警示佇列會顯示從網路中的裝置標示的警示清單。 依預設,佇列會在分組檢視中顯示過去 7 天內看到的警示。 最新的警示會顯示在清單頂端,協助您先查看最新的警示。
注意事項
透過自動調查和補救,警報顯著減少,使安全營運專家能夠專注於更複雜的威脅和其他高價值計劃。 當警示包含支援的實體進行自動調查時 (例如,檔案) 在具有支援作業系統的裝置中,則可以啟動自動調查和補救。 如需自動調查的詳細資訊,請參閱 自動調查概觀。
您可以選擇數個選項來自訂警示檢視。
在頂部導航上,您可以:
- 自訂欄以新增或移除欄
- 套用篩選
- 顯示特定持續時間的警報,例如 1 天、3 天、1 週、30 天和 6 個月
- 將警示清單匯出至 Excel
- 管理提醒
排序和篩選警示
您可以套用下列篩選器來限制警示清單,並取得更集中的警示檢視。
嚴重性
| 警示嚴重性 | 描述 |
|---|---|
| 高 (紅色) |
常見的警報與 APT) (的高級持續性威脅相關。 這些警報表明風險很高,因為它們可能對設備造成嚴重損壞。 一些範例包括:憑證竊取工具活動、與任何群組無關的勒索軟體活動、竄改安全感測器或任何表明人類對手的惡意活動。 |
| 中 (橙色) |
來自端點偵測和回應入侵後行為的警示,這些行為可能是 APT) (進階持續性威脅的一部分。 這些行為包括觀察到的攻擊階段典型行為、異常登錄變更、執行可疑檔案等。 儘管有些可能是內部安全測試的一部分,但它需要調查,因為它也可能是高級攻擊的一部分。 |
| 低 (黃色) |
與流行惡意軟體相關的威脅警報。 例如,駭客工具、非惡意軟體駭客工具,例如執行探索命令、清除日誌等,這些工具通常不表示針對組織的進階威脅。 它也可能來自組織中使用者測試的隔離安全性工具。 |
| 參考 (灰色) |
可能不會被視為對網路有害但可以提高組織對潛在安全問題的安全意識的警報。 |
了解警示嚴重性
Microsoft Defender 防病毒軟體和適用於端點的 Defender 警示嚴重性不同,因為它們代表不同的範圍。
Microsoft Defender防毒威脅嚴重性代表偵測到的威脅 (惡意軟體) 的絕對嚴重性,並根據個別裝置的潛在風險(如果受到感染)進行分配。
適用於端點的 Defender 警示嚴重性代表偵測到行為的嚴重性、裝置的實際風險,但更重要的是組織的潛在風險。
因此,例如:
- 適用於端點的 Defender 警示的嚴重性是 Microsoft Defender 防病毒軟體偵測到已預防且未感染裝置的威脅,其嚴重性會分類為「資訊」,因為沒有實際損壞。
- 執行時偵測到有關商業惡意代碼的警示,但由 Microsoft Defender 防病毒軟體封鎖並補救,會歸類為「低」,因為它可能對個別裝置造成一些損壞,但不會造成組織威脅。
- 有關在執行過程中檢測到的惡意軟件的警報不僅可能對單個設備而且對組織構成威脅,無論它最終是否被阻止,都可能被列為“中”或“高”。
- 未封鎖或補救的可疑行為警示會根據相同的組織威脅考慮,排名為「低」、「中」或「高」。
狀態
您可以選擇根據警示的狀態來篩選警示清單。
注意事項
如果您看到 [不支援的警示類型 警示] 狀態,表示自動化調查功能無法挑選該警示來執行自動化調查。 不過,您可以 手動調查這些警示。
Categories
我們已重新定義警示類別,以符合 MITRE ATT&CK 矩陣中的企業攻擊策略。 新的類別名稱會套用至所有新警示。 現有的警示會保留先前的類別名稱。
服務來源
您可以根據下列服務來源來篩選警示:
- 適用於身分識別的 Microsoft Defender
- Microsoft 雲端 App 安全性
- 適用於端點的 Microsoft Defender
- Microsoft Defender XDR
- 適用於 Office 365 的 Microsoft Defender
- 應用程式治理
- Microsoft Entra ID Protection
Microsoft 端點通知客戶現在可以依巢狀的 適用於端點的 Microsoft Defender 服務來源下的 Microsoft Defender 專家進行篩選,以篩選和查看來自服務的偵測。
注意事項
只有在裝置使用 Microsoft Defender 防病毒軟體作為預設即時保護反惡意代碼產品時,才會出現防病毒軟體篩選。
標記
您可以根據指派給警示的標籤來篩選警示。
原則
您可以根據下列原則篩選警示:
| 偵測來源 | API 值 |
|---|---|
| 第三方感應器 | 第三方感測器 |
| 防毒軟體 | WindowsDefenderAv |
| 自動調查 | 自動化調查 |
| 自訂偵測 | 自訂偵測 |
| 自訂 TI | 客戶TI |
| EDR | WindowsDefenderAtp |
| Microsoft Defender XDR | 中期計劃 |
| 適用於 Office 365 的 Microsoft Defender | OfficeATP |
| Microsoft Defender 專家 | 威脅專家 |
| 智慧螢幕 | WindowsDefenderSmartScreen |
實體
您可以根據實體名稱或識別碼來篩選警示。
自動化調查狀態
您可以選擇根據警示的自動調查狀態來篩選警示。
相關主題
- 管理適用於端點的 Microsoft Defender 警示
- 調查適用於端點的 Microsoft Defender 警示
- 調查與適用於端點的 Microsoft Defender 警示相關聯的檔案
- 調查 適用於端點的 Microsoft Defender [裝置] 清單中的裝置
- 調查與適用於端點的 Microsoft Defender警示相關聯的 IP 位址
- 調查與適用於端點的 Microsoft Defender 警示相關聯的網域
- 調查適用於端點的 Microsoft Defender中的使用者帳戶
提示
想要深入了解? 在我們的技術社區中與Microsoft安全社區Engage:適用於端點的 Microsoft Defender技術社區。