Granska aviseringar i Microsoft Defender för Slutpunkt
Gäller för:
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Aviseringssidan i Microsoft Defender för Slutpunkt ger full kontext för aviseringen genom att kombinera attacksignaler och aviseringar relaterade till den valda aviseringen för att skapa en detaljerad aviseringsartikel.
Du kan snabbt organisera, undersöka och vidta effektiva åtgärder på aviseringar som påverkar organisationen. Förstå varför de utlöstes och deras påverkan från en plats. Läs mer i den här översikten.
Komma igång med en avisering
Om du väljer namnet på en avisering i Defender för Endpoint hamnar du på aviseringssidan. På aviseringssidan visas all information i samband med den valda aviseringen. Varje aviseringssida består av 4 avsnitt:
- Aviseringsrubriken visar aviseringens namn och finns där för att påminna dig om vilken avisering som startade den aktuella undersökningen oavsett vad du valde på sidan.
- Berörda tillgångar visar korten för enheter och användare som påverkas av den här aviseringen som kan klickas för ytterligare information och åtgärder.
- I aviseringsartikeln visas alla enheter som är relaterade till aviseringen, sammankopplade med en trädvy. Aviseringen i rubriken kommer att vara den som är i fokus när du först kommer till den valda aviseringens sida. Enheter i aviseringsinformationen är expanderbara och klickbara, för att ge ytterligare information och underlätta svar genom att göra det möjligt att vidta åtgärder direkt i kontexten för aviseringssidan. Använd aviseringsartikeln för att starta din undersökning. Läs mer i Undersöka aviseringar i Microsoft Defender för Slutpunkt.
- I informationsfönstret visas först information om den valda aviseringen med information och åtgärder relaterade till den här aviseringen. Om du väljer någon av de berörda tillgångarna eller enheterna i aviseringsinformationen ändras informationsfönstret för att ge sammanhangsberoende information och åtgärder för det valda objektet.
Observera identifieringsstatus för din avisering.
Förhindrad: Den misstänkta åtgärden som du försökte undvika. Till exempel har en fil antingen inte skrivits på disken eller körts.

Blockerat: Misstänkt beteende utfördes och blockerades sedan. En process utfördes till exempel, men eftersom misstänkt beteende senare visades i den, avslutas processen.

Upptäckt: En attack identifierades och är eventuellt fortfarande aktiv.

Du kan sedan också granska automatisk undersökningsinformation i aviseringens informationsfönster för att se vilka åtgärder som redan har vidtagits samt läsa beskrivningen av aviseringen för rekommenderade åtgärder.

Annan information som är tillgänglig i informationsfönstret när aviseringen öppnas innehåller MITRE-tekniker, källa och ytterligare kontextinformation.
Granska påverkade tillgångar
Om du väljer en enhet eller ett användarkort i avsnitten för de berörda tillgångarna växlas du till informationen om enheten eller användaren i informationsfönstret.
För enheter visar informationsfönstret information om själva enheten, som Domän, Operativsystem och IP. Aktiva aviseringar och inloggade användare på enheten är också tillgängliga. Du kan vidta åtgärder omedelbart genom att isolera enheten, begränsa appkörningen eller köra en antivirussökning. Alternativt kan du samla in ett undersökningspaket, initiera en automatisk undersökning eller gå till enhetssidan för att undersöka ur enhetens perspektiv.

För användare visar informationsfönstret detaljerad användarinformation, till exempel användarens SAM-namn och SID, samt inloggningstyper som utförs av användaren och eventuella aviseringar och incidenter relaterade till den. Du kan välja Öppna användarsida för att fortsätta undersökningen från användarens perspektiv.
