dozvíte v tématu Prošetřovat upozornění v Microsoft Defender for Endpoint.
  4. V podokně podrobností se nejdřív zobrazí podrobnosti vybraného upozornění s podrobnostmi a akcemi souvisejícími s tímto upozorněním. Pokud v článku upozornění vyberete některý z ovlivněných prostředků nebo entit, změní se podokno podrobností tak, aby pro vybraný objekt poskytovalo kontextové informace a akce.

Poznamenejte si stav zjišťování upozornění.

  • Zabráněna: Pokusu o podezřelou akci se předešlo. Soubor se třeba nenapsal na disk ani se nespouštěl.

    Stránka s prevencí hrozby

  • Blokované: Podezřelé chování bylo spuštěno a zablokováno. Například proces byl proveden, ale protože následně vykazoval podezřelé chování, proces byl ukončen.

    Stránka zobrazující zablokování hrozby

  • Zjištěno: Útok byl zjištěn a je pravděpodobně stále aktivní.

    Stránka s detekcí hrozby

Potom můžete také zkontrolovat podrobnosti o automatizovaném vyšetřování v podokně podrobností upozornění a zjistit, které akce už byly provedeny, a také si přečíst popis upozornění pro doporučené akce.

Podokno podrobností se zvýrazněnou popisem výstrahy a oddíly automatického vyšetřování

Další informace, které jsou k dispozici v podokně podrobností při otevření upozornění, zahrnují techniky, zdroje a další kontextové podrobnosti.

Kontrola ovlivněných prostředků

Výběrem zařízení nebo uživatelské karty v oddílech ohrožených prostředků se v podokně podrobností přepne na podrobnosti zařízení nebo uživatele.

  • U zařízení se v podokně podrobností zobrazí informace o samotném zařízení, jako je doména, operační systém a IP adresa. K dispozici jsou taky aktivní upozornění a přihlášení uživatelé na tomto zařízení. Okamžitě můžete provést izolování zařízení, omezení spuštění aplikace nebo spuštění antivirové kontroly. Můžete také shromáždit balíček pro vyšetřování, zahájit automatizované vyšetřování nebo přejít na stránku zařízení a prozkoumat ho z hlediska zařízení.

    Podokno podrobností, když je vybrané zařízení

  • Pro uživatele se v podokně podrobností zobrazí podrobné informace o uživatelích, jako je uživatelské jméno SAM a SID, a také typy přihlášení prováděné tímto uživatelem a všechny výstrahy a incidenty, které s ním souvisejí. Pokud chcete pokračovat ve vyšetřování z hlediska tohoto uživatele, můžete vybrat možnost Otevřít stránku uživatele.

    Podokno podrobností, když je vybraný uživatel