Visa och ordna kön Microsoft Defender för slutpunktsaviseringarView and organize the Microsoft Defender for Endpoint Alerts queue

Gäller för:Applies to:

Vill du använda Defender för Slutpunkt?Want to experience Defender for Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.Sign up for a free trial.

I kön Aviseringar visas en lista med aviseringar som har flaggats från enheter i nätverket.The Alerts queue shows a list of alerts that were flagged from devices in your network. Som standard visar kön aviseringar som setts de senaste 30 dagarna i en grupperad vy.By default, the queue displays alerts seen in the last 30 days in a grouped view. De senaste aviseringarna visas högst upp i listan, vilket hjälper dig att se de senaste aviseringarna först.The most recent alerts are showed at the top of the list helping you see the most recent alerts first.

Anteckning

Alerts queue is significantly reduced with automated investigation and remediation, allowing security operations experts to focus on more sophisticated threats and other high value initiatives.The alerts queue is significantly reduced with automated investigation and remediation, allowing security operations experts to focus on more sophisticated threats and other high value initiatives. När en avisering innehåller en enhet som stöds för automatiserad undersökning (t.ex. en fil) på en enhet som har ett operativsystem som stöds kan en automatiserad undersökning och åtgärd starta.When an alert contains a supported entity for automated investigation (for example, a file) in a device that has a supported operating system for it, an automated investigation and remediation can start. Mer information om automatiserade undersökningar finns i Översikt över automatiserade undersökningar.For more information on automated investigations, see Overview of Automated investigations.

Du kan välja mellan flera alternativ för att anpassa vyn aviseringsköer.There are several options you can choose from to customize the alerts queue view.

I det övre navigeringsfältet kan du:On the top navigation you can:

  • Välj grupperad vy eller listvySelect grouped view or list view
  • Anpassa kolumner för att lägga till eller ta bort kolumnerCustomize columns to add or remove columns
  • Markera de objekt som ska visas per sidaSelect the items to show per page
  • Navigera mellan sidorNavigate between pages
  • Använda filterApply filters

Bild på aviseringskö

Sortera, filtrera och gruppera aviseringskönSort, filter, and group the alerts queue

Du kan använda följande filter för att begränsa listan med aviseringar och få en mer fokuserad vy av aviseringarna.You can apply the following filters to limit the list of alerts and get a more focused view the alerts.

AllvarlighetsgradSeverity

Aviserings allvarlighetsgradAlert severity BeskrivningDescription
HögHigh
(Röd)(Red)
Varningar som ofta ses associerade med avancerade beständiga hot (APT).Alerts commonly seen associated with advanced persistent threats (APT). Dessa varningar indikerar en hög risk på grund av hur allvarlig skada de kan orsaka på enheter.These alerts indicate a high risk because of the severity of damage they can inflict on devices. Några exempel är: aktiviteter för autentiseringsstöld, aktiviteter för utpressningstrojaner som inte associeras med någon grupp, ändring av säkerhetssensorer eller skadliga aktiviteter som utser människor.Some examples are: credential theft tools activities, ransomware activities not associated with any group, tampering with security sensors, or any malicious activities indicative of a human adversary.
MedelMedium
(Orange)(Orange)
Varningar från identifiering av slutpunkt och svar efter intrång som kan vara en del av ett avancerat beständigt hot (APT).Alerts from endpoint detection and response post-breach behaviors that might be a part of an advanced persistent threat (APT). Detta omfattar observerade beteenden som är typiska för attackfaser, avvikande registerändring, körning av misstänkta filer och så vidare.This includes observed behaviors typical of attack stages, anomalous registry change, execution of suspicious files, and so forth. Även om vissa kan vara en del av intern säkerhetstestning kräver det undersökning eftersom det också kan vara en del av en avancerad attack.Although some might be part of internal security testing, it requires investigation as it might also be a part of an advanced attack.
LågLow
(Gul)(Yellow)
Varningar om hot som är associerade med vanligt skadlig programvara.Alerts on threats associated with prevalent malware. Till exempel hacka-verktyg, icke-skadlig hacka verktyg, som att köra utforskningskommandon, rensa loggar, som ofta inte anger ett avancerat hot som riktar sig till organisationen.For example, hack-tools, non-malware hack tools, such as running exploration commands, clearing logs, etc., that often do not indicate an advanced threat targeting the organization. Det kan också komma från en isolerad säkerhetsverktygstestning av en användare i organisationen.It could also come from an isolated security tool testing by a user in your organization.
InformativInformational
(Grå)(Grey)
Varningar som inte kan anses vara skadliga för nätverket, men som kan öka organisationens säkerhetskännedom om potentiella säkerhetsproblem.Alerts that might not be considered harmful to the network but can drive organizational security awareness on potential security issues.

