Hantera Microsoft Defender för slutpunktsaviseringarManage Microsoft Defender for Endpoint alerts

Gäller för:Applies to:

Vill du använda Defender för Slutpunkt?Want to experience Defender for Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.Sign up for a free trial.

Defender för Endpoint meddelar dig om möjliga skadliga händelser, attribut och sammanhangsberoende information via aviseringar.Defender for Endpoint notifies you of possible malicious events, attributes, and contextual information through alerts. En sammanfattning av nya aviseringar visas i instrumentpanelen för säkerhetsåtgärder, och du kan komma åt alla aviseringar i kön Aviseringar.A summary of new alerts is displayed in the Security operations dashboard, and you can access all alerts in the Alerts queue.

Du kan hantera aviseringar genom att välja en avisering i kön Aviseringar eller fliken Aviseringar på sidan Enhet för en enskild enhet.You can manage alerts by selecting an alert in the Alerts queue, or the Alerts tab of the Device page for an individual device.

Om du väljer en avisering på någon av dessa platser visas fönstret Aviseringshantering.Selecting an alert in either of those places brings up the Alert management pane.

Bild på fönstret för aviseringshantering och aviseringskön

Du kan skapa en ny händelse utifrån aviseringen eller länka till en befintlig händelse.You can create a new incident from the alert or link to an existing incident.

Tilldela aviseringarAssign alerts

Om en avisering ännu inte har tilldelats kan du välja Tilldela till mig och tilldela aviseringen till dig själv.If an alert is not yet assigned, you can select Assign to me to assign the alert to yourself.

Utelämna aviseringarSuppress alerts

Det kan finnas scenarier där du behöver hindra aviseringar från att visas i Microsoft Defender Säkerhetscenter.There might be scenarios where you need to suppress alerts from appearing in Microsoft Defender Security Center. Med Defender för slutpunkt kan du skapa regler för särskilda varningar som är kända för att vara obesvarade, till exempel kända verktyg och processer i organisationen.Defender for Endpoint lets you create suppression rules for specific alerts that are known to be innocuous such as known tools or processes in your organization.

Regler som måste skapas utifrån en befintlig avisering.Suppression rules can be created from an existing alert. De kan inaktiveras och återaktiveras om det behövs.They can be disabled and reenabled if needed.

När en regel för regel skapas börjar den gälla från och med då regeln skapas.When a suppression rule is created, it will take effect from the point when the rule is created. Regeln påverkar inte befintliga aviseringar som redan finns i kön, innan regeln skapas.The rule will not affect existing alerts already in the queue, prior to the rule creation. Regeln kommer bara att tillämpas på aviseringar som uppfyller villkoren efter att regeln har skapats.The rule will only be applied on alerts that satisfy the conditions set after the rule is created.

Det finns två sammanhang för en regel för kontext som du kan välja bland:There are two contexts for a suppression rule that you can choose from:

  • Varna inte på den här enhetenSuppress alert on this device
  • Hindra aviseringar i min organisationSuppress alert in my organization

Med kontexten för regeln kan du anpassa vad som visas i portalen och se till att bara faktiska säkerhetsvarningar visas i portalen.The context of the rule lets you tailor what gets surfaced into the portal and ensure that only real security alerts are surfaced into the portal.

Du kan använda exemplen i följande tabell för att hjälpa dig att välja kontext för en regel:You can use the examples in the following table to help you choose the context for a suppression rule:

SammanhangContext DefinitionDefinition ExempelscenarierExample scenarios
Varna inte på den här enhetenSuppress alert on this device Aviseringar med samma aviseringsrubrik och endast på den specifika enheten ignoreras.Alerts with the same alert title and on that specific device only will be suppressed.

Alla andra aviseringar på enheten ignoreras inte.All other alerts on that device will not be suppressed.
  • En säkerhetsundersökning undersöker ett skadligt skript som har använts för att attacka andra enheter i organisationen.A security researcher is investigating a malicious script that has been used to attack other devices in your organization.
  • En utvecklare skapar regelbundet PowerShell-skript åt sitt team.A developer regularly creates PowerShell scripts for their team.
Hindra aviseringar i min organisationSuppress alert in my organization Aviseringar med samma aviseringstitel på alla enheter kommer att döljas.Alerts with the same alert title on any device will be suppressed.
  • Administrativa administratörsverktyg används av alla i organisationen.A benign administrative tool is used by everyone in your organization.

Ignorera en avisering och skapa en ny regel för att ignorera regeln:Suppress an alert and create a new suppression rule:

Skapa anpassade regler för att styra när aviseringar utelämnas eller matchas.Create custom rules to control when alerts are suppressed, or resolved. Du kan styra kontexten för när en avisering utelämnas genom att ange aviseringsrubrik, Indikatorn på kompromettering och villkoren.You can control the context for when an alert is suppressed by specifying the alert title, Indicator of compromise, and the conditions. När du har specificerat kontexten kan du konfigurera åtgärden och omfattningen för aviseringen.After specifying the context, you’ll be able to configure the action and scope on the alert.

