Undersöka aviseringar i Microsoft Defender för Slutpunkt

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Undersök aviseringar som påverkar nätverket, förstå vad de betyder och hur du löser dem.

Välj en avisering från aviseringskön för att gå till aviseringssidan. Den här vyn innehåller aviseringsrubriken, de berörda tillgångarna, informationsfönstret och aviseringsartikeln.

Från aviseringssidan börjar du din undersökning genom att välja de berörda tillgångarna eller någon av enheterna under trädvyn för aviseringsartikeln. Informationsfönstret fylls automatiskt i med ytterligare information om det du har markerat. Om du vill se vilken typ av information du kan visa här kan du läsa Granska aviseringar i Microsoft Defender för slutpunkt.

Undersök användning av aviseringsartikeln

Information om aviseringsinformationen varför aviseringen utlöstes, relaterade händelser som inträffat före och efter, samt andra relaterade enheter.

Enheter är klickbara och alla enheter som inte är en avisering kan utökas med hjälp av expanderikonen på höger sida av enhetens kort. Enheten i fokus anges med ett blått streck till vänster om enhetens kort, med en avisering i fokus först.

Utöka enheterna för att få en snabb överblick över informationen. När du väljer en entitet växlas kontexten för informationsfönstret till den här enheten och du kan granska ytterligare information och hantera den enheten. Om du markerar ... till höger om entitetskortet visas alla åtgärder som är tillgängliga för den enheten. Samma åtgärder visas i informationsfönstret när entiteten är i fokus.

Anteckning

Avsnittet med aviseringsavsnittet kan innehålla fler än en avisering, och ytterligare aviseringar om samma körningsträd visas före eller efter den avisering du har markerat.

Ett exempel på en aviseringsartikel med en varning i fokus och några expanderade kort.

Vidta åtgärder från informationsfönstret

När du har valt en intresseenhet ändras informationsfönstret för att visa information om den valda entitetstypen, historisk information när den är tillgänglig och erbjuder kontroller för att vidta åtgärder på den här enheten direkt från aviseringssidan.

När du har undersökt klart går du tillbaka till den avisering du började med, markerar aviseringens status som Löst och klassificerar den som antingen Falsk avisering eller Sant-avisering. Klassificera aviseringar hjälper till att finjustera den här funktionen för att ge mer sanna aviseringar och mindre falska aviseringar.

Om du klassificerar det som en verklig varning kan du också välja ett avgörande, som visas i bilden nedan.

Ett avsnitt av informationsfönstret med en löst avisering och listrutan för determination expanderad.

Om du får en falsk avisering med ett affärsprogram skapar du en regel för att undvika den här typen av avisering i framtiden.

åtgärder och klassificering i informationsfönstret med regeln för uteslutning markerad.

Tips

Om du har problem som inte beskrivs ovan kan du använda knappen för 🙂 att ge feedback eller öppna ett supportärenden.