Microsoft Defender XDR ilmoitusten tutkiminen
Huomautus
Haluatko kokea Microsoft Defender XDR:n? Lue lisätietoja siitä, miten voit arvioida Microsoft Defender XDR:n ja osallistua sen pilottikokeiluun.
Koskee seuraavia:
- Microsoft Defender XDR
Huomautus
Tässä artikkelissa kuvataan Microsoft Defender XDR suojausilmoitukset. Toimintoilmoitusten avulla voit kuitenkin lähettää sähköposti-ilmoituksia itsellesi tai muille järjestelmänvalvojille, kun käyttäjät suorittavat tiettyjä toimintoja Microsoft 365:ssä. Lisätietoja on artikkelissa Toimintailmoitusten luominen – Microsoft Purview | Microsoft Docs.
Hälytykset ovat kaikkien tapausten perusta ja ilmaisevat vahingollisten tai epäilyttävien tapahtumien esiintymisen ympäristössäsi. Hälytykset ovat tyypillisesti osa laajempaa hyökkäystä ja antavat vihjeitä tapahtumasta.
Microsoft Defender XDR liittyvät hälytykset koostetaan yhteen tapausten muodostamiseksi. Tapaukset tarjoavat aina hyökkäyksen laajemman kontekstin, mutta hälytysten analysointi voi olla arvokasta, kun tarvitaan syvempää analyysia.
Ilmoitukset-jonossa näkyy nykyinen ilmoitusjoukko. Pääset ilmoitusjonoon Kohdasta Tapaukset & hälytykset >Microsoft Defender portaalin pikakäynnistyksessä.
Tässä näkyvät ilmoitukset eri Microsoftin suojausratkaisuista, kuten Microsoft Defender for Endpoint, Microsoft Defender for Office 365 ja Microsoft Defender XDR.
oletusarvoisesti Microsoft Defender portaalin ilmoitusjonossa näkyvät uudet ja keskeneräiset ilmoitukset viimeisten 30 päivän ajalta. Uusin ilmoitus on luettelon yläosassa, joten näet sen ensimmäisenä.
Oletusilmoitusjonosta voit valita Suodata , jolloin näkyviin tulee Suodatin-ruutu , josta voit määrittää ilmoitusten alijoukon. Tässä on esimerkki.
Voit suodattaa hälytyksiä näiden ehtojen mukaisesti:
- Vakavuus
- Tila
- Palvelulähteet
- Entiteetit (kohderesurssit)
- Automaattisen tutkinnan tila
Defender for Office 365 ilmoitusten pakolliset roolit
Sinulla on oltava jokin seuraavista rooleista, jotta voit käyttää Microsoft Defender for Office 365 ilmoituksia:
Microsoft Entra yleiset roolit:
- Yleinen järjestelmänvalvoja
- Suojauksen järjestelmänvalvoja
- Suojausoperaattori
- Yleinen lukija
- Suojauksen lukija
Office 365 & yhteensopivuuden rooliryhmät
- Yhteensopivuuden järjestelmänvalvoja
- Organisaation hallinta
Analysoi ilmoitus
Jos haluat nähdä päähälytyssivun, valitse ilmoituksen nimi. Tässä on esimerkki.
Voit myös valita Avaa päähälytyssivu -toiminnon Ilmoitusten hallinta -ruudusta.
Ilmoitussivu koostuu seuraavista osista:
- Ilmoitustarina, joka on tähän ilmoitukseen liittyvä tapahtumaketju ja hälytykset aikajärjestyksessä
- Yhteenvedon tiedot
Ilmoitussivulla näet käytettävissä olevat toiminnot, kuten ilmoituksen linkittämisen toiseen tapahtumaan, valitsemalla minkä tahansa entiteetin vierestä kolme pistettä (...). Käytettävissä olevien toimintojen luettelo riippuu ilmoituksen tyypistä.
Ilmoituslähteet
Microsoft Defender XDR hälytykset voivat olla peräisin ratkaisuista, kuten Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps, sovellusten hallinnan lisäosa Microsoft Defender for Cloud Apps, Microsoft Entra ID -tunnuksien suojaus ja Microsoftin tietojen menetyksen estäminen. Saatat huomata hälytyksiä, joissa on valmiiksi käytettyjä merkkejä ilmoituksessa. Seuraavassa taulukossa on ohjeita, joiden avulla voit ymmärtää ilmoituslähteiden yhdistämismäärityksen hälytyksen käytetyn merkin perusteella.
Huomautus
- Käytetyt GUID-tunnukset koskevat vain yhtenäisiä käyttökokemuksia, kuten yhtenäistä ilmoitusjonoa, yhtenäistä hälytyssivua, yhdistettyä tutkintaa ja yhdistettyä tapausta.
- Käytetty merkki ei muuta ilmoituksen GUID-tunnusta. Ainoa GUID-tunnuksen muutos on käytetty valmiiksi käytetty osa.
Ilmoituksen lähde | Käytetty merkki |
---|---|
Microsoft Defender XDR | ra ta lle ThreatExpertsea for DetectionSource = DetectionSource.CustomDetection |
Microsoft Defender for Office 365 | fa{GUID} Esimerkki fa123a456b-c789-1d2e-12f1g33h445h6i |
Microsoft Defender for Endpoint | da tai ed mukautetun tunnistuksen hälytyksiä varten |
Microsoft Defender for Identity | aa{GUID} Esimerkki aa123a456b-c789-1d2e-12f1g33h445h6i |
Microsoft Defender for Cloud Apps | ca{GUID} Esimerkki ca123a456b-c789-1d2e-12f1g33h445h6i |
Microsoft Entra ID -tunnuksien suojaus | ad |
Sovellusten hallinta | ma |
Microsoftin tietojen menetyksen estäminen | dl |
määritä Microsoft Entra IP-ilmoituspalvelu
Siirry Microsoft Defender portaaliin (security.microsoft.com), valitse Asetukset>Microsoft Defender XDR.
Valitse luettelosta Ilmoituspalvelun asetukset ja määritä sitten Microsoft Entra ID -tunnuksien suojaus ilmoituspalvelu.
Oletusarvoisesti vain tietoturvakeskuksen tärkeimmät hälytykset ovat käytössä. Jos haluat saada kaikki Microsoft Entra IP-riskintunnistuksia, voit muuttaa sitä Ilmoituspalvelun asetukset -osiossa.
Voit käyttää ilmoituspalvelun asetuksia myös suoraan Microsoft Defender portaalin Tapahtumat-sivulta.
Tärkeää
Jotkin tiedot liittyvät tuotteen ennakkoon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna nimenomaisia eikä oletettuja takuita tässä annetuista tiedoista.
Analysoi resurssit, joihin ongelma vaikuttaa
Toteutetut toiminnot -osassa on luettelo resursseista, joihin tämä ilmoitus vaikuttaa, kuten postilaatikoista, laitteista ja käyttäjistä, joihin tämä ilmoitus vaikuttaa.
Voit myös valita Näytä toimintokeskuksessa, jos haluat tarkastella muutoskeskuksen Historia-välilehteä Microsoft Defender portaalissa.
Hälytyksen roolin jäljittäminen ilmoitusjutussa
Ilmoitusjuttu näyttää kaikki ilmoitukseen liittyvät resurssit tai entiteetit prosessipuunäkymässä. Otsikossa oleva ilmoitus on se, joka on kohdistettu, kun siirryt ensimmäisen kerran valitun ilmoituksen sivulle. Ilmoitusjutun resurssit ovat laajennettavissa ja napsautettavissa. Ne antavat lisätietoja ja nopeuttavat vastaustasi sallimalla toimien toteuttamisen suoraan ilmoitussivun kontekstissa.
Huomautus
Ilmoituksen juttu -osiossa voi olla useita ilmoituksia, ja samaan suorituspuuhun liittyvät lisäilmoitukset näkyvät ennen valitsemaasi ilmoitusta tai sen jälkeen.
Näytä lisätietoja tietosivulla
Tietosivulla näkyvät valitun ilmoituksen tiedot sekä siihen liittyvät tiedot ja toiminnot. Jos valitset ilmoitusjutussa jonkin asianomaisista resursseista tai entiteeteistä, tietosivu muuttuu tarjoamaan tilannekohtaisia tietoja ja toimintoja valitulle objektille.
Kun olet valinnut kiinnostavan entiteetin, tietosivu muuttuu näyttämään tietoja valitusta entiteettityypistä, historiatietoja, kun ne ovat käytettävissä, sekä vaihtoehtoja tämän entiteetin toimintojen suorittamiseen suoraan ilmoitussivulta.