Förstå allvarlighetsgrad för aviseringarUnderstanding alert severity

Microsoft Defender Antivirus (Microsoft Defender AV) och Defender för slutpunktsvarningar är olika eftersom de representerar olika omfattningar.Microsoft Defender Antivirus (Microsoft Defender AV) and Defender for Endpoint alert severities are different because they represent different scopes.

Allvarlighetsgraden för AV-hot i Microsoft Defender motsvarar den absoluta allvarlighetsgraden för det identifierade hotet (skadlig kod), och tilldelas utifrån den potentiella risken för den enskilda enheten, om smittad.The Microsoft Defender AV threat severity represents the absolute severity of the detected threat (malware), and is assigned based on the potential risk to the individual device, if infected.

Defender för slutpunktsvarningens allvarlighetsgrad representerar allvarlighetsgraden för det identifierade beteendet, den faktiska risken för enheten men viktigare den potentiella risken för organisationen.The Defender for Endpoint alert severity represents the severity of the detected behavior, the actual risk to the device but more importantly the potential risk to the organization.

Så till exempel:So, for example:

  • Allvarlighetsgraden för en Defender för Slutpunkt-varning om att en Microsoft Defender AV upptäckte hot som fullständigt förhindrades och inte smittade enheten kategoriseras som "informationsal" eftersom det inte fanns några faktiska skador.The severity of a Defender for Endpoint alert about a Microsoft Defender AV detected threat that was completely prevented and did not infect the device is categorized as "Informational" because there was no actual damage.
  • En avisering om kommersiell skadlig programvara identifierades när den körs, men blockeras och åtgärdas av Microsoft Defender AV, kategoriseras som "Låg" eftersom den kan ha orsakat en del skada på den enskilda enheten men inte utgör något hot för organisationen.An alert about a commercial malware was detected while executing, but blocked and remediated by Microsoft Defender AV, is categorized as "Low" because it may have caused some damage to the individual device but poses no organizational threat.
  • En varning om skadlig programvara som upptäckts när program körs och som kan utgöra ett hot för inte bara den enskilda enheten utan för organisationen, oavsett om den blockerades så småningom, kan rangordnas som "Medel" eller "Hög".An alert about malware detected while executing which can pose a threat not only to the individual device but to the organization, regardless if it was eventually blocked, may be ranked as "Medium" or "High".
  • Misstänkta beteendevarningar, som inte blockerades eller åtgärdats, rangordnas "Låg", "Medium" eller "Hög" efter samma överväganden för organisationens hot.Suspicious behavioral alerts, which weren't blocked or remediated will be ranked "Low", "Medium" or "High" following the same organizational threat considerations.

Förstå aviseringskategorierUnderstanding alert categories

Vi har omdefinierat aviseringskategorierna för att passa företagets attacktaktik i MITRE ATT&CK-matrisen.We've redefined the alert categories to align to the enterprise attack tactics in the MITRE ATT&CK matrix. Nya kategorinamn gäller för alla nya aviseringar.New category names apply to all new alerts. Befintliga aviseringar behåller de tidigare kategorinamnen.Existing alerts will keep the previous category names.

I tabellen nedan visas aktuella kategorier och hur de i allmänhet mappar till tidigare kategorier.The table below lists the current categories and how they generally map to previous categories.

