管理適用於端點的 Microsoft Defender 警示

適用於端點的 Defender 會透過警示通知您可能的惡意事件、屬性和內容資訊。 系統會顯示新警示的摘要，您可以存取 警示佇列中的所有警示。

您可以在警示 佇列中選取警示，或個別裝置的裝置頁面的 警示 索引標籤，以管理警示。

在其中任何一個位置選取警示都會開啟 警示管理窗格。

觀看此影片，瞭解如何使用新的適用於端點的 Microsoft Defender 警示頁面。

連結至另一個事件

您可以從警示建立新事件，或連結至現有事件。

指派警示

如果尚未指派警示，您可以選取 [指派給我] ，將警示指派給自己。

隱藏警示

在某些情況下，您可能需要禁止警示出現在 Microsoft Defender 全面偵測回應中。 適用於端點的 Defender 可讓您針對已知無害的特定警示建立隱藏規則，例如組織中的已知工具或程式。

您可以從現有警示建立隱藏規則。 如果需要，可以停用和重新啟用它們。

建立隱藏規則時，它將從建立規則時開始生效。 在建立規則之前，規則不會影響佇列中已有的現有警示。 此規則只會套用至符合建立規則後所設定條件的警示。

您可以選擇隱藏規則的兩個內容：

• 此裝置上的抑制警示
• 禁止組織中的警示

規則的內容可讓您量身打造入口網站中顯示的內容，並確保只有真正的安全性警示顯示到入口網站中。

您可以使用下表中的範例來協助您選擇隱藏規則的內容：

隱藏警示並建立新的隱藏規則

建立自訂規則，以控制何時隱藏或解決警示。 您可以指定警示標題、入侵指標和條件，以控制警示何時隱藏的環境定義。 指定內容之後，您將能夠設定警示的動作和範圍。

1. 選取您要隱藏的警示。 這會顯示 [警示管理] 窗格。

2. 選取 [建立隱藏規則]。

   您可以使用這些屬性來建立隱藏條件。 AND 運算子會在每個條件之間套用，因此只有在符合所有條件時才會發生隱藏。

   • 檔案SHA1
   • 檔案名稱 - 支援萬用字元
   • 資料夾路徑 - 支援萬用字元
   • IP 位址
   • URL - 支援萬用字元
   • 命令列 - 支援萬用字元

3. 選取 觸發 IOC。

4. 指定警示的動作和範圍。

   您可以自動解決警示，或從入口網站隱藏警示。 自動解決的警示會出現在警示佇列、警示頁面和裝置時間表的已解決區段中，而且會在適用於端點的 Defender API 中顯示為已解決。

   標示為隱藏的警示將會從整個系統隱藏，無論是在裝置的相關聯警示上，還是從儀錶板，而且不會跨適用於端點的 Defender API 串流傳輸。

5. 輸入規則名稱和註解。

6. 按一下儲存。

檢視隱藏規則清單

1. 在導覽窗格中，選取設定>端點>規則警示>抑制。

2. 隱藏規則清單會顯示組織中使用者已建立的所有規則。

如需管理隱藏規則的詳細資訊，請參閱 管理隱藏規則

變更警示的狀態

您可以將警示分類為 (新增、 進行中或 已解決) ，方法是隨著調查的進行而變更警示的狀態。 這可協助您組織和管理小組如何回應警示。

例如，小組領導人可以檢閱所有 「新增 」警示，並決定將它們指派給「 進行中 」佇列以進行進一步分析。

或者，如果小組領導知道警示是良性的、來自不相關的 (裝置 （例如屬於安全性系統管理員) 的裝置），或正在透過較早的警示處理，則小組領導可能會將警示指派給 [ 已解決] 佇列。

警示分類

您可以選擇不設定分類，或指定警示是真實警示還是錯誤警示。 請務必提供真陽性/假陽性的分類。 此分類可用來監視警示品質，並讓警示更準確。 「決定」欄位定義「真正正面」分類的額外保真度。

此影片包含分類警示的步驟：

新增註解並檢視警示的歷程記錄

您可以新增註解並檢視有關警示的歷史事件，以查看先前對警示所做的變更。

每當對警示進行變更或註解時，都會記錄在 「註解和歷程記錄」 區段中。

新增的註解會立即顯示在窗格中。

相關文章

• 適用於端點的 Microsoft Defender 和 Microsoft Defender 防病毒軟體的排除項目
• 管理歸併規則
• 檢視及組織適用於端點的 Microsoft Defender 警示佇列
• 調查適用於端點的 Microsoft Defender 警示
• 調查與適用於端點的 Microsoft Defender 警示相關聯的檔案
• 調查 適用於端點的 Microsoft Defender [裝置] 清單中的裝置
• 調查與適用於端點的 Microsoft Defender警示相關聯的 IP 位址
• 調查與適用於端點的 Microsoft Defender 警示相關聯的網域
• 調查適用於端點的 Microsoft Defender中的使用者帳戶