Hallitse ilmoituksia
Jos haluat hallita ilmoitusta, valitse Ilmoitussivun yhteenvetotietojen osiosta Hallitse ilmoitusta . Jos kyseessä on yksittäinen ilmoitus, tässä on esimerkki Ilmoitusten hallinta -ruudusta.
Ilmoitusten hallinta -ruudun avulla voit tarkastella tai määrittää:
- Ilmoituksen tila (Uusi, Ratkaistu, Käynnissä).
- Käyttäjätili, jolle ilmoitus on määritetty.
- Hälytyksen luokitus:
- Ei asetettu (oletus).
- Tosi positiivinen ja uhkatyyppi. Käytä tätä luokitusta ilmoituksille, jotka ilmoittavat tarkasti todellisesta uhasta. Tämän uhkatyypin määrittäminen hälyttää tietoturvatiimisi näkemään uhkamalleja ja toimimaan organisaatiosi puolustamiseksi heiltä.
- Tietoinen, odotettu toiminto , jolla on aktiviteettityyppi. Käytä tätä vaihtoehtoa ilmoituksille, jotka ovat teknisesti tarkkoja mutta edustavat normaalia toimintaa tai simuloitua uhkatoimintaa. Haluat yleensä jättää nämä hälytykset huomiotta, mutta odotat niiden vastaavanlaisia toimia tulevaisuudessa, kun todelliset hyökkääjät tai haittaohjelmat käynnistävät toiminnot. Tämän luokan vaihtoehtojen avulla voit luokitella suojaustestejä, punaisen tiimin toimintaa ja luotettavien sovellusten ja käyttäjien odotettua epätavallista toimintaa varten.
- False-positiivinen ilmoitustyypeistä, jotka luotiin silloinkin, kun haitallisia toimia ei ole, tai väärästä hälytyksestä. Tämän luokan asetusten avulla voit luokitella hälytykset, jotka on virheellisesti tunnistettu normaaleiksi tapahtumiksi tai toiminnaksi haitallisiksi tai epäilyttäviksi. Toisin kuin ilmoitukset "Informaalista, odotetusta toiminnasta", josta voi olla hyötyä myös todellisten uhkien varalta, et yleensä halua nähdä näitä ilmoituksia uudelleen. Ilmoitusten luokitteleminen epätosi-positiiviseksi auttaa Microsoft Defender XDR parantamaan sen tunnistuksen laatua.
- Kommentti ilmoituksesta.
Huomautus
Noin 29. elokuuta 2022 aiemmin tuetut hälytysten määritysarvot (Apt ja SecurityPersonnel) poistetaan käytöstä, eivätkä ne ole enää käytettävissä ohjelmointirajapinnan kautta.
Huomautus
Yksi tapa hallita ilmoituksia tunnisteiden avulla. Microsoft Defender for Office 365 merkintäominaisuus otetaan asteittain käyttöön, ja se on tällä hetkellä esikatselussa.
Tällä hetkellä muokattuja tunnisteiden nimiä käytetään vain hälytyksiin, jotka on luotu päivityksen jälkeen . Ilmoitukset, jotka luotiin ennen muutosta, eivät vastaa päivitettyä tunnisteen nimeä.
Jos haluat hallita tiettyä ilmoitusta muistuttavien ilmoitusten joukkoa, valitse Näytä samanlaiset hälytyksetINSIGHT-ruudussa ilmoitussivun yhteenvetotietojen osiossa.
Ilmoitusten hallinta -ruudussa voit sitten luokitella kaikki liittyvät ilmoitukset samanaikaisesti. Tässä on esimerkki.
Jos vastaavat hälytykset on jo luokiteltu aiemmin, voit säästää aikaa käyttämällä Microsoft Defender XDR suosituksia, jotta saat lisätietoja siitä, miten muut hälytykset on ratkaistu. Valitse yhteenvetotiedot-osiosta Suositukset.
Suositukset-välilehti tarjoaa seuraavan vaiheen toimintoja ja neuvoja tutkintaa, korjauksia ja ehkäisyä varten. Tässä on esimerkki.
Ilmoituksen hienosäätäminen
Suojaustoimintokeskuksen analyytikkona yksi tärkeimmistä ongelmista on päivittäin käynnistyvien hälytysten määrän lajitteleminen. Analyytikon aika on arvokasta, ja hän haluaa keskittyä vain korkeaan vakavuustilaan ja tärkeisiin hälytyksiin. Samaan aikaan analyytikoita vaaditaan myös vähättelemään ja ratkaisemaan alemman prioriteetin hälytyksiä, mikä on yleensä manuaalinen prosessi.
