Hantera Microsoft Defender för slutpunktsaviseringar
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft 365 Defender
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Defender för Endpoint meddelar dig om möjliga skadliga händelser, attribut och sammanhangsberoende information via aviseringar. En sammanfattning av nya aviseringar visas i instrumentpanelen för säkerhetsåtgärder, och du kan komma åt alla aviseringar i kön Aviseringar.
Du kan hantera aviseringar genom att välja en avisering i kön Aviseringar eller fliken Aviseringar på sidan Enhet för en enskild enhet.
Om du väljer en avisering på någon av dessa platser visas fönstret Aviseringshantering.

Länka till ett annat incident
Du kan skapa en ny händelse utifrån aviseringen eller länka till en befintlig händelse.
Tilldela aviseringar
Om en avisering ännu inte har tilldelats kan du välja Tilldela till mig och tilldela aviseringen till dig själv.
Utelämna aviseringar
Det kan finnas scenarier där du behöver hindra aviseringar från att visas i Microsoft 365 Defender. Med Defender för slutpunkt kan du skapa regler för särskilda varningar som är kända för att vara obesvarade, till exempel kända verktyg och processer i organisationen.
Regler som måste skapas utifrån en befintlig avisering. De kan inaktiveras och återaktiveras om det behövs.
När en regel för regel skapas börjar den gälla från och med då regeln skapas. Regeln påverkar inte befintliga aviseringar som redan finns i kön, innan regeln skapas. Regeln kommer bara att tillämpas på aviseringar som uppfyller villkoren efter att regeln har skapats.
Det finns två sammanhang för en regel för kontext som du kan välja bland:
- Varna inte på den här enheten
- Hindra aviseringar i min organisation
Med kontexten för regeln kan du anpassa vad som visas i portalen och se till att bara faktiska säkerhetsvarningar visas i portalen.
Du kan använda exemplen i följande tabell för att hjälpa dig att välja kontext för en regel:
| Sammanhang | Definition | Exempelscenarier |
|---|---|---|
| Varna inte på den här enheten | Aviseringar med samma aviseringstitel och endast på den specifika enheten ignoreras. Alla andra aviseringar på enheten ignoreras inte. |
|
| Hindra aviseringar i min organisation | Aviseringar med samma aviseringstitel på alla enheter kommer att döljas. |
|
Ignorera en avisering och skapa en ny regel för att ignorera regeln
Skapa anpassade regler för att styra när aviseringar utelämnas eller matchas. Du kan styra kontexten för när en avisering utelämnas genom att ange aviseringsrubrik, Indikatorn på kompromettering och villkoren. När du har specificerat kontexten kan du konfigurera åtgärden och omfattningen för aviseringen.
Välj den avisering du vill dölja. Detta visar fönstret Aviseringshantering.
Välj Skapa en regel för regel.
Du kan skapa ett sådana villkor med hjälp av de här attributen. En OCH-operator tillämpas mellan varje villkor, så att fall endast inträffar om alla villkor uppfylls.
- Fil-SHA1
- Filnamn – jokertecken stöds
- Mappsökväg – jokertecken stöds
- IP-adress
- URL – jokertecken stöds
- Kommandorad – jokertecken som stöds
Välj utlösande IOC.
Ange åtgärden och omfattningen för aviseringen.
Du kan automatiskt lösa en avisering eller dölja den från portalen. Aviseringar som matchas automatiskt visas i den lösta delen av aviseringskön, aviseringssidan och enhetens tidslinje och visas som lösta i Defender för slutpunkts-API:er.
Aviseringar som markeras som dolda döljs från hela systemet, både på enhetens associerade aviseringar och från instrumentpanelen och strömmas inte över Defender för slutpunkts-API:er.
Ange ett regelnamn och en kommentar.
Klicka på Spara.
Visa listan över regler för regler
I navigeringsfönstret väljer du Inställningar > aviseringsvarning.
Listan med regelregler visar alla regler som användare i organisationen har skapat.
Mer information om hur du hanterar regelsamlingsregler finns i Hantera regelhantering
Ändra status för en avisering
Du kan kategorisera aviseringar (som Ny, Pågår eller Löst) genom att ändra deras status allt eftersom din undersökning fortskrider. På så sätt kan du organisera och hantera hur din grupp kan svara på aviseringar.
En gruppledare kan till exempel granska alla Nya aviseringar och välja att tilldela dem till kön Pågår för ytterligare analys.
Gruppledaren kan också tilldela aviseringen till kön Löst om de vet att aviseringen är från en enhet som är irrelevant (till exempel en som tillhör en säkerhetsadministratör) eller tas itu med via en tidigare avisering.
Aviseringsklassificering
Du kan välja att inte ange en klassificering eller om en avisering är en verklig avisering eller en falsk avisering. Det är viktigt att ange klassificeringen sant positiv/falsk positiv. Den här klassificeringen används för att övervaka aviseringskvaliteten och göra aviseringarna mer exakta. Fältet "determination" definierar ytterligare återgivning för en "sant positiv" klassificering.
Lägga till kommentarer och visa historiken för en avisering
Du kan lägga till kommentarer och visa historiska händelser om en avisering om du vill se tidigare ändringar i aviseringen.
När en ändring eller kommentar görs i en avisering registreras den i avsnittet Kommentarer och historik.
Tillagda kommentarer visas direkt i fönstret.
Relaterade ämnen
- Hantera undertryckande regler
- Visa och ordna kön Microsoft Defender för slutpunktsaviseringar
- Undersöka Microsoft Defender för slutpunktsaviseringar
- Undersöka en fil som är kopplad till en Microsoft Defender för slutpunktsavisering
- Undersöka enheter i listan Microsoft Defender för slutpunktsenheter
- Undersöka en IP-adress som är kopplad till en Microsoft Defender för Slutpunktsavisering
- Undersöka en domän som är kopplad till en Microsoft Defender för slutpunktsavisering
- Undersöka ett användarkonto i Microsoft Defender för Endpoint