什麼是 適用於身分識別的 Microsoft Defender 安全警示?
適用於身分識別的 Microsoft Defender 安全警示提供 Defender for Identity 偵測到的可疑活動資訊,以及涉及各威脅的行為者與電腦。 警示證據清單包含相關使用者和電腦的直接連結,以協助您輕鬆地直接調查。
注意事項
Defender for Identity 並非設計成能擷取感測器安裝伺服器上每一項操作或活動的稽核或日誌解決方案。 它只捕捉偵測與推薦機制所需的資料。
身份警示頁面提供跨域訊號豐富與自動身份回應功能。 使用 Microsoft Defender 全面偵測回應警示的好處是,適用於身分識別的 Microsoft Defender 警示會與套件中其他產品取得的資訊相互關聯。 這些增強型警示與來自 Microsoft Defender for Office 365 及 適用於端點的 Microsoft Defender 的其他 Microsoft Defender 全面偵測回應警示格式一致。
來自 Defender for Identity 的警示會觸發Microsoft Defender 全面偵測回應自動化調查與 AIR) 功能 (回應,包括自動修復警示,以及減輕可能促成可疑活動的工具與流程。
目前適用於身分識別的 Microsoft Defender警示在Microsoft Defender入口網站中以兩種不同的版面出現。 雖然警示視圖可能顯示不同資訊,但所有警示皆基於 Defender for Identity 感測器的偵測結果。 這些版面與資訊的差異,是 Microsoft Defender 產品持續向統一警示體驗轉型的一部分。
欲進一步了解所有 Defender for Identity 安全警示的結構與共通元件,請參閱 「檢視與管理警示」。
有關 真陽性 (TP) 、 良性真陽性 (B-TP) ,以及 假陽性 (FP) 的資訊,請參見 安全警示分類。
警示分類
警示依據典型網路攻擊殺戮鏈中觀察到的階段分為不同類別。 這些類別會因警示是源自經典的 適用於身分識別的 Microsoft Defender 警示,或是 Microsoft Defender for XDR 而略有差異。 這些差異是 Microsoft Defender 產品持續向統一警示體驗轉型的一部分。
例如,有以下類別:
- 偵察與發現警報
- 持續性與權限升級警示
- 憑證存取警示
- 橫向移動警示
關於每項警示的詳細資訊,請參閱: