Hantera Microsoft Defender för Endpoint aviseringar

  • Artikel

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Defender för Endpoint meddelar dig om möjliga skadliga händelser, attribut och sammanhangsberoende information via aviseringar. En sammanfattning av nya aviseringar visas och du kan komma åt alla aviseringar i aviseringskön.

Du kan hantera aviseringar genom att välja en avisering i kön Aviseringar eller fliken Aviseringar på sidan Enhet för en enskild enhet.

Om du väljer en avisering på någon av dessa platser visas fönstret Aviseringshantering.

Fönstret Aviseringshantering och aviseringskön

Titta på den här videon om du vill lära dig hur du använder den nya aviseringssidan för Microsoft Defender för Endpoint.

Du kan skapa en ny incident från aviseringen eller länka till en befintlig incident.

Tilldela aviseringar

Om en avisering ännu inte har tilldelats kan du välja Tilldela till mig för att tilldela aviseringen till dig själv.

Ignorera aviseringar

Det kan finnas scenarier där du behöver förhindra att aviseringar visas i Microsoft Defender XDR. Med Defender för Endpoint kan du skapa undertryckningsregler för specifika aviseringar som är kända för att vara harmlösa, till exempel kända verktyg eller processer i din organisation.

Undertryckningsregler kan skapas från en befintlig avisering. De kan inaktiveras och återanvändas om det behövs.

När en undertryckningsregel skapas börjar den gälla från den tidpunkt då regeln skapas. Regeln påverkar inte befintliga aviseringar som redan finns i kön innan regeln skapas. Regeln tillämpas endast på aviseringar som uppfyller de villkor som angetts när regeln har skapats.

Det finns två kontexter för en undertryckningsregel som du kan välja mellan:

  • Ignorera aviseringar på den här enheten
  • Ignorera aviseringar i min organisation

Med regelns kontext kan du skräddarsy det som visas i portalen och se till att endast verkliga säkerhetsaviseringar visas i portalen.

Du kan använda exemplen i följande tabell för att välja kontext för en undertryckningsregel:

Sammanhang Definition Exempelscenarier
Ignorera aviseringar på den här enheten Aviseringar med samma aviseringsrubrik och endast på den specifika enheten ignoreras.

Alla andra aviseringar på enheten ignoreras inte.
  • En säkerhetsforskare undersöker ett skadligt skript som har använts för att attackera andra enheter i din organisation.
  • En utvecklare skapar regelbundet PowerShell-skript för sitt team.
Ignorera aviseringar i min organisation Aviseringar med samma aviseringsrubrik på alla enheter ignoreras.
  • Ett oartat administrativt verktyg används av alla i din organisation.

Ignorera en avisering och skapa en ny undertryckningsregel

Skapa anpassade regler för att styra när aviseringar ignoreras eller matchas. Du kan styra kontexten för när en avisering ignoreras genom att ange aviseringsrubriken, indikatorn för kompromiss och villkoren. När du har angett kontexten kan du konfigurera åtgärden och omfånget för aviseringen.

  1. Välj den avisering som du vill ignorera. Då öppnas fönstret Aviseringshantering .

  2. Välj Skapa en undertryckningsregel.

    Du kan skapa ett undertryckningsvillkor med hjälp av dessa attribut. En AND-operator tillämpas mellan varje villkor, så undertryckning sker bara om alla villkor uppfylls.

    • Fil SHA1
    • Filnamn – jokertecken stöds
    • Mappsökväg – jokertecken stöds
    • IP-adress
    • URL – jokertecken stöds
    • Kommandorad – jokertecken stöds

  3. Välj utlösande IOK.

  4. Ange åtgärden och omfånget för aviseringen.

    Du kan lösa en avisering automatiskt eller dölja den från portalen. Aviseringar som matchas automatiskt visas i det lösta avsnittet i aviseringskön, aviseringssidan och enhetens tidslinje och visas som lösta i Defender för Endpoint-API:er.

    Aviseringar som är markerade som dolda kommer att ignoreras från hela systemet, både på enhetens associerade aviseringar och från instrumentpanelen och kommer inte att strömmas över Defender för Endpoint-API:er.

  5. Ange ett regelnamn och en kommentar.

  6. Klicka på Spara.

Visa listan över regler för undertryckning

  1. I navigeringsfönstret väljer du Inställningar>SlutpunkterRegler>Aviseringsundertryckning>.

  2. Listan över undertryckningsregler visar alla regler som användare i din organisation har skapat.

Mer information om hur du hanterar undertryckningsregler finns i Hantera undertryckningsregler

Ändra status för en avisering

Du kan kategorisera aviseringar (som Ny, Pågår eller Löst) genom att ändra deras status när undersökningen fortskrider. Detta hjälper dig att organisera och hantera hur ditt team kan svara på aviseringar.

En gruppledare kan till exempel granska alla nya aviseringar och välja att tilldela dem till kön Pågår för ytterligare analys.

Alternativt kan gruppledaren tilldela aviseringen till den lösta kön om de vet att aviseringen är godartad, kommer från en enhet som är irrelevant (till exempel en som tillhör en säkerhetsadministratör) eller hanteras via en tidigare avisering.

Aviseringsklassificering

Du kan välja att inte ange en klassificering eller ange om en avisering är en sann avisering eller en falsk avisering. Det är viktigt att ange klassificeringen av sann positiv/falsk positiv identifiering. Den här klassificeringen används för att övervaka aviseringskvaliteten och göra aviseringarna mer exakta. Fältet "bestämning" definierar ytterligare återgivning för en "sann positiv" klassificering.

Stegen för att klassificera aviseringar ingår i den här videon:

Lägg till kommentarer och visa historiken för en avisering

Du kan lägga till kommentarer och visa historiska händelser om en avisering om du vill se tidigare ändringar i aviseringen.

När en ändring eller kommentar görs i en avisering registreras den i avsnittet Kommentarer och historik .

Kommentarer som lagts till visas direkt i fönstret.

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.