Ilmoitusten säätö mahdollistaa ilmoitusten virittämisen ja hallinnan etukäteen. Tämä tehostaa ilmoitusjonoa ja säästää aikaväliä piilottamalla tai ratkaisemalla hälytyksiä automaattisesti aina, kun tietty odotettu organisaation toiminta ilmenee ja sääntöehdot täyttyvät.
Voit luoda sääntöehtoja, jotka perustuvat todistetyyppeihin, kuten tiedostoihin, prosesseihin, ajoitettuihin tehtäviin ja moniin muihin ilmoitusten käynnistämiin todistetyyppeihin. Kun olet luonut säännön, voit käyttää sääntöä valitussa hälytyksessä tai missä tahansa ilmoitustyypissä, joka täyttää sääntöehdot ilmoituksen hienosäätämiseksi.
Lisäksi ominaisuus kattaa myös hälytykset, jotka ovat peräisin eri Microsoft Defender XDR palvelulähteistä. Julkisen esikatselun ilmoitusten säätöominaisuus on ilmoitusten saaminen kuormituksista, kuten Defender for Endpoint, Defender for Office 365, Defender for Identity, Defender for Cloud Apps Microsoft Entra ID -tunnuksien suojaus (Microsoft Entra IP) ja muita, jos nämä lähteet ovat saatavilla käyttöympäristössäsi ja suunnitelmassasi. Aiemmin ilmoituksen viritystoiminto tallensi vain Defender for Endpoint -kuormituksen hälytyksiä.
Huomautus
Suosittelemme, että käytät hälytysten säätöä, jota aiemmin kutsutaan ilmoitusten estämiseksi, varoen. Joissakin tilanteissa tunnettu sisäinen yrityssovellus tai suojaustestit käynnistävät odotetun toiminnan, etkä halua nähdä näitä ilmoituksia. Voit siis luoda säännön näiden ilmoitustyyppien hienosäätämiseksi.
Luo sääntöehdot ilmoitusten hienosäätämiseksi
Ilmoituksen voi hienosäätää Microsoft Defender XDR kahdella tavalla. Voit hienosäätää ilmoitusta Asetukset-sivulta seuraavasti:
Valitse Asetukset. Valitse vasemmassa ruudussa Säännöt ja valitse Ilmoituksen säätäminen.
Voit hienosäätää uutta ilmoitusta valitsemalla Lisää uusi sääntö . Voit myös muokata aiemmin luotua sääntöä tässä näkymässä valitsemalla säännön luettelosta.
Voit valita Viritä ilmoitus -ruudussa palvelulähteet, joissa sääntöä sovelletaan Palvelulähteet-kohdan avattavasta valikosta.
Huomautus
Näytetään vain palvelut, joihin käyttäjällä on käyttöoikeus.
Lisää IOC-osassa ilmoitus käynnistävien kompromissien ilmaisimia (IOC). Voit lisätä ehdon, joka pysäyttää ilmoituksen, kun tietty KOK käynnistää sen, tai minkä tahansa hälytykseen lisätyn KOK:n käynnistämänä.
IOC:t ovat ilmaisimia, kuten tiedostoja, prosesseja, ajoitettuja tehtäviä ja muita näyttötyyppejä, jotka käynnistävät ilmoituksen.
Jos haluat määrittää useita säännön ehtoja, käytä AND-, OR- ja ryhmittelyasetuksia luodaksesi suhteen näiden ilmoituksen aiheuttavien useiden "todistetyyppien" välille.
- Valitse esimerkiksi käynnistävä todiste Entiteetin rooli: Käynnistin, yhtä suuri kuin ja mikä tahansa , jos haluat pysäyttää ilmoituksen, kun mikä tahansa hälytykseen lisätty KOK käynnistää sen. Kaikki tämän todisteen ominaisuudet täytetään automaattisesti uutena aliryhmänä alla olevissa kentissä.
Huomautus
Ehtoarvoissa kirjainkoko ei ole merkitsevä.
Voit muokata ja/tai poistaa tämän todisteen ominaisuuksia tarpeen mukaan (yleismerkkien avulla, kun sitä tuetaan).
Tiedostojen ja prosessien lisäksi AMSI (AntiMalware Scan Interface) -komentosarja, Windows Management Instrumentation (WMI) -tapahtuma ja ajoitetut tehtävät ovat joitakin äskettäin lisättyjä näyttötyyppejä, jotka voit valita avattavasta näyttötyyppiluettelosta.
Jos haluat lisätä toisen KOK:n, valitse Lisää suodatin.
Huomautus
Minkä tahansa ilmoitustyypin hienosäätäminen edellyttää vähintään yhden KOK:n lisäämistä säännön ehtoon.
Tee Toiminto-osassa haluamasi toiminto joko Piilota ilmoitus tai Ratkaise ilmoitus.
Kirjoita Nimi, Kuvaus ja valitse Tallenna.
Huomautus
Ilmoituksen otsikko (nimi) perustuu ilmoitustyyppiin (IoaDefinitionId), joka päättää ilmoituksen otsikon. Kaksi ilmoitusta, joilla on sama ilmoitustyyppi, voivat muuttua eri ilmoituksen otsikoksi.
Voit hienosäätää ilmoitusta Ilmoitukset-sivulta seuraavasti:
Valitse ilmoitus Ilmoitukset-sivunkohdasta Tapaukset ja hälytykset. Vaihtoehtoisesti voit valita ilmoituksen, kun tarkastelet tapahtuman tietoja Tapaus-sivulla.
Voit hienosäätää ilmoitusta Hälytysruudun virittämisen kautta, joka avautuu automaattisesti ilmoituksen tietosivun oikealle puolelle.
Valitse Ilmoitustyypit-osiosta ehdot, joissa ilmoitusta sovelletaan. Valitse Vain tämä ilmoitustyyppi , jos haluat ottaa säännön käyttöön valitussa hälytyksessä.
Jos haluat kuitenkin käyttää sääntöä missä tahansa sääntöehtoja täyttävän ilmoitustyypin kohdalla, valitse Mikä tahansa IOC-ehtoihin perustuva ilmoitustyyppi.
Laajuus-osan täyttäminen on pakollista, jos ilmoituksen säätö on Defender päätepistekohtaiselle. Valitse, koskeeko sääntö kaikkia organisaation laitteita vai tiettyä laitetta.
Huomautus
Säännön käyttäminen koko organisaatiossa edellyttää järjestelmänvalvojan roolin käyttöoikeutta.
Lisää ehdot Ehdot-osioon , jos haluat pysäyttää ilmoituksen, kun tietty KOK tai mikä tahansa hälytykseen lisätty KOK käynnistää sen. Tässä osiossa voit valita tietyn laitteen, useita laitteita, laiteryhmiä, koko organisaation tai käyttäjän mukaan.
Huomautus
Sinulla on oltava Hallinta käyttöoikeus, kun käyttöalue on määritetty vain käyttäjälle. Hallinta käyttöoikeutta ei tarvita, kun käyttöalue on määritetty käyttäjälle yhdessä Laitteen laiteryhmien kanssa.
Lisää IOC-kutsuja, joissa sääntöä sovelletaan IOC:t-osassa . Voit valita minkä tahansa KOK:n pysäyttääksesi hälytyksen riippumatta siitä, mikä todiste on aiheuttanut hälytyksen.
Vaihtoehtoisesti voit lisätä kaikki ilmoitukseen liittyvät näyttötyypit ja niiden ominaisuudet kerralla Ehdot-osiosta valitsemalla Täytä kaikki ilmoitukset 7:ään liittyvät IOC-kutsut automaattisesti.
Tee Toiminto-osassa haluamasi toiminto joko Piilota ilmoitus tai Ratkaise ilmoitus.
Kirjoita Nimi, Kommentti ja valitse Tallenna.
Estä IOC-tietokoneiden esto tulevaisuudessa:
Kun olet tallentanut ilmoitusten säätösäännön, voit lisätä valitut IOC-kutsut näkyviin tulevalle Onnistunut säännön luonti -sivulle ilmaisimina sallittujen luetteloon ja estää niiden käytön tulevaisuudessa.
Kaikki hälytyksiin liittyvät IOC-kutsut näytetään luettelossa.
Estausehdoissa valitut IOC-kutsut valitaan oletusarvoisesti.
- Voit esimerkiksi lisätä tiedostoja Salli Valinta-todisteisiin (IOC). Ilmoituksen käynnistänyt tiedosto on oletusarvoisesti valittuna.