  1. Välj den avisering du vill dölja.Select the alert you'd like to suppress. Detta visar fönstret Aviseringshantering.This brings up the Alert management pane.

  2. Välj Skapa en regel för regel.Select Create a suppression rule.

    Du kan skapa ett sådana villkor med hjälp av de här attributen.You can create a suppression condition using these attributes. En OCH-operator tillämpas mellan varje villkor, så att fall endast inträffar om alla villkor uppfylls.An AND operator is applied between each condition, so suppression occurs only if all conditions are met.

    • Fil-SHA1File SHA1
    • Filnamn – jokertecken stödsFile name - wildcard supported
    • Mappsökväg – jokertecken stödsFolder path - wildcard supported
    • IP-adressIP address
    • URL – jokertecken stödsURL - wildcard supported
    • Kommandorad – jokertecken som stödsCommand line - wildcard supported
  3. Välj utlösande IOC.Select the Triggering IOC.

  4. Ange åtgärden och omfattningen för aviseringen.Specify the action and scope on the alert.
    Du kan automatiskt lösa en avisering eller dölja den från portalen.You can automatically resolve an alert or hide it from the portal. Aviseringar som matchas automatiskt visas i den lösta delen av aviseringskön, aviseringssidan och enhetens tidslinje och visas som lösta i Defender för slutpunkts-API:er.Alerts that are automatically resolved will appear in the resolved section of the alerts queue, alert page, and device timeline and will appear as resolved across Defender for Endpoint APIs.

    Aviseringar som markeras som dolda döljs från hela systemet, både på enhetens associerade aviseringar och från instrumentpanelen och strömmas inte över Defender för slutpunkts-API:er.Alerts that are marked as hidden will be suppressed from the entire system, both on the device's associated alerts and from the dashboard and will not be streamed across Defender for Endpoint APIs.

  5. Ange ett regelnamn och en kommentar.Enter a rule name and a comment.

  6. Klicka på Spara.Click Save.

Visa listan över regler för reglerView the list of suppression rules

  1. I navigeringsfönstret väljer du Inställningar > aviseringsvarning.In the navigation pane, select Settings > Alert suppression.

  2. Listan med regelregler visar alla regler som användare i organisationen har skapat.The list of suppression rules shows all the rules that users in your organization have created.

Mer information om hur du hanterar regelsamlingsregler finns i Hantera regelhanteringFor more information on managing suppression rules, see Manage suppression rules

Ändra status för en aviseringChange the status of an alert

Du kan kategorisera aviseringar (som Ny, Pågår eller Löst) genom att ändra deras status allt eftersom din undersökning fortskrider.You can categorize alerts (as New, In Progress, or Resolved) by changing their status as your investigation progresses. På så sätt kan du organisera och hantera hur din grupp kan svara på aviseringar.This helps you organize and manage how your team can respond to alerts.

En gruppledare kan till exempel granska alla nya aviseringar och välja att tilldela dem till kön Pågår för ytterligare analys.For example, a team leader can review all New alerts, and decide to assign them to the In Progress queue for further analysis.

Gruppledaren kan också tilldela aviseringen till kön Löst om de vet att aviseringen är från en enhet som är irrelevant (till exempel en som tillhör en säkerhetsadministratör) eller tas itu med via en tidigare avisering.Alternatively, the team leader might assign the alert to the Resolved queue if they know the alert is benign, coming from a device that is irrelevant (such as one belonging to a security administrator), or is being dealt with through an earlier alert.

AviseringsklassificeringAlert classification

Du kan välja att inte ange en klassificering eller om en avisering är en verklig avisering eller en falsk avisering.You can choose not to set a classification, or specify whether an alert is a true alert or a false alert. Det är viktigt att ange klassificeringen sant positiv/falsk positiv.It's important to provide the classification of true positive/false positive. Den här klassificeringen används för att övervaka aviseringskvaliteten och göra aviseringarna mer exakta.This classification is used to monitor alert quality, and make alerts more accurate. Fältet "determination" definierar ytterligare återgivning för en "sant positiv" klassificering.The "determination" field defines additional fidelity for a "true positive" classification.

Lägga till kommentarer och visa historiken för en aviseringAdd comments and view the history of an alert

Du kan lägga till kommentarer och visa historiska händelser om en avisering om du vill se tidigare ändringar i aviseringen.You can add comments and view historical events about an alert to see previous changes made to the alert.

När en ändring eller kommentar görs i en avisering registreras den i avsnittet Kommentarer och historik.Whenever a change or comment is made to an alert, it is recorded in the Comments and history section.

Tillagda kommentarer visas direkt i fönstret.Added comments instantly appear on the pane.