Undersöka aviseringar i Microsoft Defender för SlutpunktInvestigate alerts in Microsoft Defender for Endpoint

Gäller för:Applies to:

Vill du använda Defender för Slutpunkt?Want to experience Defender for Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.Sign up for a free trial.

Undersök aviseringar som påverkar nätverket, förstå vad de betyder och hur du löser dem.Investigate alerts that are affecting your network, understand what they mean, and how to resolve them.

Välj en avisering från aviseringskön för att gå till aviseringssidan.Select an alert from the alerts queue to go to alert page. Den här vyn innehåller aviseringsrubriken, de berörda tillgångarna, informationsfönstret och aviseringsartikeln.This view contains the alert title, the affected assets, the details side pane, and the alert story.

Från aviseringssidan börjar du din undersökning genom att välja de berörda tillgångarna eller någon av enheterna under trädvyn för aviseringsartikeln.From the alert page, begin your investigation by selecting the affected assets or any of the entities under the alert story tree view. Informationsfönstret fylls automatiskt i med ytterligare information om det du har markerat.The details pane automatically populates with further information about what you selected. Om du vill se vilken typ av information du kan visa här kan du läsa Granska aviseringar i Microsoft Defender för slutpunkt.To see what kind of information you can view here, read Review alerts in Microsoft Defender for Endpoint.

Undersök användning av aviseringsartikelnInvestigate using the alert story

Information om aviseringsinformationen varför aviseringen utlöstes, relaterade händelser som inträffat före och efter, samt andra relaterade enheter.The alert story details why the alert was triggered, related events that happened before and after, as well as other related entities.

Enheter är klickbara och alla enheter som inte är en avisering kan utökas med hjälp av expanderikonen på höger sida av enhetens kort.Entities are clickable and every entity that isn't an alert is expandable using the expand icon on the right side of that entity's card. Enheten i fokus anges med ett blått band till vänster om enhetens kort, med varningen i fokus först.The entity in focus will be indicated by a blue stripe to the left side of that entity's card, with the alert in the title being in focus at first.

Utöka enheterna för att få en snabb överblick över informationen.Expand entities to view details at a glance. När du väljer en entitet växlas kontexten för informationsfönstret till den här enheten och du kan granska ytterligare information och hantera den enheten.Selecting an entity will switch the context of the details pane to this entity, and will allow you to review further information, as well as manage that entity. Om du markerar ... till höger om entitetskortet visas alla åtgärder som är tillgängliga för den enheten.Selecting ... to the right of the entity card will reveal all actions available for that entity. Samma åtgärder visas i informationsfönstret när entiteten är i fokus.These same actions appear in the details pane when that entity is in focus.

Anteckning

Avsnittet med aviseringsavsnittet kan innehålla fler än en avisering, och ytterligare aviseringar om samma körningsträd visas före eller efter den avisering du har markerat.The alert story section may contain more than one alert, with additional alerts related to the same execution tree appearing before or after the alert you've selected.

Ett exempel på en aviseringsartikel med en varning i fokus och några expanderade kort

Vidta åtgärder från informationsfönstretTake action from the details pane

När du har valt en intresseenhet ändras informationsfönstret för att visa information om den valda entitetstypen, historisk information när den är tillgänglig och erbjuder kontroller för att vidta åtgärder på den här enheten direkt från aviseringssidan. Once you've selected an entity of interest, the details pane will change to display information about the selected entity type, historic information when it's available, and offer controls to take action on this entity directly from the alert page.

När du har undersökt klart går du tillbaka till den avisering du började med, markerar aviseringens status som Löst och klassificerar den som antingen Falsk avisering eller Sant-avisering.Once you're done investigating, go back to the alert you started with, mark the alert's status as Resolved and classify it as either False alert or True alert. Klassificera aviseringar hjälper till att finjustera den här funktionen för att ge mer sanna aviseringar och mindre falska aviseringar.Classifying alerts helps tune this capability to provide more true alerts and less false alerts.

Om du klassificerar det som en verklig varning kan du också välja ett avgörande, som visas i bilden nedan.If you classify it as a true alert, you can also select a determination, as shown in the image below.

Ett avsnitt av informationsfönstret med en löst avisering och den expanderade listrutan för determination

Om du får en falsk avisering med ett affärsprogram skapar du en regel för att undvika den här typen av avisering i framtiden.If you are experiencing a false alert with a line-of-business application, create a suppression rule to avoid this type of alert in the future.

åtgärder och klassificering i informationsfönstret med regeln markerad

Tips

Om du har problem som inte beskrivs ovan kan du använda knappen för 🙂 att ge feedback eller öppna ett supportärenden.If you're experiencing any issues not described above, use the 🙂 button to provide feedback or open a support ticket.