Administrer Microsoft Defender for Endpoint beskeder

  • Artikel

Gælder for:

Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.

Defender for Endpoint giver dig besked om mulige skadelige hændelser, attributter og kontekstafhængige oplysninger via beskeder. Der vises en oversigt over nye beskeder, og du kan få adgang til alle beskeder i køen Beskeder.

Du kan administrere beskeder ved at vælge en besked i køen Beskeder eller fanen Beskeder på siden Enhed for en enkelt enhed.

Når du vælger en besked et af disse steder, vises ruden Administration af beskeder.

Ruden Administration af beskeder og køen Beskeder

Se denne video for at få mere at vide om, hvordan du bruger den nye beskedside Microsoft Defender for Endpoint.

Du kan oprette en ny hændelse fra beskeden eller linket til en eksisterende hændelse.

Tildel beskeder

Hvis der endnu ikke er tildelt en besked, kan du vælge Tildel til mig for at tildele beskeden til dig selv.

Skjul beskeder

Der kan være scenarier, hvor du skal undertrykke beskeder fra at blive vist i Microsoft Defender XDR. Med Defender for Endpoint kan du oprette undertrykkelsesregler for bestemte beskeder, der er kendt for at være uskadelige, f.eks. kendte værktøjer eller processer i din organisation.

Der kan oprettes undertrykkelsesregler ud fra en eksisterende besked. De kan deaktiveres og genaktiveres, hvis det er nødvendigt.

Når der oprettes en regel for undertrykkelse, træder den i kraft fra det tidspunkt, hvor reglen oprettes. Reglen påvirker ikke eksisterende beskeder, der allerede er i køen, før reglen oprettes. Reglen anvendes kun på beskeder, der opfylder de betingelser, der er angivet, når reglen er oprettet.

Der er to kontekster for en undertrykkelsesregel, som du kan vælge mellem:

  • Skjul besked på denne enhed
  • Skjul vigtig besked i min organisation

Konteksten for reglen giver dig mulighed for at skræddersy det, der vises på portalen, og sikre, at der kun vises reelle sikkerhedsbeskeder i portalen.

Du kan bruge eksemplerne i følgende tabel som en hjælp til at vælge konteksten for en regel for undertrykkelse:

Forbindelse Definition Eksempelscenarier
Skjul besked på denne enhed Beskeder med samme beskedtitel og kun på den specifikke enhed undertrykkes.

Alle andre beskeder på denne enhed undertrykkes ikke.
  • En sikkerhedsforsker undersøger et skadeligt script, der er blevet brugt til at angribe andre enheder i din organisation.
  • En udvikler opretter jævnligt PowerShell-scripts til deres team.
Skjul vigtig besked i min organisation Beskeder med samme beskedtitel på en hvilken som helst enhed vil blive undertrykt.
  • Et godartet administrativt værktøj bruges af alle i din organisation.

Skjul en besked, og opret en ny regel for undertrykkelse

Create brugerdefinerede regler til at styre, hvornår beskeder undertrykkes eller løses. Du kan styre konteksten for, hvornår en besked undertrykkes, ved at angive beskedens titel, indikator for kompromis og betingelserne. Når du har angivet konteksten, kan du konfigurere handlingen og omfanget for beskeden.

  1. Vælg den besked, du vil undertrykke. Derved vises ruden Administration af beskeder .

  2. Vælg Create en regel for undertrykkelse.

    Du kan oprette en undertrykkelsesbetingelse ved hjælp af disse attributter. Der anvendes en AND-operator mellem hver betingelse, så undertrykkelse finder kun sted, hvis alle betingelser er opfyldt.

    • Fil-SHA1
    • Filnavn – jokertegn understøttes
    • Mappesti - jokertegn understøttes
    • IP-adresse
    • URL-adresse – jokertegn understøttes
    • Kommandolinje – jokertegn understøttes

  3. Vælg udløser-IOC.

  4. Angiv handlingen og omfanget for beskeden.

    Du kan automatisk løse en besked eller skjule den på portalen. Beskeder, der løses automatisk, vises i sektionen Løst i beskedkøen, beskedsiden og enhedens tidslinje og vises som løst på tværs af Defender for Endpoint-API'er.

    Beskeder, der er markeret som skjulte, undertrykkes fra hele systemet, både på enhedens tilknyttede beskeder og fra dashboardet og streames ikke på tværs af Defender for Endpoint-API'er.

  5. Angiv et regelnavn og en kommentar.

  6. Klik på Gem.

Vis listen over undertrykkelsesregler

  1. Vælg Indstillinger>Slutpunkter>Regler>Advarselsundertrykkelse i navigationsruden.

  2. Listen over undertrykkelsesregler viser alle de regler, som brugerne i din organisation har oprettet.

Du kan få flere oplysninger om administration af undertrykkelsesregler under Administrer undertrykkelsesregler

Skift status for en besked

Du kan kategorisere beskeder (som Ny, Igangværende eller Løst) ved at ændre deres status, efterhånden som undersøgelsen skrider frem. Dette hjælper dig med at organisere og administrere, hvordan dit team kan reagere på beskeder.

En teamleder kan f.eks. gennemse alle nye beskeder og beslutte at tildele dem til køen I gang for yderligere analyse.

Alternativt kan teamlederen tildele beskeden til køen Løst , hvis vedkommende ved, at beskeden er godartet, der kommer fra en enhed, der er irrelevant (f.eks. en, der tilhører en sikkerhedsadministrator), eller behandles via en tidligere besked.

Beskedklassificering

Du kan vælge ikke at angive en klassificering eller angive, om en besked er en sand besked eller en falsk besked. Det er vigtigt at angive klassificeringen af sand positiv/falsk positiv. Denne klassificering bruges til at overvåge beskedkvaliteten og gøre beskeder mere nøjagtige. Feltet "bestemmelse" definerer yderligere pålidelighed for en "sand positiv" klassificering.

Trinnene til klassificering af beskeder er inkluderet i denne video:

Tilføj kommentarer, og få vist historikken for en besked

Du kan tilføje kommentarer og få vist historiske hændelser om en besked for at se tidligere ændringer af beskeden.

Når der foretages en ændring eller kommentar til en besked, registreres den i afsnittet Kommentarer og historik .

Tilføjede kommentarer vises straks i ruden.

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.