Granska aviseringar i Microsoft Defender för Endpoint

  • Artikel

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Aviseringssidan i Microsoft Defender för Endpoint ger fullständig kontext till aviseringen genom att kombinera attacksignaler och aviseringar relaterade till den valda aviseringen för att skapa en detaljerad aviseringsartikel.

Snabbt sortera, undersöka och vidta effektiva åtgärder för aviseringar som påverkar din organisation. Förstå varför de utlöstes och deras påverkan från en plats. Läs mer i den här översikten.

Komma igång med en avisering

Om du väljer en aviserings namn i Defender för Endpoint hamnar du på aviseringssidan. På aviseringssidan visas all information i kontexten för den valda aviseringen. Varje aviseringssida består av 4 avsnitt:

  1. Aviseringsrubriken visar aviseringens namn och finns där för att påminna dig om vilken avisering som startade din aktuella undersökning oavsett vad du har valt på sidan.
  2. Berörda tillgångar listar kort för enheter och användare som påverkas av den här aviseringen som kan klickas för ytterligare information och åtgärder.
  3. Aviseringsartikeln visar alla entiteter som är relaterade till aviseringen, sammankopplade med en trädvy. Aviseringen i rubriken är den som är i fokus när du först hamnar på den valda aviseringens sida. Entiteter i aviseringsartikeln är utbyggbara och klickbara för att ge ytterligare information och snabba svar genom att göra det möjligt att vidta åtgärder direkt i kontexten för aviseringssidan. Starta undersökningen med hjälp av aviseringsartikeln. Lär dig hur du undersöker aviseringar i Microsoft Defender för Endpoint.
  4. Informationsfönstret visar först information om den valda aviseringen, med information och åtgärder relaterade till den här aviseringen. Om du väljer någon av de berörda tillgångarna eller entiteterna i aviseringsartikeln ändras informationsfönstret för att ge sammanhangsberoende information och åtgärder för det valda objektet.

Observera identifieringsstatusen för din avisering.

  • Förhindrad: Försöket till misstänkt åtgärd undveks. En fil har till exempel inte skrivits till disk eller körts.

    Sidan som visar skydd mot ett hot

  • Blockerad: Misstänkt beteende kördes och blockerades sedan. Till exempel kördes en process, men eftersom den senare uppvisade misstänkta beteenden avslutades processen.

    Sidan som visar blockering av ett hot

  • Identifierat: En attack upptäcktes och är eventuellt fortfarande aktiv.

    Sidan som visar identifiering av ett hot

Du kan sedan också granska informationen om automatiserad undersökning i informationsfönstret för aviseringen för att se vilka åtgärder som redan har vidtagits, samt läsa aviseringens beskrivning för rekommenderade åtgärder.

Informationsfönstret med aviseringsbeskrivningen och automatiska undersökningsavsnitt markerade

Annan information som är tillgänglig i informationsfönstret när aviseringen öppnas innehåller MITRE-tekniker, källa och ytterligare sammanhangsberoende information.

Obs!

Om du ser aviseringsstatusen Aviseringstyp som inte stöds innebär det att funktioner för automatiserad undersökning inte kan hämta aviseringen för att köra en automatiserad undersökning. Du kan dock undersöka dessa aviseringar manuellt.

Granska berörda tillgångar

Om du väljer en enhet eller ett användarkort i avsnitten om berörda tillgångar växlar du till information om enheten eller användaren i informationsfönstret.

  • För enheter visar informationsfönstret information om själva enheten, t.ex. domän, operativsystem och IP. Aktiva aviseringar och inloggade användare på enheten är också tillgängliga. Du kan vidta omedelbara åtgärder genom att isolera enheten, begränsa appkörningen eller köra en antivirusgenomsökning. Du kan också samla in ett undersökningspaket, starta en automatiserad undersökning eller gå till enhetssidan för att undersöka från enhetens synvinkel.

    Informationsfönstret när en enhet väljs

  • För användare visar informationsfönstret detaljerad användarinformation, till exempel användarens SAM-namn och SID, samt inloggningstyper som utförs av den här användaren och eventuella aviseringar och incidenter som är relaterade till den. Du kan välja Öppna användarsida för att fortsätta undersökningen från användarens synvinkel.

    Informationsfönstret när en användare har valts

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.