Исследование оповещений в Microsoft Defender для конечной точкиInvestigate alerts in Microsoft Defender for Endpoint

Область применения:Applies to:

Хотите испытать Defender для конечной точки?Want to experience Defender for Endpoint? Зарегистрився для бесплатной пробной.Sign up for a free trial.

Изучите оповещения, влияющие на вашу сеть, поймите, что они означают, и как их устранить.Investigate alerts that are affecting your network, understand what they mean, and how to resolve them.

Выберите оповещение из очереди оповещений, чтобы перейти на страницу оповещения.Select an alert from the alerts queue to go to alert page. В этом представлении содержится название оповещения, затронутые активы, боковые области сведений и история оповещений.This view contains the alert title, the affected assets, the details side pane, and the alert story.

На странице оповещение начните расследование с выбора затронутых активов или любых сущностями в представлении дерева истории оповещения.From the alert page, begin your investigation by selecting the affected assets or any of the entities under the alert story tree view. Области данных автоматически заполняются дополнительными сведениями о выбранном.The details pane automatically populates with further information about what you selected. Чтобы узнать, какие сведения можно просмотреть здесь, ознакомьтесь с оповещениями Review в Microsoft Defender для конечной точки.To see what kind of information you can view here, read Review alerts in Microsoft Defender for Endpoint.

Исследование с помощью истории оповещенийInvestigate using the alert story

В истории оповещений рассказывается о срабатывном оповещении, связанных событиях, которые произошли до и после, а также других связанных с ними сущностях.The alert story details why the alert was triggered, related events that happened before and after, as well as other related entities.

Объекты являются щелкаемыми, и все объекты, которые не являются оповещением, расширяются с помощью значка расширения на правой стороне карты этого объекта.Entities are clickable and every entity that isn't an alert is expandable using the expand icon on the right side of that entity's card. Объект в фокусе будет указан синей полосой на левой стороне карточки этого объекта, а оповещение в заголовке сначала будет в центре внимания.The entity in focus will be indicated by a blue stripe to the left side of that entity's card, with the alert in the title being in focus at first.

Расширь сущностями, чтобы просмотреть сведения с первого взгляда.Expand entities to view details at a glance. Выбор объекта переключит контекст области данных на эту сущность и позволит вам просмотреть дополнительные сведения, а также управлять этим объектом.Selecting an entity will switch the context of the details pane to this entity, and will allow you to review further information, as well as manage that entity. Выбор ... справа от карточки сущности покажет все действия, доступные для этого объекта.Selecting ... to the right of the entity card will reveal all actions available for that entity. Эти же действия отображаются в области сведений, когда объект находится в фокусе.These same actions appear in the details pane when that entity is in focus.

Примечание

В разделе история оповещения может содержаться несколько оповещений, при этом дополнительные оповещения, связанные с одним деревом выполнения, отображаются до или после выбранного оповещения.The alert story section may contain more than one alert, with additional alerts related to the same execution tree appearing before or after the alert you've selected.

Пример истории оповещений с оповещением в фокусе и расширенными картами

Действие из области сведенийTake action from the details pane

После выбора объекта, интересуемого, области сведений будут отображаться сведения о выбранном типе объекта, исторические сведения, когда она доступна, и предлагают элементы управления для принятия действий по этому объекту непосредственно со страницы оповещения.Once you've selected an entity of interest, the details pane will change to display information about the selected entity type, historic information when it's available, and offer controls to take action on this entity directly from the alert page.

После того как вы закончили исследование, возвращайся к запущенной оповещению, пометив состояние оповещений как Разрешено и классифицировать его как false alert или True alert.Once you're done investigating, go back to the alert you started with, mark the alert's status as Resolved and classify it as either False alert or True alert. Классификация оповещений помогает настроить эту возможность, чтобы обеспечить более верные оповещения и меньше ложных оповещений.Classifying alerts helps tune this capability to provide more true alerts and less false alerts.

Если классифицировать его как настоящее оповещение, можно также выбрать определение, как показано на рисунке ниже.If you classify it as a true alert, you can also select a determination, as shown in the image below.

Фрагмент области сведений с разрешенным оповещением и выпадательным определением расширен

Если вы столкнулись с ложным оповещением с помощью бизнес-приложения, создайте правило подавления, чтобы избежать такого оповещения в будущем.If you are experiencing a false alert with a line-of-business application, create a suppression rule to avoid this type of alert in the future.

действия и классификация в области сведений с выделенным правилом подавления

Совет

Если у вас возникли проблемы, не описанные выше, используйте кнопку для предоставления отзывов 🙂 или открытия билета поддержки.If you're experiencing any issues not described above, use the 🙂 button to provide feedback or open a support ticket.