什么是Microsoft Defender for Identity安全警报?
Microsoft Defender for Identity安全警报提供有关 Defender for Identity 检测到的可疑活动的信息,以及每个威胁中涉及的参与者和计算机。 警报证据列表包含所涉及的用户和计算机的直接链接,帮助你轻松开展调查。
注意
Defender for Identity 不用作审核或日志记录解决方案,用于捕获安装传感器的服务器上的每一个作或活动。 它仅捕获其检测和建议机制所需的数据。
“标识警报”页提供跨域信号扩充和自动标识响应功能。 使用Microsoft Defender XDR调查警报的好处是,Microsoft Defender for Identity警报与从套件中其他每个产品获取的信息相关联。 这些增强的警报与源自Office 365和Microsoft Defender for Endpoint Microsoft Defender的其他Microsoft Defender XDR警报格式一致。
源自 Defender for Identity 的警报触发器Microsoft Defender XDR自动调查和响应 (AIR) 功能,包括自动修正警报以及缓解可能导致可疑活动的工具和流程。
Microsoft Defender for Identity警报当前在Microsoft Defender门户中以两种不同的布局显示。 虽然警报视图可能显示不同的信息,但所有警报都基于来自 Defender for Identity 传感器的检测。 所示布局和信息的差异是跨Microsoft Defender产品持续过渡到统一警报体验的一部分。
若要详细了解如何了解所有 Defender for Identity 安全警报的结构和常见组件,请参阅 查看和管理警报。
有关 (TP) 、 B-TP) 的良性真 (和 误报 (FP) 的信息,请参阅 安全警报分类。
警报类别
警报根据典型的网络攻击杀伤链中看到的阶段划分为类别。 类别略有不同,具体取决于警报是源自使用经典Microsoft Defender for Identity警报,还是针对 XDR Microsoft Defender。 这些差异是跨Microsoft Defender产品持续过渡到统一警报体验的一部分。
例如,有以下类别:
- 侦查和发现警报
- 持久性和特权提升警报
- 凭据访问警报
- 横向移动警报
有关每个警报的详细信息,请参阅: