Kontrola upozornění v Microsoft Defender for Endpoint

Platí pro:

Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Stránka upozornění v Microsoft Defender for Endpoint poskytuje úplný kontext výstrahy tím, že kombinuje signály útoku a výstrahy související s vybranou výstrahou a vytváří podrobný příběh upozornění.

Rychle proveďte třídění, prošetření a provedení efektivních akcí u výstrah, které mají vliv na vaši organizaci. Zjistěte, proč se aktivovaly, a jejich dopad z jednoho místa. Další informace najdete v tomto přehledu.

Začínáme s upozorněním

Když v Defenderu pro koncový bod vyberete název upozornění, dostanete se na stránku upozornění. Na stránce upozornění se všechny informace zobrazí v kontextu vybrané výstrahy. Každá stránka upozornění se skládá ze 4 částí:

  1. Název upozornění zobrazuje název výstrahy a má vám připomenout, které upozornění zahájilo vaše aktuální šetření bez ohledu na to, co jste na stránce vybrali.
  2. Ovlivněné prostředky vypíšou karty zařízení a uživatelů ovlivněných touto výstrahou, na které můžete kliknout, abyste získali další informace a akce.
  3. V příběhu výstrahy se zobrazí všechny entity související s výstrahou propojené stromem. Upozornění v názvu bude fokus, když poprvé přejdete na stránku vybraného upozornění. Entity ve výstraze jsou rozšiřitelné a lze na ně kliknout, aby bylo možné poskytnout další informace a urychlit odpověď tím, že umožňují provádět akce přímo v kontextu stránky upozornění. K zahájení vyšetřování použijte text upozornění. Přečtěte si, jak v Microsoft Defender for Endpoint prošetřovat výstrahy.
  4. V podokně podrobností se nejprve zobrazí podrobnosti o vybrané výstraze s podrobnostmi a akcemi souvisejícími s touto výstrahou. Pokud vyberete některý z ovlivněných prostředků nebo entit ve výstraze, podokno podrobností se změní tak, aby poskytovalo kontextové informace a akce pro vybraný objekt.

Poznamenejte si stav detekce upozornění.

  • Znemožněno: Pokusům o podezřelou akci se zabránilo. Soubor se například nezapisoval na disk nebo spustil.

    Stránka znázorňující prevenci hrozby

  • Blokováno: Podezřelé chování se spustilo a pak se zablokovalo. Například byl proveden proces, ale protože následně vykazoval podezřelé chování, proces byl ukončen.

    Stránka znázorňující zablokování hrozby

  • Zjištěno: Byl zjištěn útok a pravděpodobně je stále aktivní.

    Stránka znázorňující detekci hrozby

Pak můžete také zkontrolovat podrobnosti automatizovaného šetření v podokně podrobností výstrahy, zjistit, které akce již byly provedeny, a také si přečíst popis upozornění pro doporučené akce.

Podokno podrobností se zvýrazněným popisem upozornění a oddíly automatického šetření

Další informace, které jsou k dispozici v podokně podrobností při otevření výstrahy, zahrnují techniky MITRE, zdroj a další kontextové podrobnosti.

Poznámka

Pokud se zobrazí stav upozornění na nepodporovaný typ výstrahy , znamená to, že funkce automatizovaného šetření nemohou toto upozornění vyzvednout a spustit automatizované šetření. Tato upozornění ale můžete prozkoumat ručně.

Kontrola ovlivněných prostředků

Výběrem zařízení nebo uživatelské karty v částech ovlivněných prostředků se v podokně podrobností přepnete na podrobnosti o zařízení nebo uživateli.

  • U zařízení se v podokně podrobností zobrazí informace o samotném zařízení, jako je doména, operační systém a IP adresa. K dispozici jsou také aktivní výstrahy a přihlášení uživatelé na daném zařízení. Můžete provést okamžitou akci izolováním zařízení, omezením spouštění aplikace nebo spuštěním antivirové kontroly. Případně můžete shromáždit balíček pro šetření, zahájit automatizované šetření nebo přejít na stránku zařízení a prošetřit ho z hlediska zařízení.

    Podokno podrobností při výběru zařízení

  • V podokně podrobností se uživatelům zobrazí podrobné informace o uživateli, jako je jméno UŽIVATELE a identifikátor SID, a typy přihlášení prováděné tímto uživatelem a všechny výstrahy a incidenty, které s ním souvisejí. Výběrem možnosti Otevřít stránku uživatele můžete pokračovat v šetření z pohledu daného uživatele.

    Podokno podrobností při výběru uživatele