Få vist og organiser Microsoft Defender for Endpoint i køen vigtige beskeder

Gælder for:

Vil du opleve Defender til Slutpunkt? Tilmeld dig for at få en gratis prøveversion.

Køen Vigtige beskeder viser en liste over beskeder, der er markeret med flag fra enheder i dit netværk. Som standard viser køen beskeder, der er set i de seneste 30 dage i en grupperet visning. De nyeste beskeder vises øverst på listen, hvilket hjælper dig med at få vist de nyeste beskeder først.

Bemærk

Beskederne reduceres markant med automatiseret undersøgelse og afhjælpning, så sikkerhedseksperter kan fokusere på mere avancerede trusler og andre initiativer med høj værdi. Når en besked indeholder en understøttet enhed til automatisk undersøgelse (f.eks. en fil) på en enhed, der har et understøttet operativsystem til det, kan en automatisk undersøgelse og afhjælpning starte. Få mere at vide om automatiserede undersøgelser under Oversigt over automatiserede undersøgelser.

Der er flere muligheder, du kan vælge mellem for at tilpasse visningen af vigtige beskeder.

På den øverste navigationslinje kan du:

  • Tilpasse kolonner for at tilføje eller fjerne kolonner
  • Anvend filtre
  • Få vist beskederne for en bestemt varighed, f.eks. 1 dag, 3 dage, 1 uge, 30 dage og 6 måneder
  • Eksportér listen med vigtige beskeder til Excel
  • Administrer beskeder

Siden med køen Beskeder

Sorterings- og filtreringsbeskeder

Du kan anvende følgende filtre til at begrænse listen over beskeder og få en mere fokuseret visning af beskederne.

Alvorsgrad

Besked om alvorsgrad Beskrivelse
Høj
(Rød)
Beskeder, der ofte ses i forbindelse med avancerede permanente trusler (APT). Disse beskeder angiver en høj risiko på grund af den alvorlige skade, de kan påtige på enheder. Nogle eksempler er: aktiviteter med værktøj til tyveri af legitimationsoplysninger, ransomware-aktiviteter, der ikke er knyttet til en gruppe, ændring af sikkerhedssensorer eller ondsindede aktiviteter, der spredes af en menneskelig adversær.
Mellem
(Orange)
Beskeder fra slutpunktsregistrering og -svar, der kan være en del af en avanceret vedvarende trussel (APT) efter brud. Disse funktionsmåder omfatter observerede funktionsmåder, der er typiske for angrebsfaser, unormale ændringer i registreringsdatabasen, udførelse af mistænkelige filer osv. Selvom nogle kan være en del af den interne sikkerhedstest, kræver det undersøgelse, da det kan også være en del af et avanceret angreb.
Lav
(Gul)
Beskeder om trusler, der er knyttet til meget almindeligt malware. Eksempelvis hackværktøjer, ikke-malware-hackede værktøjer, f.eks. kørsel af undersøgelseskommandoer, rydning af logfiler osv., der ofte ikke indikerer en avanceret trusselsmålretning mod organisationen. Det kan også komme fra en isoleret sikkerhedsværktøjstest af en bruger i organisationen.
Information
(Grå)
Beskeder, der muligvis ikke anses for at være skadelige for netværket, men som kan skabe opmærksomhed omkring organisationens sikkerhed vedrørende potentielle sikkerhedsproblemer.

Forstå alvorsgrad for beskeder

Microsoft Defender Antivirus (Microsoft Defender AV) og Defender for endpoint-beskedens alvorlighed er anderledes, fordi de repræsenterer forskellige områder.

Trusselens Microsoft Defender Antivirus repræsenterer den absolutte alvorlighed af den registrerede trussel (malware) og tildeles baseret på den potentielle risiko for den enkelte enhed, hvis den er inficeret.

Alvoren af Defender for Endpoint-beskeden repræsenterer alvoren af den registrerede funktionsmåde, den faktiske risiko for enheden, men mere vigtigt den potentielle risiko for organisationen.

Det kunne f.eks. være:

  • Alvoren af en Defender for Endpoint-advarsel om en Microsoft Defender Antivirus registreret trussel, der blev forhindret og ikke inficerede enheden, kategoriseres som "Informational", fordi der ikke var nogen egentlig skade.
  • Der blev registreret en besked om kommerciel malware under udførelse, men blokeret og afhjælpes af Microsoft Defender AV, kategoriseres som "Lav", fordi det kan have beskadiget den enkelte enhed, men udgør ingen organisatoriske trusler.
  • En advarsel om malware registreret under udførelse, som kan udgøre en trussel ikke kun for den enkelte enhed, men for organisationen, uanset om den blev blokeret med tiden, kan rangeres som "Mellem" eller "Høj".
  • Mistænkelige adfærdsmæssige beskeder, som ikke blev blokeret eller afhjulpet, bliver rangeret som "Lav", "Mellem" eller "Høj" efter de samme overvejelser om organisatoriske trusler.

Status

Du kan vælge at filtrere listen over beskeder ud fra deres Status.

Kategorier

Vi har omdefineret kategorierne for påmindelser, så de passer til virksomhedsangrebenes taktikker i MITRE ATT&CK-matrixen. Nye kategorinavne gælder for alle nye beskeder. Eksisterende beskeder beholder de forrige kategorinavne.

Tjenestekilder

Microsoft-trusselseksperter-eksempeldeltagerne kan nu filtrere og se registreringer fra den nye trusselseksperter-administrerede jagttjeneste.

Filtrer beskederne baseret på følgende tjenestekilder:

  • Microsoft Defender for Identity
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Endpoint
  • Microsoft 365 Defender
  • Microsoft Defender for Office 365
  • Appstyring
  • AAD-identitetsbeskyttelse

Bemærk

Antivirusfilteret vises kun, hvis enheder Microsoft Defender Antivirus som standard antimalwareprodukt til beskyttelse i realtid.

Mærker

Du kan filtrere beskederne baseret på Mærker, der er tildelt vigtige beskeder.

Politik

Du kan filtrere beskederne ud fra følgende politikker:

Registreringskilde API-værdi
Tredjepartssensorer ThirdPartySensors
Antivirus WindowsDefenderAv
Automatiseret undersøgelse Automatiseretinvestering
Brugerdefineret registrering CustomDetection
Brugerdefineret TI CustomerTI
Slutpunktsregistrering og -svar WindowsDefenderAtp
Microsoft 365 Defender MTP
Microsoft Defender for Office 365 OfficeATP
Microsoft-trusselseksperter ThreatExperts
SmartScreen WindowsDefenderSmartScreen

Enheder

Du kan filtrere beskederne baseret på Enhedsnavn eller -id.

Automatiseret undersøgelsestilstand

Du kan vælge at filtrere beskederne baseret på deres automatiske undersøgelsestilstand.