Visa och ordna kön Microsoft Defender för slutpunktsaviseringar

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

I kön Aviseringar visas en lista med aviseringar som har flaggats från enheter i nätverket. Som standard visar kön aviseringar som setts de senaste 30 dagarna i en grupperad vy. De senaste aviseringarna visas högst upp i listan, vilket hjälper dig att se de senaste aviseringarna först.

Anteckning

Alerts queue is significantly reduced with automated investigation and remediation, allowing security operations experts to focus on more sophisticated threats and other high value initiatives. När en avisering innehåller en enhet som stöds för automatiserad undersökning (t.ex. en fil) på en enhet som har ett operativsystem som stöds kan en automatiserad undersökning och åtgärd starta. Mer information om automatiserade undersökningar finns i Översikt över automatiserade undersökningar.

Du kan välja mellan flera alternativ för att anpassa vyn för aviseringar i kön.

I det övre navigeringsfältet kan du:

  • Välj grupperad vy eller listvy
  • Anpassa kolumner för att lägga till eller ta bort kolumner
  • Markera de objekt som ska visas per sida
  • Navigera mellan sidor
  • Använda filter

Bild på aviseringskö.

Sortera, filtrera och gruppera aviseringskön

Du kan använda följande filter för att begränsa listan med aviseringar och få en mer fokuserad vy av aviseringarna.

Allvarlighetsgrad

Aviserings allvarlighetsgrad Beskrivning
Hög
(Röd)
Varningar som ofta ses associerade med avancerade beständiga hot (APT). Dessa varningar indikerar en hög risk på grund av hur allvarlig skada de kan orsaka på enheter. Några exempel är: aktiviteter för autentiseringsstöld, aktiviteter för utpressningstrojaner som inte associeras med någon grupp, ändring av säkerhetssensorer eller skadliga aktiviteter som utser människor.
Medel
(Orange)
Varningar från identifiering och åtgärd på slutpunkt efter intrång som kan vara en del av ett avancerat beständigt hot (APT). Detta omfattar observerade beteenden som är typiska för attackfaser, avvikande registerändring, körning av misstänkta filer och så vidare. Även om vissa kan vara en del av intern säkerhetstestning kräver det undersökning eftersom det också kan vara en del av en avancerad attack.
Låg
(Gul)
Varningar om hot som är associerade med vanligt skadlig programvara. Till exempel hacka-verktyg, icke-skadlig hacka verktyg, som att köra utforskningskommandon, rensa loggar, som ofta inte anger ett avancerat hot som riktar sig till organisationen. Det kan också komma från en isolerad säkerhetsverktygstestning av en användare i organisationen.
Informativ
(Grå)
Varningar som inte kan anses vara skadliga för nätverket, men som kan öka organisationens säkerhetskännedom om potentiella säkerhetsproblem.

Förstå allvarlighetsgrad för aviseringar

Microsoft Defender Antivirus av (Microsoft Defender AV) och Defender för slutpunktsvarningens allvarlighetsgrad är olika eftersom de representerar olika omfattningar.

Den Microsoft Defender Antivirus av hotens allvarlighetsgrad motsvarar den identifierade hotens absoluta allvarlighetsgrad (skadlig kod) och tilldelas utifrån den potentiella risken för den enskilda enheten, om smittad.

Defender för slutpunktsvarningens allvarlighetsgrad representerar allvarlighetsgraden för det identifierade beteendet, den faktiska risken för enheten men viktigare den potentiella risken för organisationen.

Så till exempel:

  • Allvarlighetsgraden för defender för slutpunktsvarning om en Microsoft Defender Antivirus upptäckte hot som fullständigt förhindrades och inte smittade enheten kategoriseras som "informationsal" eftersom det inte fanns några faktiska skador.
  • En avisering om kommersiell skadlig programvara identifierades när den körs, men blockeras och åtgärdas av Microsoft Defender AV, kategoriseras som "Låg" eftersom den kan ha orsakat en del skada på den enskilda enheten men inte utgör något hot för organisationen.
  • En varning om skadlig programvara som upptäckts när program körs och som kan utgöra ett hot för inte bara den enskilda enheten utan för organisationen, oavsett om den blockerades så småningom, kan rangordnas som "Medel" eller "Hög".
  • Misstänkta beteendevarningar, som inte blockerades eller åtgärdats, rangordnas "Låg", "Medium" eller "Hög" efter samma överväganden för organisationens hot.

