調查 Microsoft 365 Defender 中的警示

重要

改良的 Microsoft 365 Defender 入口網站現在可用。 這個新的體驗會將適用於端點的 Defender、適用於 Office 365 的 Defender、Microsoft 365 Defender 和更多功能帶到 Microsoft 365 Defender 入口網站。 了解新功能

適用於:

  • Microsoft 365 Defender

提醒是指所有的事件,並指出您環境中發生惡意或可疑事件的基礎。 警示通常是廣泛攻擊的一部分,並提供有關事件的線索。

在 Microsoft 365 Defender 中,會將相關的警示彙集在一起,以形成事件。 事件一定會提供更廣泛的攻擊內容,不過,當需要深入分析時,分析警示可能很重要。

[ 警示] 佇列 會顯示目前的警示集。 您可以從事件中取得警示佇列 & 警示 > Microsoft 365 Defender 入口網站的快速啟動上的警示。

Microsoft 365 Defender 入口網站中警示佇列的範例。

不同 microsoft security 解決方案(如 microsoft defender for Endpoint、microsoft defender for Office 365 和 Microsoft 365 Defender)中的警示會出現在這裡。

根據預設,Microsoft 365 Defender 入口網站中的 [警示] 佇列會顯示過去30天的新和進行中的警示。 最新的警示是在清單頂端,您可以先查看它。

您可以從預設的 [提醒] 佇列中,選取 [ 篩選 ],以查看 篩選 窗格,您可以從中指定提醒的子集。 以下為範例。

Microsoft 365 Defender 入口網站中 [警示] 佇列的 [篩選] 窗格的範例。

您可以根據這些準則來篩選警示:

  • 嚴重性
  • 狀態
  • 服務來源
  • 受影響資產
  • 自動調查狀態

Office 365 警示之 Defender 的必要角色

您必須具有下列任何角色,才能存取 Microsoft Defender 以取得 Office 365 警示:

  • Azure Active Directory (Azure AD) 通用角色:

    • 全域管理員

    • 安全性系統管理員

    • 安全性操作員

    • 全域讀取者

    • 安全性讀取者

  • Office 365 安全性 & 合規性角色群組

    • 合規性系統管理員

    • 組織管理

  • 自訂角色

分析警示

若要查看 [主要提醒] 頁面,請選取警示的名稱。 以下為範例。

Microsoft 365 Defender 入口網站中警示的詳細資料頁面範例。

您也可以從 [管理警示] 窗格中選取 [開啟主要警示] 頁面 動作。

警示頁面是由下列區段所組成:

  • 警示案例,這是以時間順序與此警示相關的事件及警示鏈
  • 摘要詳細資料

在 [警示] 頁面中,您可以選取任何實體旁的省略號 () ... ],以查看可用的動作,例如開啟警示頁面或將警示連結至另一個事件。

警示來源

Microsoft 365 Defender 警示可能來自 microsoft defender for Endpoint、microsoft defender for Office 365、microsoft defender for 雲端應用程式,以及適用于 Microsoft defender for 雲端應用程式的應用程式管理附加元件等解決方案。 您可能會注意到警示中帶有前置字元的警示。 下表提供指導方針,可協助您瞭解根據警示上的前置字母,警示來源的對應。

注意

  • 預置的 Guid 只是針對整合的經驗,例如整合的警示佇列、整合的提醒頁面、整合調查和整合事件。
  • 預先符不會變更警示的 GUID。 GUID 的唯一變更是預置的元件。
警示來源 預先符
適用於 Office 365 的 Microsoft Defender fa{GUID}
範例:fa123a456b-c789-1d2e-12f1g33h445h6i
適用於端點的 Microsoft Defender daed 自訂偵測警示
適用於身分識別的 Microsoft Defender aa{GUID}
範例:aa123a456b-c789-1d2e-12f1g33h445h6i
Microsoft 雲端 App 安全性 ca{GUID}
範例:ca123a456b-c789-1d2e-12f1g33h445h6i

