檢閱 適用於端點的 Microsoft Defender 中的警示

  • 發行項

適用於:

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

適用於端點的 Microsoft Defender 中的 [警示] 頁面會結合與所選警示相關的攻擊訊號和警示,以建構詳細的警示案例,以提供警示的完整內容。

針對影響貴組織的警示快速分級、調查及採取有效動作。 了解觸發的原因,以及它們對某個位置的影響。 在此概觀中深入瞭解。

開始使用警示

在適用於端點的 Defender 中選取警示的名稱,會讓您進入其警示頁面。 在警示頁面上,所有信息都會顯示在所選取警示的內容中。 每個警示頁面包含 4 個區段:

  1. 警示標題 會顯示警示的名稱,並提醒您,無論您在頁面上選取的項目為何,哪一個警示都會開始您目前的調查。
  2. 受影響的資產 會列出受此警示影響的裝置和使用者卡片,可按兩下以取得進一步的信息和動作。
  3. 警示劇本會顯示與警示相關的所有實體,並由樹視圖互連。 當您第一次登陸選取的警示頁面時,標題中的警示會成為焦點。 警示案例中的實體是可展開且可點選的,可提供其他資訊,並可讓您直接在警示頁面的內容中採取動作來加速回應。 使用警示案例來開始調查。 瞭解如何在 適用於端點的 Microsoft Defender 中調查警示
  4. 詳細數據窗格一開始會顯示所選警示的詳細數據,以及與此警示相關的詳細數據和動作。 如果您在警示本文中選取任何受影響的資產或實體,詳細數據窗格將會變更,以提供所選物件的內容資訊和動作。

記下警示的偵測狀態。

  • 已防止:已避免嘗試的可疑動作。 例如,檔案未寫入磁碟或執行。

    顯示威脅防護的頁面

  • 已封鎖:已執行可疑行為,然後遭到封鎖。 例如,已執行進程,但由於其後續出現可疑的行為,因此進程已終止。

    顯示威脅封鎖的頁面

  • 偵測到:偵測到攻擊,可能仍在作用中。

    顯示威脅偵測的頁面

接著,您也可以在警示的詳細數據窗格中檢閱 自動化調查詳細 數據,以查看已採取的動作,以及閱讀警示的描述以了解建議的動作。

醒目提示警示描述和自動調查區段的詳細數據窗格

警示開啟時,詳細數據窗格中可用的其他資訊包括 MITRE 技術、來源和其他內容相關詳細數據。

注意事項

如果您看到 不支援的警示類型警示 狀態,這表示自動化調查功能無法挑選該警示來執行自動化調查。 不過,您可以 手動調查這些警示

檢閱受影響的資產

在受影響的資產區段中選取裝置或使用者卡片,將會切換至詳細數據窗格中裝置或使用者的詳細數據。

  • 對於裝置,詳細數據窗格會顯示裝置本身的相關信息,例如網域、操作系統和IP。 您也可以使用作用中警示和該裝置上登入的使用者。 您可以藉由隔離裝置、限制應用程式執行,或執行防病毒軟體掃描,立即採取動作。 或者,您可以收集調查套件、起始自動化調查,或移至裝置頁面,從裝置的觀點進行調查。

    選取裝置時的詳細數據窗格

  • 對於使用者,詳細數據窗格會顯示詳細的用戶資訊,例如使用者的 SAM 名稱和 SID,以及此使用者所執行的登入類型,以及任何相關警示和事件。 您可以選取 [開啟用戶頁面 ],從該使用者的觀點繼續調查。

    選取使用者時的詳細資料窗格

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。