Förstå aviseringskategorier

Vi har omdefinierat aviseringskategorierna för att passa företagets attacktaktik i MITRE ATT&CK-matrisen. Nya kategorinamn gäller för alla nya aviseringar. Befintliga aviseringar behåller de tidigare kategorinamnen.

I tabellen nedan visas aktuella kategorier och hur de i allmänhet mappar till tidigare kategorier.

Ny kategori API-kategorinamn Identifierade hotaktivitet eller -komponent
Samling Samling Hitta och samla in data för exfiltration.
Kommando och kontroll CommandAndControl Ansluta till attackersstyrd nätverksinfrastruktur för att vidarebefordra data eller ta emot kommandon.
Åtkomst till autentiseringsuppgifter CredentialAccess Skaffa giltiga autentiseringsuppgifter för att utöka kontrollen över enheter och andra resurser i nätverket.
Försvar DefenseEvasion Undviker säkerhetskontroller genom att till exempel inaktivera säkerhetsappar, ta bort program och köra rotverktyg.
Identifiering Identifiering Samla in information om viktiga enheter och resurser, till exempel administratörsdatorer, domänkontrollanter och filservrar.
Utförande Utförande Starta attackersverktyg och skadlig kod, till exempel RATs och backdoors.
Exfiltrering Exfiltrering Extrahera data från nätverket till en extern, attackerskontrollerad plats.
Sårbarhet Sårbarhet Utnyttja kod och möjlig användningsaktivitet.
Inledande åtkomst InitialAccess Får första posten i målnätverket, vanligtvis med lösenords gissa, utnyttja eller nätfiske.
Rörelsen i Movement Så här ser det ut: Flytta mellan enheter i målnätverket för att nå viktiga resurser eller få nätverkets beständighet.
Skadlig programvara Skadlig programvara Bakåtdotörer, trojaner och andra typer av skadlig kod.
Ihärdighet Ihärdighet Skapa utökningspunkter för automatiskstart (ASEP: er) för att förbli aktiva och överleva systemstarter.
Eskalering av behörigheter PrivilegeEscalation Skaffa högre behörighetsnivåer för kod genom att köra den i samband med en behörighetsprocess eller ett konto.
Utpressningstrojaner Utpressningstrojaner Skadlig programvara som krypterar filer och upptar betalning för att återställa åtkomsten.
Misstänkt aktivitet SuspiciousActivity Atypisk aktivitet som kan vara skadlig aktivitet eller en del av en attack.
Oönskad programvara UnwantedSoftware Ryktesbaserade appar och appar som påverkar produktiviteten och användarens upplevelse. identifierades som potentiellt oönskade program (PUAs).

Status

Du kan välja att begränsa listan med aviseringar baserat på deras status.

Undersökningstillstånd

Motsvarar läget för automatiserad undersökning.

Kategori

Du kan välja att filtrera kön för att visa vissa typer av skadlig aktivitet.

Tilldelad till

Du kan välja mellan att visa aviseringar som tilldelats dig eller automatisering.

Identifieringskälla

Välj den källa som utlöste aviseringen. Microsoft Hotexperter deltagare i förhandsversionen kan nu filtrera och se identifieringar från den nya expert hanterade säkerhetstjänsten för hot.

Anteckning

Antivirusfiltret visas bara om enheterna använder Microsoft Defender Antivirus som skydd mot skadlig programvara i realtid.

Identifieringskälla API-värde
Tredjepartssensorer ThirdParty Sensors
Antivirus WindowsDefenderAv
Automatiserad undersökning AutomatedInvestigation
Anpassad identifiering AnpassadDetection
Anpassat TI CustomerTI
Identifiering och åtgärd på slutpunkt WindowsDefenderAtp
Microsoft 365 Defender MTP
Microsoft Defender för Office 365 OfficeATP
Microsoft Hotexperter ThreatExperts
SmartScreen WindowsDefender SmartScreen

OS-plattform

Begränsa vyn för aviseringar i kön genom att välja den OS-plattform som du vill undersöka.

Enhetsgrupp

Om du har specifika enhetsgrupper som du är intresserad av att kontrollera kan du välja grupperna för att begränsa vyn aviseringsköer.

Associerade hot

Använd det här filtret för att fokusera på aviseringar som är relaterade till hot med hög profil. Du kan se en fullständig lista över högkvalitativa hot i Hotanalys.