Ny kategoriNew category API-kategorinamnAPI category name Identifierade hotaktivitet eller -komponentDetected threat activity or component
SamlingCollection SamlingCollection Hitta och samla in data för exfiltreringLocating and collecting data for exfiltration
Kommando och kontrollCommand and control CommandAndControlCommandAndControl Ansluta till den attackerade nätverksinfrastrukturen för att vidarebefordra data eller ta emot kommandonConnecting to attacker-controlled network infrastructure to relay data or receive commands
Åtkomst till autentiseringsuppgifterCredential access CredentialAccessCredentialAccess Skaffa giltiga autentiseringsuppgifter för att utöka kontrollen över enheter och andra resurser i nätverketObtaining valid credentials to extend control over devices and other resources in the network
FörsvarDefense evasion DefenseEvasionDefenseEvasion Undviker säkerhetskontroller genom att till exempel inaktivera säkerhetsappar, ta bort program och köra rotverktygAvoiding security controls by, for example, turning off security apps, deleting implants, and running rootkits
UpptäcktDiscovery UpptäcktDiscovery Samla in information om viktiga enheter och resurser, till exempel administratörsdatorer, domänkontrollanter och filservrarGathering information about important devices and resources, such as administrator computers, domain controllers, and file servers
KörningExecution KörningExecution Starta attackersverktyg och skadlig kod, inklusive RATs och backdoorsLaunching attacker tools and malicious code, including RATs and backdoors
ExfiltrationExfiltration ExfiltrationExfiltration Extrahera data från nätverket till en extern, attackkontrollerad platsExtracting data from the network to an external, attacker-controlled location
SårbarhetExploit SårbarhetExploit Utnyttja kod och möjlig användningsaktivitetExploit code and possible exploitation activity
Inledande åtkomstInitial access InitialAccessInitialAccess Få första posten i målnätverket, vanligtvis med lösenordsr gissning, sårbarheter eller nätfiskemeddelandenGaining initial entry to the target network, usually involving password-guessing, exploits, or phishing emails
Rörelsen i MovementLateral movement Så här ser det ut:LateralMovement Flytta mellan enheter i målnätverket för att nå viktiga resurser eller få nätverksbeständighetMoving between devices in the target network to reach critical resources or gain network persistence
Skadlig programvaraMalware Skadlig programvaraMalware Bakåtdotörer, trojaner och andra typer av skadlig kodBackdoors, trojans, and other types of malicious code
BeständighetPersistence BeständighetPersistence Skapa asep:er (Autostart extensibility points) för att förbli aktiva och överleva systemstarterCreating autostart extensibility points (ASEPs) to remain active and survive system restarts
Eskalering av behörigheterPrivilege escalation PrivilegeEscalationPrivilegeEscalation Skaffa högre behörighetsnivåer för kod genom att köra den i samband med en behörighetsprocess eller ett kontoObtaining higher permission levels for code by running it in the context of a privileged process or account
UtpressningstrojanerRansomware UtpressningstrojanerRansomware Skadlig programvara som krypterar filer och upptar betalning för att återställa åtkomstenMalware that encrypts files and extorts payment to restore access
Misstänkt aktivitetSuspicious activity SuspiciousActivitySuspiciousActivity Atypisk aktivitet som kan vara skadlig aktivitet eller en del av en attackAtypical activity that could be malware activity or part of an attack
Oönskad programvaraUnwanted software UnwantedSoftwareUnwantedSoftware Ryktesbaserade appar och appar som påverkar produktiviteten och användarens upplevelse. identifierade som potentiellt oönskade program (PUAs)Low-reputation apps and apps that impact productivity and the user experience; detected as potentially unwanted applications (PUAs)

StatusStatus

Du kan välja att begränsa listan med aviseringar baserat på deras status.You can choose to limit the list of alerts based on their status.

UndersökningstillståndInvestigation state

Motsvarar läget för automatiserad undersökning.Corresponds to the automated investigation state.

KategoriCategory

Du kan välja att filtrera kön för att visa vissa typer av skadlig aktivitet.You can choose to filter the queue to display specific types of malicious activity.

Tilldelad tillAssigned to

Du kan välja mellan att visa aviseringar som tilldelats dig eller automatisering.You can choose between showing alerts that are assigned to you or automation.

IdentifieringskällaDetection source

Välj den källa som utlöste aviseringen.Select the source that triggered the alert detection. Deltagare i förhandsversionen av Microsoft Threat Experts kan nu filtrera och se identifieringar från den nya expert hanterade säkerhetstjänsten för hot.Microsoft Threat Experts preview participants can now filter and see detections from the new threat experts-managed hunting service.

Anteckning

Antivirusfiltret visas bara om enheterna använder Microsoft Defender Antivirus som standard för skydd mot skadlig programvara i realtid.The Antivirus filter will only appear if devices are using Microsoft Defender Antivirus as the default real-time protection antimalware product.

IdentifieringskällaDetection source API-värdeAPI value
Tredjepartssensorer3rd party sensors ThirdParty SensorsThirdPartySensors
AntivirusAntivirus WindowsDefenderAvWindowsDefenderAv
Automatiserad undersökningAutomated investigation AutomatedInvestigationAutomatedInvestigation
Anpassad identifieringCustom detection AnpassadDetectionCustomDetection
Anpassat TICustom TI CustomerTICustomerTI
EDREDR WindowsDefenderAtpWindowsDefenderAtp
Microsoft 365 DefenderMicrosoft 365 Defender MTPMTP
Microsoft Defender för Office 365Microsoft Defender for Office 365 OfficeATPOfficeATP
Microsoft HotexperterMicrosoft Threat Experts ThreatExpertsThreatExperts
SmartScreenSmartScreen WindowsDefender SmartScreenWindowsDefenderSmartScreen

OS-plattformOS platform

Begränsa vyn för aviseringar i kön genom att välja den OS-plattform som du vill undersöka.Limit the alerts queue view by selecting the OS platform that you're interested in investigating.

EnhetsgruppDevice group

Om du har specifika enhetsgrupper som du är intresserad av att kontrollera kan du välja grupperna för att begränsa vyn aviseringsköer.If you have specific device groups that you're interested in checking, you can select the groups to limit the alerts queue view.

Associerade hotAssociated threat

Använd det här filtret för att fokusera på aviseringar som är relaterade till hot med hög profil.Use this filter to focus on alerts that are related to high profile threats. Du kan se en fullständig lista över högkvalitativa hot i Hotanalys.You can see the full list of high-profile threats in Threat analytics.