你可以查看現有的自訂偵測規則清單,檢查它們之前的執行紀錄,並檢視已觸發的警示。 你也可以隨需執行規則並修改它。
提示
透過自訂偵測所發出的警示,可透過警示與事件 API 取得。 欲了解更多資訊,請參閱支援的 Microsoft Defender 全面偵測回應 API。
對於已將 Microsoft Sentinel 工作空間導入統一 Microsoft Defender 入口網站的使用者,自訂偵測規則清單包含分析規則。 以下章節除非另有說明,亦適用於分析規則。
查看現有規則
若要查看現有的自訂偵測規則和分析規則,請前往 「狩獵>自訂偵測規則」。
你可以透過「 新增篩選器」,選擇你想篩選的欄位,然後選擇 「新增」來篩選任何欄位。 對於每個選定欄位,選擇「篩選」旁邊對應的藥丸 ,選取欄位,然後「 套用」。
要搜尋特定規則,請到頁面右上角的搜尋框,輸入你要找的規則名稱或規則 ID。
對於將多個工作空間導入 Microsoft Defender 的多工作空間組織,您可以使用 Workspace ID 或 Workspace 名稱欄位來篩選工作空間。
此頁會列出具有下列執行資訊的所有規則:
- 最後執行 - 規則最後執行時,用以檢查查詢匹配並產生警示
- 最近執行狀態 - 規則是否成功執行 (僅針對自訂偵測規則)
- 下一次運行 - 下一次預定運行
- 狀態 - 規則是否被開啟或關閉
檢視規則詳細資料、修改規則及執行規則
若要查看關於自訂偵測規則或分析規則的完整資訊,請前往 「尋找>自訂偵測規則 」,然後選擇規則名稱。 接著你可以查看規則的一般資訊,包括資訊、執行狀態及範圍。 此頁面也提供觸發警示和動作的清單。
您也可以從此頁面對規則採取下列動作:
- 開啟偵測規則頁面 - 開啟偵測規則頁面以查看觸發警報並檢視 (自訂偵測規則的操作)
- 跑—— 立即執行規則;這也會重置下一次執行的間隔 (僅限自訂偵測規則)
- 編輯 - 允許你修改規則而不更改查詢內容
- 修改查詢 - 允許你在進階狩獵中編輯查詢
- 開啟 / 關閉 - 讓你啟用該規則或停止執行
- 刪除 - 讓你關閉規則並移除它
- 排除相關性 - 允許你將分析規則排除在相關性之外。 此動作僅為預覽版,僅適用於分析規則。 更多資訊請參閱預覽 ) 中的「排除分析規則」Microsoft Defender 全面偵測回應 (。
查檢視和管理觸發的警示
在規則細節畫面 (「狩獵>自訂偵測>[規則名稱]) ,請前往 觸發警報,列出與規則匹配所產生的警報。 選取警示以檢視其詳細資訊,並採取下列動作:
- 設定警示的狀態和分類(真或假警示)以管理警示
- 將警示連結至事件
- 執行在進階搜捕時觸發警示的查詢
審查行動
在規則細節畫面 (「狩獵>自訂偵測>[規則名稱]) ,請前往 觸發動作,列出根據規則匹配所採取的行動。
提示
若要快速查看資訊並對表格中的項目採取行動,請使用表格左側的選取欄 [✓]。
另請參閱
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。