Badanie alertów w Ochrona punktu końcowego w usłudze Microsoft Defender

Dotyczy:

Chcesz poznać usługę Defender for Endpoint? Utwórz konto bezpłatnej wersji próbnej.

Zbadaj alerty wpływające na sieć, dowiedz się, co one oznaczają i jak je rozwiązać.

Wybierz alert z kolejki alertów, aby przejść do strony alertów. Ten widok zawiera tytuł alertu, zasoby, których dotyczy problem, okienko po stronie szczegółów i historię alertu.

Na stronie alertu rozpocznij badanie, wybierając zasoby, których dotyczy problem, lub dowolne jednostki w widoku drzewa historii alertów. Okienko szczegółów zostanie automatycznie wypełnione dalszymi informacjami o wybranych elementach. Aby zobaczyć, jakiego rodzaju informacje można wyświetlić tutaj, przeczytaj artykuł Przejrzyj alerty w Ochrona punktu końcowego w usłudze Microsoft Defender.

Badanie przy użyciu scenariusza alertu

Historia alertu zawiera szczegółowe informacje o przyczynach wyzwolenia alertu, powiązanych zdarzeniach, które wystąpiły przed i po, a także innych powiązanych jednostkach.

Jednostki można klikać, a każda jednostka, która nie jest alertem, jest rozwijana przy użyciu ikony rozwijania po prawej stronie karty tej jednostki. Jednostka w centrum uwagi zostanie oznaczona niebieskim paskiem po lewej stronie karty tej jednostki, a alert w tytule będzie początkowo w centrum uwagi.

Rozwiń jednostki, aby szybko wyświetlić szczegóły. Wybranie jednostki spowoduje przełączenie kontekstu okienka szczegółów na tę jednostkę i umożliwi przeglądanie dalszych informacji, a także zarządzanie tą jednostką. Wybranie pozycji ... z prawej strony karty jednostki spowoduje wyświetlenie wszystkich akcji dostępnych dla tej jednostki. Te same akcje są wyświetlane w okienku szczegółów, gdy ta jednostka jest w centrum uwagi.

Uwaga

Sekcja dotycząca alertów może zawierać więcej niż jeden alert z dodatkowymi alertami dotyczącymi tego samego drzewa wykonywania wyświetlanymi przed wybranym alertem lub po nim.

scenariusz alertu z alertem w centrum uwagi i kilkoma rozwiniętymi kartami

Wykonaj akcję z okienka szczegółów

Po wybraniu interesującej jednostki okienko szczegółów zmieni się, aby wyświetlić informacje o wybranym typie jednostki, informacje historyczne, gdy są dostępne, i zaoferować kontrolki do podjęcia akcji na tej jednostce bezpośrednio ze strony alertu.

Po zakończeniu badania wróć do alertu, który został uruchomiony, oznacz stan alertu jako rozwiązany i zaklasyfikuj go jako alert False lub True. Klasyfikowanie alertów pomaga dostroić tę funkcję, aby zapewnić więcej prawdziwych alertów i mniej fałszywych alertów.

Jeśli zaklasyfikujesz go jako prawdziwy alert, możesz również wybrać określenie, jak pokazano na poniższej ilustracji.

Okienko szczegółów z rozwiązanym alertem i rozwiniętą listą rozwijaną określania

Jeśli występuje fałszywy alert z aplikacją biznesową, utwórz regułę pomijania, aby uniknąć tego typu alertów w przyszłości.

Akcje i klasyfikacja w okienku szczegółów z wyróżnioną regułą pomijania

Porada

Jeśli występują jakiekolwiek problemy, które nie zostały opisane powyżej, użyj przycisku 🙂 , aby przekazać opinię lub otworzyć bilet pomocy technicznej.