Просмотр и организация очереди оповещений Microsoft Defender для конечных точекView and organize the Microsoft Defender for Endpoint Alerts queue

Область применения:Applies to:

Хотите испытать Defender для конечной точки?Want to experience Defender for Endpoint? Зарегистрився для бесплатной пробной.Sign up for a free trial.

Очередь оповещений показывает список оповещений, которые были помечены с устройств в сети.The Alerts queue shows a list of alerts that were flagged from devices in your network. По умолчанию очередь отображает оповещения, которые отображаются в течение последних 30 дней в групповом представлении.By default, the queue displays alerts seen in the last 30 days in a grouped view. Последние оповещений показываются в верхней части списка, помогая сначала увидеть самые последние оповещения.The most recent alerts are showed at the top of the list helping you see the most recent alerts first.

Примечание

Очередь оповещений значительно сокращается с помощью автоматического расследования и исправлений, что позволяет специалистам по операциям безопасности сосредоточиться на более сложных угрозах и других инициативах с высоким значением.The alerts queue is significantly reduced with automated investigation and remediation, allowing security operations experts to focus on more sophisticated threats and other high value initiatives. Если оповещение содержит поддерживаемую сущность для автоматического расследования (например, файла) на устройстве с поддерживаемой операционной системой, может начаться автоматическое расследование и исправление.When an alert contains a supported entity for automated investigation (for example, a file) in a device that has a supported operating system for it, an automated investigation and remediation can start. Дополнительные сведения об автоматизированных расследованиях см. в обзоре автоматизированных расследований.For more information on automated investigations, see Overview of Automated investigations.

Существует несколько вариантов настройки представления очереди оповещений.There are several options you can choose from to customize the alerts queue view.

В верхней части навигации можно:On the top navigation you can:

  • Выбор сгруппивного представления или представления спискаSelect grouped view or list view
  • Настройка столбцов для добавления или удаления столбцовCustomize columns to add or remove columns
  • Выберите элементы, которые будут показываться на страницеSelect the items to show per page
  • Перемещение между страницамиNavigate between pages
  • Применение фильтровApply filters

Изображение очереди оповещений

Сортировка, фильтрация и группа очереди оповещенийSort, filter, and group the alerts queue

Вы можете применить следующие фильтры, чтобы ограничить список оповещений и получить более целенаправленное представление оповещений.You can apply the following filters to limit the list of alerts and get a more focused view the alerts.

SeveritySeverity

Серьезность оповещенийAlert severity ОписаниеDescription
ВысокаяHigh
(Красный)(Red)
Оповещений, обычно замеченных, связанных с расширенными постоянными угрозами (APT).Alerts commonly seen associated with advanced persistent threats (APT). Эти оповещения указывают на высокий риск из-за серьезности ущерба, который они могут нанести устройствам.These alerts indicate a high risk because of the severity of damage they can inflict on devices. В качестве примеров можно привести такие действия, как кража учетных данных, действия вымогателей, не связанные с какой-либо группой, взлом датчиков безопасности или вредоносные действия, указывающие на действия человеческого противника.Some examples are: credential theft tools activities, ransomware activities not associated with any group, tampering with security sensors, or any malicious activities indicative of a human adversary.
СредняяMedium
(Оранжевый)(Orange)
Оповещения об обнаружении конечных точек и поведении после нарушения, которые могут быть частью передовой постоянной угрозы (APT).Alerts from endpoint detection and response post-breach behaviors that might be a part of an advanced persistent threat (APT). Это включает наблюдаемое поведение, типичное для этапов атаки, аномальное изменение реестра, выполнение подозрительных файлов и так далее.This includes observed behaviors typical of attack stages, anomalous registry change, execution of suspicious files, and so forth. Хотя некоторые из них могут быть частью внутреннего тестирования безопасности, оно требует расследования, так как оно также может быть частью предварительной атаки.Although some might be part of internal security testing, it requires investigation as it might also be a part of an advanced attack.
НизкаяLow
(Желтый)(Yellow)
Оповещения об угрозах, связанных с распространенными вредоносными программами.Alerts on threats associated with prevalent malware. Например, средства взлома, средства взлома без вредоносных программ, такие как запуск команд разведки, журналы очистки и т. д., которые часто не указывают на передовую угрозу, направленную на организацию.For example, hack-tools, non-malware hack tools, such as running exploration commands, clearing logs, etc., that often do not indicate an advanced threat targeting the organization. Он также может быть от изолированного тестирования средства безопасности пользователем в вашей организации.It could also come from an isolated security tool testing by a user in your organization.
ИнформационныйInformational
(Серый)(Grey)
Оповещения, которые не могут считаться вредными для сети, но могут повысить осведомленность организации о безопасности при возможных проблемах безопасности.Alerts that might not be considered harmful to the network but can drive organizational security awareness on potential security issues.

Понимание серьезности оповещенийUnderstanding alert severity

АнтивирусНые программы Microsoft Defender (Microsoft Defender AV) и Defender for Endpoint отличаются друг от другом, так как представляют различные области.Microsoft Defender Antivirus (Microsoft Defender AV) and Defender for Endpoint alert severities are different because they represent different scopes.

Степень серьезности угрозы av Защитника Майкрософт представляет абсолютную серьезность обнаруженной угрозы (вредоносных программ) и назначена в зависимости от потенциального риска для отдельного устройства в случае заражения.The Microsoft Defender AV threat severity represents the absolute severity of the detected threat (malware), and is assigned based on the potential risk to the individual device, if infected.

Серьезность оповещения Defender для конечной точки представляет серьезность обнаруженного поведения, фактический риск для устройства, но что еще более важно , потенциальный риск для организации.The Defender for Endpoint alert severity represents the severity of the detected behavior, the actual risk to the device but more importantly the potential risk to the organization.

Например:So, for example:

  • Серьезность оповещения Защитника для конечных точек об обнаруженной угрозе AV Microsoft Defender, которая была полностью предотвращена и не заразила устройство, классифицируются как "Информационная", так как фактические повреждения не были повреждены.The severity of a Defender for Endpoint alert about a Microsoft Defender AV detected threat that was completely prevented and did not infect the device is categorized as "Informational" because there was no actual damage.
  • Предупреждение о коммерческой вредоносной программе было обнаружено при выполнении, но заблокировано и исправлено microsoft Defender AV, классифицируются как "Низкий", так как это может привести к некоторому повреждению отдельного устройства, но не представляет никакой организационной угрозы.An alert about a commercial malware was detected while executing, but blocked and remediated by Microsoft Defender AV, is categorized as "Low" because it may have caused some damage to the individual device but poses no organizational threat.
  • Предупреждение о вредоносных программах, обнаруженных при выполнении, которые могут представлять угрозу не только для отдельного устройства, но и для организации, независимо от того, было ли оно в конечном итоге заблокировано, может быть ранжировано как "Medium" или "High".An alert about malware detected while executing which can pose a threat not only to the individual device but to the organization, regardless if it was eventually blocked, may be ranked as "Medium" or "High".
  • Подозрительные поведенческие оповещений, которые не были заблокированы или исправлены, будут ранжированы как "Low", "Medium" или "High" с учетом тех же организационных соображений угрозы.Suspicious behavioral alerts, which weren't blocked or remediated will be ranked "Low", "Medium" or "High" following the same organizational threat considerations.

Понимание категорий оповещенийUnderstanding alert categories

Мы переопределили категории оповещений, чтобы привести их в соответствие с тактикой корпоративной атаки в матрице ATT MITRE&CK.We've redefined the alert categories to align to the enterprise attack tactics in the MITRE ATT&CK matrix. Новые имена категорий применяются для всех новых оповещений.New category names apply to all new alerts. Существующие оповещений будут хранить имена предыдущих категорий.Existing alerts will keep the previous category names.

В таблице ниже перечислены текущие категории и их общая карта с предыдущими категориями.The table below lists the current categories and how they generally map to previous categories.

