適用於端點的 Microsoft Defender 中的警示頁面會結合與所選警示相關的攻擊訊號和警示,以建構詳細的警示劇本,以提供警示的完整內容。
快速分級、調查並對影響組織的警示採取有效動作。 了解觸發它們的原因,以及它們從一個位置產生的影響。 在此概述中了解更多信息。
開始使用警示
在適用於端點的 Defender 中選取警示的名稱,會將您帶到其警示頁面。 在警示頁面上,所有資訊都會顯示在所選警示的內容中。 每個警示頁面由 4 個區段組成:
- 警示標題 會顯示警示的名稱,並提醒您哪個警示啟動了目前的調查,無論您在頁面上選取了什麼。
- 受影響的資產 會列出受此警示影響的裝置和使用者卡片,這些卡片可按一下以取得進一步資訊和動作。
- 警示故事會顯示與警示相關的所有實體,並透過樹狀檢視相互連線。 標題中的警示將是您第一次登陸所選警示頁面時焦點的警示。 警示故事中的實體可展開且可按一下,以提供其他資訊,並允許您直接在警示頁面的內容中採取動作,從而加快回應速度。 使用警示故事來開始調查。 瞭解如何調查適用於端點的 Microsoft Defender 中的警示適用於端點的 Microsoft Defender。
- 詳細資料窗格會先顯示所選警示的詳細資料,以及與此警示相關的詳細資料和動作。 如果您在警示故事中選取任何受影響的資產或實體,詳細資料窗格將會變更,以提供所選物件的內容資訊和動作。
記下警示的偵測狀態。
已預防:避免了企圖的可疑動作。 例如,檔案未寫入磁碟或執行。
已封鎖:執行可疑行為,然後遭到封鎖。 例如,已執行一個進程,但由於其後表現出可疑行為,因此該進程被終止。
偵測到:偵測到攻擊,可能仍處於作用中狀態。
然後,您也可以檢閱警示詳細資料窗格中的 自動調查詳細資料 ,以查看已採取哪些動作,以及閱讀警示的描述以取得建議的動作。
警示開啟時,詳細資料窗格中可用的其他資訊包括 MITRE 技術、來源和其他內容詳細資料。
注意事項
如果您看到 [不支援的警示類型 警示] 狀態,表示自動化調查功能無法挑選該警示來執行自動化調查。 不過,您可以 手動調查這些警示。
查看受影響的資產
在受影響的資產區段中選取裝置或使用者卡片,將會切換至詳細資料窗格中裝置或使用者的詳細資料。
對於裝置,詳細資料窗格會顯示裝置本身的相關資訊,例如網域、作業系統和 IP。 該裝置上的作用中警示和登入使用者也可用。 您可以透過隔離裝置、限制應用程式執行或執行防毒掃描來立即採取行動。 或者,您可以收集調查套件、起始自動調查,或移至裝置頁面,從裝置的觀點進行調查。
對於使用者,詳細資料窗格會顯示詳細的使用者資訊,例如使用者的 SAM 名稱和 SID,以及此使用者執行的登入類型,以及與之相關的任何警示和事件。 您可以選取 [ 開啟使用者頁面 ],從該使用者的觀點繼續調查。
相關主題
提示
想要深入了解? 在我們的技術社區中與Microsoft安全社區Engage:適用於端點的 Microsoft Defender技術社區。