分析受影響的資產

[ 採取的動作 ] 區段包含受影響的資產清單,例如信箱、裝置,以及受此警示影響的使用者。

您也可以 在 [操作中心] 中選取 [view] (查看),以在 Microsoft 365 Defender 入口網站中查看 動作中心 的 [記錄] 索引卷

追蹤警示案例中的警示角色

警示案例會在處理樹狀檢視中顯示與警示相關的所有資產或實體。 當您第一次在選取的警示頁面上移動時,標題中的警示會是焦點。 提醒文章中的資產可展開和按一下。 它們可讓您在警示頁面的內容中採取動作,以提供額外的資訊並加速您的回應。

注意

「警示案例」區段中可能會包含一個以上的警示,在您所選取的警示之前或之後,會顯示與相同執行樹狀目錄相關的其他警示。

在 [詳細資料] 頁面上查看其他警示資訊

[詳細資料] 頁面會顯示所選警示的詳細資料,以及與其相關聯的詳細資料和動作。 如果您選取預警案例中的任何受影響的資產或實體,[詳細資料] 頁面會變更,以提供所選物件的上下文資訊和動作。

當您選取相關實體時,[詳細資料] 頁面會變更,以顯示所選實體類型的相關資訊、可用的歷史資訊,以及直接從 [警示] 頁面對此實體採取動作的選項。

管理警示

若要管理警示,請在其所在列的 [警示] 佇列中選取警示,以查看 [ 管理警示 ] 窗格。 以下為範例。

Microsoft 365 Defender 入口網站中警示的摘要窗格範例。

[ 管理警示 ] 窗格可讓您查看或指定下列專案:

  • 警示狀態 (新的,已解決,正在進行中) 。
  • 已指派警示的使用者帳戶
  • 警示的分類 (未設定、True 警示、False 警示) 。
  • 針對分類為 true 的警示,在 [ 判斷 ] 欄位中,警示的威脅類型。
  • 警示上的批註。

注意

透過使用標記來管理提醒的一種方式。 Microsoft Defender for Office 365 的標籤功能會逐漸向內進行,而且目前在預覽中。
目前,已修改的標籤名稱只會套用至更新 所建立的警示。 在修改之前產生的警示將不會反映已更新的標記名稱。

您也可以從這個窗格執行下列額外的動作:

  • 開啟 [主要提醒] 頁面
  • 諮詢 Microsoft 威脅專家
  • 查看提交
  • 連結至另一個事件
  • 在時程表中查看警示
  • 建立隱藏規則

以下為範例。

Microsoft 365 Defender 入口網站上警示的動作範例

其他動作的清單取決於警示類型。

解決警示

當您完成對警示的分析而且可以解決後,請移至 [ 管理警示 ] 窗格中的警示,並將 it 狀態標示為 [ 已解決 ],然後將其歸類為 錯誤警示True 警示。 若為 true 警示,請在 判斷 欄位中指定警示的威脅類型。

分類提醒並指定其判斷,可協助調整 Microsoft 365 Defender,以提供更真實的警示及較少的虛假警示。

使用 Power Automate 來會審提醒

(SecOps) 小組的新式安全性作業必須能夠自動化才能有效地運作。 為了專注搜尋並調查實際威脅,SecOps 小組會使用 Power Automate 來透過警示清單進行會審,並消除不威脅的清單。

解決通知的準則

  • 使用者已開啟外出郵件

  • 使用者未標記為高風險

如果兩者皆為 true,則 SecOps 會將警示標示為合法的旅行,並加以解決。 在解決警示之後,會在 Microsoft Teams 中發佈通知。

連線 Power Automate 雲端應用程式的 Microsoft Defender

若要建立自動化,您必須先有 API 權杖,才能將 Power Automate 連接至 Cloud app 的 Microsoft Defender。

  1. 按一下 [設定],選取 [安全性擴充],然後按一下 [ API 標記] 索引標籤中的 [新增標記]。

  2. 提供您權杖的名稱,然後按一下 [ 產生]。 儲存標記,以後您會需要它。

建立自動化流程

如需詳細的逐步程式,請參閱 這裡的影片。

這段影片也說明如何將電源自動化連線到雲端應用程式的 Defender。

後續步驟

視需要進行處理內事件,繼續進行 調查

請參閱