Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Możesz wyświetlić listę istniejących niestandardowych reguł wykrywania, sprawdzić ich poprzednie przebiegi i przejrzeć alerty, które zostały wyzwolone. Można również uruchomić regułę na żądanie i zmodyfikować ją.
Porada
Alerty zgłaszane przez wykrywanie niestandardowe są dostępne za pośrednictwem alertów i interfejsów API zdarzeń. Aby uzyskać więcej informacji, zobacz Obsługiwane interfejsy API Microsoft Defender XDR.
W przypadku użytkowników, którzy dołączali obszar roboczy Microsoft Sentinel do ujednoliconego portalu Microsoft Defender, lista reguł wykrywania niestandardowego zawiera reguły analizy. Poniższe sekcje mają również zastosowanie do reguł analizy, chyba że wskazano inaczej.
Wyświetlanie istniejących reguł
Aby wyświetlić istniejące niestandardowe reguły wykrywania i reguły analizy, przejdź doobszaru Reguły wykrywania niestandardowegowyszukiwania zagrożeń>.
Możesz filtrować dowolną kolumnę, przechodząc do pozycji Dodaj filtr, wybierając kolumny, dla którego chcesz filtrować, i wybierając pozycję Dodaj. Dla każdej z wybranych kolumn wybierz odpowiednią pigułkę obok pozycji Filtry:, wybierz kolumny, a następnie zastosuj.
Aby wyszukać określone reguły, przejdź do pola wyszukiwania w prawym górnym rogu strony i wprowadź nazwę lub identyfikator reguły, którego szukasz.
W przypadku organizacji z wieloma obszarami roboczymi, które dołączyły wiele obszarów roboczych do Microsoft Defender, można filtrować pod kątem obszarów roboczych przy użyciu kolumn Identyfikator obszaru roboczego lub Nazwa obszaru roboczego.
Na stronie wymieniono wszystkie reguły z następującymi informacjami o przebiegu:
- Ostatnie uruchomienie — kiedy reguła została ostatnio uruchomiona, aby sprawdzić dopasowania zapytań i wygenerować alerty
- Stan ostatniego uruchomienia — czy reguła została pomyślnie uruchomiona (tylko w przypadku niestandardowych reguł wykrywania)
- Następne uruchomienie — następny zaplanowany przebieg
- Stan — czy reguła została włączona, czy wyłączona
Wyświetlanie szczegółów reguły, modyfikowanie reguły i uruchamianie reguły
Aby wyświetlić kompleksowe informacje na temat niestandardowej reguły wykrywania lub reguły analizy, przejdź dopozycji Reguły wykrywania niestandardowegowyszukiwania zagrożeń>, a następnie wybierz nazwę reguły. Następnie można wyświetlić ogólne informacje o regule, w tym informacje, jej stan uruchomienia i zakres. Strona zawiera również listę wyzwolonych alertów i akcji.
Na tej stronie możesz również wykonać następujące akcje w regule:
- Otwórz stronę reguły wykrywania — otwiera stronę reguły wykrywania, aby wyświetlić wyzwolone alerty i przejrzeć akcje (tylko w przypadku niestandardowych reguł wykrywania)
- Uruchom — uruchamia regułę natychmiast; Spowoduje to również zresetowanie interwału dla następnego uruchomienia (tylko w przypadku niestandardowych reguł wykrywania)
- Edytuj — umożliwia modyfikowanie reguły bez zmiany zapytania
- Modyfikowanie zapytania — umożliwia edytowanie zapytania w zaawansowanym wyszukiwaniu
- Włącz / Wyłącz — umożliwia włączenie reguły lub zatrzymanie jej działania
- Usuń — umożliwia wyłączenie reguły i jej usunięcie
- Wykluczenie z korelacji — umożliwia wykluczenie reguły analizy z korelacji. Ta akcja jest dostępna w wersji zapoznawczej i dotyczy tylko reguł analizy. Aby uzyskać więcej informacji, zobacz Wykluczanie reguł analizy z korelacji w Microsoft Defender XDR (wersja zapoznawcza).
Wyświetlanie wyzwolonych alertów i zarządzanie nimi
Na ekranie szczegółów reguły (Wykrywanie niestandardowewyszukiwania zagrożeń>[Nazwa reguły>]) przejdź do pozycji Wyzwolone alerty, które zawierają listę alertów generowanych przez dopasowania do reguły. Wybierz alert, aby wyświetlić szczegółowe informacje na jego temat i wykonać następujące akcje:
- Zarządzanie alertem przez ustawienie jego stanu i klasyfikacji (alert true lub false)
- Łączenie alertu ze zdarzeniem
- Uruchamianie zapytania, które wyzwoliło alert podczas zaawansowanego wyszukiwania zagrożeń
Przeglądanie akcji
Na ekranie szczegółów reguły (Wykrywanie niestandardowewyszukiwania zagrożeń>[Nazwa reguły>]) przejdź do pozycji Akcje wyzwalane, które zawierają listę akcji wykonywanych na podstawie dopasowań do reguły.
Porada
Aby szybko wyświetlać informacje i podejmować działania względem elementu w tabeli, użyj kolumny wyboru [}] po lewej stronie tabeli.
Zobacz też
- Wykrywanie niestandardowe — omówienie
- Omówienie zaawansowanego wyszukiwania zagrożeń
- Poznaj zaawansowany język zapytań wyszukiwania zagrożeń
- Migrowanie zaawansowanych zapytań dotyczących wyszukiwania zagrożeń z Ochrona punktu końcowego w usłudze Microsoft Defender
- Interfejs API zabezpieczeń programu Microsoft Graph na potrzeby wykrywania niestandardowego
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.