調查 Microsoft Defender for Endpoint 中的警示

適用於:

想要體驗 Defender for Endpoint? 注册免費試用版。

調查影響網路的警示,瞭解其含義及解決方法。

選取 [警示] 佇列中的警示,以移至 [警示] 頁面。 此視圖包含提醒標題、受影響的資產、詳細資料側窗格及警示案例。

在 [警示] 頁面中,選取 [警示案例] 樹狀目錄中的受影響資產或任何實體,以開始調查。 [詳細資料] 窗格會自動填入有關您所選取之專案的詳細資訊。 若要查看您可以在這裡查看的資訊類型,請閱讀 Microsoft Defender For Endpoint 中的審閱警示

使用警示案例調查

警示案例會詳細說明觸發警示的原因、之前與之後發生的相關事件,以及其他相關實體。

實體是可按一下的,而每個非警示的實體都會使用該實體的卡片右側的展開圖示展開。 焦點中的實體會由該實體卡片左側的藍色點線表示,而且標題中的警示會先開始。

展開實體以快速查看詳細資料。 選取實體會將詳細資料窗格的內容切換至此實體,並可讓您複查進一步的資訊,以及管理該實體。 在實體卡片 右邊選取 [...] ,會顯示該實體所有可用的動作。 當該實體處於焦點中時,這些相同動作會出現在詳細資料窗格中。

注意

「警示案例」區段中可能會包含一個以上的警示,在您所選取的警示之前或之後,會顯示與相同執行樹狀目錄相關的其他警示。

警示案例的範例,具有專注的警示及部分擴充的卡片。

從詳細資料窗格採取動作

當您選取相關實體時,詳細資料窗格會變更,以顯示所選實體類型的相關資訊,並提供歷史資訊,以直接從警示頁面對此實體 採取動作

完成調查後,請回到您已開始的警示,將警示的狀態標示為 [ 已解決 ],然後將其歸類為 False 警示True 警示。 分類提醒可協助調整這項功能,以提供更真實的警示及不太虛假的警示。

如果您將其歸類為 true 警示,您也可以選取判斷,如下圖所示。

詳細資料窗格中的 [詳細資料] 窗格,包含已解析的警示及已展開的確定下拉式清單。

如果您遇到的是與企業營運相關的預警,請建立抑制規則,以避免未來出現這種類型的警示。

詳細資料窗格中的動作和分類,顯示抑制規則。

提示

如果您遇到上述任何問題,請使用 🙂 按鈕提供意見反應或開啟支援票證。