- Anna vaikutusalue Valitse-käyttöalue, johon käytetään. Liittyvän ilmoituksen oletusalue on valittuna.
- Valitse Tallenna. Nyt tiedostoa ei ole estetty, koska se on sallittujen luettelossa.
Uusi ilmoitusten säätötoiminto on oletusarvoisesti käytettävissä.
Voit kuitenkin palata aiempaan käyttökokemukseen Microsoft Defender portaalissa siirtymällä kohtaan Asetukset > Microsoft Defender XDR > Sääntöilmoitusten > säätö ja poistamalla käytöstä Uusien säätösääntöjen luonti käytössä -valitsin.
Huomautus
Pian vain uusi ilmoitusten säätökokemus on käytettävissä. Et voi palata edelliseen kokemukseen.
Muokkaa aiemmin luotuja sääntöjä:
Voit aina lisätä tai muuttaa säännön ehtoja ja uusien tai aiemmin luotujen sääntöjen vaikutusaluetta Microsoft Defender portaalissa valitsemalla asianmukaisen säännön ja valitsemalla Muokkaa sääntöä.
Jos haluat muokata olemassa olevia sääntöjä, varmista, että Uusien ilmoitusten säätösääntöjen luonti käytössä -valitsin on käytössä.
Ilmoituksen ratkaiseminen
Kun olet analysoinut ilmoituksen ja se voidaan ratkaista, siirry hälytyksen tai samankaltaisten ilmoitusten Hallinta-ilmoitusruutuun ja merkitse tilaksi Ratkaistu ja luokittele se sitten Tosi-positiiviseksi , joka sisältää uhkatyypin, tiedot, odotetun toiminnon , jolla on tietyntyyppinen toiminto, tai Epätosi-positiiviseksi.
Ilmoitusten luokittelu auttaa Microsoft Defender XDR parantamaan sen tunnistuksen laatua.
Ilmoitusten lajitteleminen Power Automaten avulla
Nykyaikaiset tietoturvatiimit tarvitsevat automaatiota toimiakseen tehokkaasti. Keskittyäkseen metsästykseen ja todellisten uhkien tutkimiseen SecOps-tiimit käyttävät Power Automatea selaamaan hälytysluetteloa ja poistamaan ne, jotka eivät ole uhkia.
Ilmoitusten ratkaisuehdot
- Käyttäjä on ottanut poissaoloviestin käyttöön
- Käyttäjää ei ole merkitty suureksi riskiksi
Jos molemmat ovat tosia, SecOps merkitsee hälytyksen lailliseksi matkaksi ja ratkaisee sen. Microsoft Teamsissa julkaistaan ilmoitus, kun ilmoitus on ratkaistu.
Yhdistä Power Automate Microsoft Defender for Cloud Apps
Automaation luomiseen tarvitaan ohjelmointirajapinnan tunnus, ennen kuin voit yhdistää Power Automaten Microsoft Defender for Cloud Apps.
Avaa Microsoft Defender ja valitse Asetukset>Pilvisovellusten>ohjelmointirajapinnan tunnus ja valitse sitten Ohjelmointirajapinnan tunnukset -välilehdestä Lisää tunnus.
Anna tunnuksen nimi ja valitse sitten Luo. Tallenna tunnus sellaisena kuin tarvitset sitä myöhemmin.
Luo automatisoitu työnkulku
Katso tästä lyhyestä videosta, miten automaatio toimii tehokkaasti sujuvan työnkulun luomiseksi ja miten Voit yhdistää Power Automaten Defender for Cloud Appsiin.
Seuraavat vaiheet
Jatka tutkimuksiasi prosessitapausten tarpeen mukaan.
Tutustu myös seuraaviin ohjeartikkeleihin:
- Tapausten yleiskatsaus
- Tapausten hallinta
- Tapausten tutkiminen
- Tietojen menetyksen estämistä koskevien ilmoitusten tutkiminen Defenderissä
- Microsoft Entra ID -tunnuksien suojaus
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.
Palaute
https://aka.ms/ContentUserFeedback.
Tulossa pian: Vuoden 2024 aikana poistamme asteittain GitHub Issuesin käytöstä sisällön palautemekanismina ja korvaamme sen uudella palautejärjestelmällä. Lisätietoja on täällä:Lähetä ja näytä palaute kohteelle