檢視及組織適用於端點的 Microsoft Defender 警示佇列

適用於:

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

警示佇列 顯示從您網路中的裝置標記的警示清單。 依預設,佇列會顯示過去30天的分組視圖中看到的警示。 最新的警示會顯示在清單的頂端,可協助您先看到最近的警示。

注意

自動調查和修正會大幅減少警示,讓安全性作業專家能夠將重點放在更複雜的威脅及其他高價值計畫上。 當警示包含自動調查的支援實體時 (例如,在具有支援之作業系統之裝置中的檔案) ,便可以開始進行自動調查和修正。 如需自動調查的詳細資訊,請參閱 自動化調查的概述

您可以從數個選項中選擇自訂提醒視圖。

您可以在上方導覽上進行下列作業:

  • 自訂欄以新增或移除欄
  • 套用篩選
  • 顯示特定持續時間的提醒,如1天、3天、1周、30天和6個月
  • 將警示清單匯出至 excel
  • 管理提醒

[提醒] 佇列頁面

排序及篩選提醒

您可以套用下列篩選器來限制警示清單,並取得更具焦點的警示模式。

嚴重性

警示嚴重性 描述

(Red)
與高級持續性威脅 (APT) 相關聯的警示。 這些警示指出高風險,因為它們可能會對裝置造成損毀。 一些範例包括:認證盜竊工具活動、未與任何群組相關聯的勒索軟體活動、篡改安全性感應器,或任何惡意活動表示的人體敵人。

(橙色)
Endpoint 偵測的警示,以及可能是「高級持續性」威脅 (APT) 部分的入侵後行為。 這些行為包括常見的攻擊階段、反常登錄變更、可疑檔案執行等的觀察行為。 雖然有些可能是內部安全性測試的一部分,但它需要進行調查,因為它也可能是高級攻擊的一部分。

(黃色)
與流行惡意程式碼相關聯的威脅警示。 例如,駭客的非惡意程式碼駭客工具(例如執行探索命令、清除記錄等)通常不表示組織的高級威脅。 它也可以來自組織中的使用者所進行的隔離安全性工具測試。
參考
(灰色)
可能不會被視為對網路有害,但可促進組織對潛在安全性問題的安全性意識的警示。

瞭解警示嚴重性

Microsoft Defender 防毒軟體 (Microsoft Defender AV) 和 Defender for Endpoint alert 嚴重性不同,因為它們代表不同的範圍。

Microsoft Defender 防毒軟體威脅嚴重性代表偵測到之威脅 (惡意程式碼) 的絕對嚴重性,並根據個別裝置可能的潛在風險(如果受到感染)進行指派。

Defender for Endpoint alert 嚴重性代表偵測到的行為嚴重性、實際的裝置風險,但很重要的是組織的潛在風險。

因此,例如:

  • 已偵測到的 Microsoft Defender 防毒軟體的 Defender for Endpoint alert 相關的嚴重損壞,但未感染裝置的威脅已分類為「資訊」,因為沒有實際的損壞。
  • 執行時偵測到商業惡意程式碼的警示,但由於 Microsoft Defender AV 封鎖並修正,所以歸類為「低」,因為這可能會造成個別裝置的某些損毀,但不會造成任何組織威脅。
  • 執行時偵測到惡意程式碼的警示,其可能不僅會對個別裝置造成威脅,也不論是否最後封鎖,都可能會排名為「中」或「高」。
  • 未封鎖或修正的可疑行為警示,將會排名「低」、「中」或「高」,遵循相同的組織威脅考慮。

狀態

您可以選擇根據其狀態來篩選警示清單。

類別

我們已重新定義警示類別,使其符合MITRE ATT&CK matrix中的企業攻擊戰術。 新的類別名稱會套用至所有新的警示。 現有的提醒會保留先前的類別名稱。

服務來源

Microsoft 威脅專家預覽參與者現在可以篩選並查看新威脅專家管理之搜尋服務中的偵測結果。

根據下列服務來源篩選警示:

  • 適用於身分識別的 Microsoft Defender
  • Microsoft 雲端 App 安全性
  • 適用於端點的 Microsoft Defender
  • Microsoft 365 Defender
  • 適用於 Office 365 的 Microsoft Defender
  • 應用程式管理
  • AAD 身分識別保護

注意

只有在裝置使用 Microsoft Defender 防毒軟體作為預設即時保護反惡意軟體產品時,才會顯示防病毒篩選器。

標記

您可以根據指派給提醒的標記來篩選警示。

原則

您可以根據下列原則篩選警示:

偵測來源 API 值
協力廠商感應器 ThirdPartySensors
防毒軟體 WindowsDefenderAv
自動調查 AutomatedInvestigation
自訂偵測 CustomDetection
自訂 TI CustomerTI
EDR WindowsDefenderAtp
Microsoft 365 Defender 具有 MTP 之
適用於 Office 365 的 Microsoft Defender OfficeATP
Microsoft 威脅專家 ThreatExperts
SmartScreen WindowsDefenderSmartScreen

實體

您可以根據機構名稱或識別碼來篩選警示。

自動調查狀態

您可以選擇根據自動調查狀態來篩選警示。