Новая категорияNew category Имя категории APIAPI category name Обнаруженная активность или компонент угрозыDetected threat activity or component
CollectionCollection CollectionCollection Поиск и сбор данных для эксфильтрацииLocating and collecting data for exfiltration
Командно-диспетчерский контрольCommand and control CommandAndControlCommandAndControl Подключение к сетевой инфраструктуре, управляемой злоумышленниками, для передачи данных или получения командConnecting to attacker-controlled network infrastructure to relay data or receive commands
Доступ к учетным даннымCredential access CredentialAccessCredentialAccess Получение допустимых учетных данных для расширения контроля над устройствами и другими ресурсами в сетиObtaining valid credentials to extend control over devices and other resources in the network
Уклонение от защитыDefense evasion DefenseEvasionDefenseEvasion Избегание элементов управления безопасностью, например отключение приложений безопасности, удаление имплантатов и запуск корневых наборовAvoiding security controls by, for example, turning off security apps, deleting implants, and running rootkits
DiscoveryDiscovery DiscoveryDiscovery Сбор сведений о важных устройствах и ресурсах, таких как компьютеры администратора, контроллеры домена и файловые серверыGathering information about important devices and resources, such as administrator computers, domain controllers, and file servers
ВыполнениеExecution ВыполнениеExecution Запуск средств злоумышленника и вредоносного кода, включая raTs и backdoorsLaunching attacker tools and malicious code, including RATs and backdoors
ExfiltrationExfiltration ExfiltrationExfiltration Извлечение данных из сети во внешнее, контролируемое злоумышленником расположениеExtracting data from the network to an external, attacker-controlled location
ExploitExploit ExploitExploit Использование кода и возможной эксплуатацииExploit code and possible exploitation activity
Начальный доступInitial access InitialAccessInitialAccess Получение начального входа в целевую сеть, обычно связанное с угадать пароль, эксплойтами или фишинговыми электронными письмамиGaining initial entry to the target network, usually involving password-guessing, exploits, or phishing emails
Lateral movementLateral movement LateralMovementLateralMovement Перемещение между устройствами в целевой сети для достижения критически важных ресурсов или сохранения сетиMoving between devices in the target network to reach critical resources or gain network persistence
Вредоносные программыMalware Вредоносные программыMalware Backdoors, trojans and other types of malicious codeBackdoors, trojans, and other types of malicious code
УпорствоPersistence УпорствоPersistence Создание точек extensibility autostart (ASEPs), чтобы оставаться активными и выживать при перезапуске системыCreating autostart extensibility points (ASEPs) to remain active and survive system restarts
Эскалация привилегийPrivilege escalation PrivilegeEscalationPrivilegeEscalation Получение более высоких уровней разрешений для кода, запуская его в контексте привилегированного процесса или учетной записиObtaining higher permission levels for code by running it in the context of a privileged process or account
ВымогателейRansomware ВымогателейRansomware Вредоносные программы, которые шифруют файлы и вымогают оплату для восстановления доступаMalware that encrypts files and extorts payment to restore access
Подозрительные действияSuspicious activity SuspiciousActivitySuspiciousActivity Нетипичная активность, которая может быть вредоносным по программам или частью атакиAtypical activity that could be malware activity or part of an attack
Нежелательное программное обеспечениеUnwanted software UnwantedSoftwareUnwantedSoftware Приложения и приложения с низкой репутацией, которые влияют на производительность и пользовательский интерфейс; обнаружено как потенциально нежелательные приложения (PUAs)Low-reputation apps and apps that impact productivity and the user experience; detected as potentially unwanted applications (PUAs)

StatusStatus

Список оповещений можно ограничить в зависимости от их состояния.You can choose to limit the list of alerts based on their status.

Состояние исследованияInvestigation state

Соответствует состоянием автоматического расследования.Corresponds to the automated investigation state.

CategoryCategory

Вы можете фильтровать очередь для отображения определенных типов вредоносных действий.You can choose to filter the queue to display specific types of malicious activity.

Кому назначеноAssigned to

Вы можете выбрать между отображением оповещений, которые назначены вам, или автоматизацией.You can choose between showing alerts that are assigned to you or automation.

Источник обнаруженияDetection source

Выберите источник, который вызвал обнаружение оповещений.Select the source that triggered the alert detection. Участники предварительного просмотра экспертов Microsoft Threat теперь могут фильтровать и просматривать обнаружения из новой службы охоты, управляемой специалистами по угрозам.Microsoft Threat Experts preview participants can now filter and see detections from the new threat experts-managed hunting service.

Примечание

Антивирусный фильтр появится только в том случае, если устройства используют антивирус Microsoft Defender в качестве средства защиты от антивируса по умолчанию в режиме реального времени.The Antivirus filter will only appear if devices are using Microsoft Defender Antivirus as the default real-time protection antimalware product.

Источник обнаруженияDetection source Значение APIAPI value
Датчики третьей стороны3rd party sensors ThirdPartySensorsThirdPartySensors
Защита от вирусовAntivirus WindowsDefenderAvWindowsDefenderAv
Автоматическое расследованиеAutomated investigation АвтоматическаяинвестигацияAutomatedInvestigation
Настраиваемый обнаружениеCustom detection CustomDetectionCustomDetection
Настраиваемый TICustom TI CustomerTICustomerTI
EDREDR WindowsDefenderAtpWindowsDefenderAtp
Microsoft 365 DefenderMicrosoft 365 Defender MTPMTP
Microsoft Defender для Office 365Microsoft Defender for Office 365 OfficeATPOfficeATP
Эксперты Майкрософт по угрозамMicrosoft Threat Experts ThreatExpertsThreatExperts
SmartScreenSmartScreen WindowsDefenderSmartScreenWindowsDefenderSmartScreen

Платформа ОСOS platform

Ограничить представление очереди оповещений, выбрав платформу ОС, интересуемую исследованием.Limit the alerts queue view by selecting the OS platform that you're interested in investigating.

Группа устройствDevice group

Если у вас есть определенные группы устройств, которые вам интересны для проверки, можно выбрать группы, чтобы ограничить представление очереди оповещений.If you have specific device groups that you're interested in checking, you can select the groups to limit the alerts queue view.

Связанная угрозаAssociated threat

Используйте этот фильтр, чтобы сосредоточиться на оповещениях, связанных с угрозами высокого профиля.Use this filter to focus on alerts that are related to high profile threats. Полный список громких угроз можно увидеть в аналитике угроз.You can see the full list of high-profile threats in Threat analytics.