Просмотр оповещений в Microsoft Defender для конечной точки

Область применения:

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Страница оповещений в Microsoft Defender для конечной точки предоставляет полный контекст оповещения путем объединения сигналов атаки и оповещений, связанных с выбранным оповещением, для создания подробной истории оповещений.

Быстро изучите, изучите и примите эффективные меры для оповещений, влияющих на вашу организацию. Понять, почему они были активируются, и их влияние из одного расположения. Дополнительные сведения см. в этом обзоре.

Начало работы с оповещением

При выборе имени оповещения в Defender для конечной точки вы перейдете на страницу оповещения. На странице оповещения все сведения будут отображаться в контексте выбранного оповещения. Каждая страница оповещения состоит из 4 разделов:

  1. В заголовке оповещения отображается имя оповещения, которое должно напоминать о том, какое оповещение запустило текущее исследование независимо от выбранного на странице.
  2. Затронутые ресурсы перечисляют карточки устройств и пользователей, затронутых этим оповещением, которые можно щелкнуть для получения дополнительных сведений и действий.
  3. В истории оповещения отображаются все сущности, связанные с оповещением, взаимосвязанные представлением в виде дерева. Оповещение в заголовке будет отображаться при первом переходе на страницу выбранного оповещения. Сущности в истории оповещений можно развернуть и щелкнуть, чтобы предоставить дополнительную информацию и ускорить реагирование, позволяя выполнять действия прямо в контексте страницы оповещения. Используйте историю оповещений, чтобы начать исследование. Узнайте, как исследовать оповещения в Microsoft Defender для конечной точки.
  4. В области сведений сначала отображаются сведения о выбранном оповещении с подробными сведениями и действиями, связанными с этим оповещением. При выборе любого из затронутых ресурсов или сущностей в истории оповещений область сведений изменится, чтобы предоставить контекстную информацию и действия для выбранного объекта.

Обратите внимание на состояние обнаружения оповещения.

  • Предотв. Попытка подозрительного действия была предотв.. Например, файл не был записан на диск или выполнен.

    Страница, на которой показано предотвращение угрозы

  • Заблокировано: подозрительное поведение было выполнено, а затем заблокировано. Например, процесс был выполнен, но поскольку впоследствии он демонстрирует подозрительное поведение, процесс был завершен.

    Страница, на которой показана блокировка угрозы

  • Обнаружено: атака обнаружена и, возможно, все еще активна.

    Страница, на которой показано обнаружение угрозы

Затем вы также можете просмотреть сведения об автоматическом исследовании в области сведений об оповещении, чтобы узнать, какие действия уже были выполнены, а также прочитать описание оповещений о рекомендуемых действиях.

Область сведений с выделенным описанием оповещения и разделами автоматического исследования

Другие сведения, доступные в области сведений при запуске оповещения, включают методы MITRE, источник и дополнительные контекстные сведения.

Примечание

Если отображается состояние оповещений неподдерживаемого типа оповещений, это означает, что возможности автоматического исследования не могут получить это оповещение для запуска автоматического исследования. Однако эти оповещения можно исследовать вручную.

Просмотр затронутых ресурсов

Выбор устройства или карточки пользователя в разделах затронутых ресурсов переключит на сведения об устройстве или пользователе в области сведений.

  • Для устройств в области сведений будут отображаться сведения о самом устройстве, такие как домен, операционная система и IP-адрес. Также доступны активные оповещения и вошед в систему пользователи на этом устройстве. Вы можете немедленно выполнить действия, изолируя устройство, ограничивая выполнение приложения или запуская антивирусную проверку. Кроме того, можно собрать пакет исследования, инициировать автоматическое исследование или перейти на страницу устройства для изучения с точки зрения устройства.

    Область сведений при выборе устройства

  • Для пользователей в области сведений будут отображаться подробные сведения о пользователе, такие как имя пользователя SAM и sid, а также типы входа, выполняемые этим пользователем, а также все оповещения и инциденты, связанные с ним. Вы можете выбрать "Открыть страницу пользователя" , чтобы продолжить исследование с точки зрения этого пользователя.

    Область сведений при выборе пользователя