警示佇列會顯示你網路中裝置被標記的警示清單。 預設情況下,佇列會以群組檢視顯示過去 7 天內看到的警示。 最近的警示會顯示在清單頂端,幫助你先看到最新的警示。
注意事項
透過自動化調查與修復,警報大幅減少,使資安營運專家能專注於更複雜的威脅及其他高價值計畫。 當警報包含支援自動調查的實體 (例如) 在有支援作業系統的裝置中的檔案時,自動化調查與修復即可啟動。 欲了解更多自動化調查資訊,請參閱 自動化調查概述。
你可以從多種選項中選擇來自訂警示檢視。
在頂部導覽中你可以:
- 自訂欄位以新增或移除欄位
- 套用篩選
- 顯示特定期間的警示,例如1天、3天、1週、30天和6個月
- 將警報清單匯出到 Excel
- 管理提醒
排序與過濾警示
您可以套用以下篩選條件來限制警報清單,並獲得更聚焦的警報視圖。
嚴重性
| 警示嚴重性 | 描述 |
|---|---|
| 高 (紅) |
APT) 常見於持續性高階威脅 (警示。 這些警示顯示風險很高,因為它們可能對裝置造成嚴重損害。 例如:憑證竊取工具活動、與任何團體無關的勒索軟體活動、干擾安全感測器,或任何顯示人類攻擊者的惡意行為。 |
| 中 (橘色) |
端點偵測及可能屬於APT) 持續性威脅 (行為的警示。 這些行為包括攻擊階段典型的觀察到行為、異常登錄檔變更、執行可疑檔案等。 雖然有些可能是內部安全測試的一部分,但也需要調查,因為這也可能屬於進階攻擊。 |
| 低 (黃色) |
針對與普遍惡意軟體相關的威脅發出警示。 例如,駭客工具、非惡意軟體駭客工具,如執行探索指令、清除日誌等,這些通常不會顯示針對組織的進階威脅。 也可能是來自你組織內某位使用者對安全工具的孤立測試。 |
| 參考 (灰) |
這些警示可能不被視為對網路有害,但能提升組織對潛在安全問題的警覺。 |
了解警報嚴重性
Microsoft Defender 防毒軟體與 Defender for Endpoint 的警示嚴重程度不同,因為它們代表不同的範圍。
Microsoft Defender防毒威脅嚴重度代表偵測到的惡意軟體 (惡意軟體) 的絕對嚴重程度,並根據感染時對個別裝置的潛在風險來分配。
Defender for Endpoint 警示嚴重度代表偵測到行為的嚴重程度、對裝置的實際風險,更重要的是對組織的潛在風險。
舉例來說:
- Defender for Endpoint 針對偵測到的 Microsoft Defender 防毒軟體威脅的嚴重程度,該警示被排除且未感染裝置,因此被歸類為「資訊性」警報,因為沒有實際損害。
- 執行過程中偵測到商業惡意軟體的警示,但已被 Microsoft Defender 防毒軟體阻擋並修復,該警示被歸類為「低」,因為可能對個別裝置造成損害,但對組織構成威脅。
- 執行過程中偵測到的惡意軟體警示,可能不僅對個別裝置構成威脅,對組織構成威脅,無論最終是否被封鎖,可能被評為「中等」或「高」等級。
- 未被封鎖或修復的可疑行為警示,依照相同的組織威脅考量,將依照「低」、「中」或「高」等級評等。
狀態
您可以選擇根據警示的狀態來篩選清單。
注意事項
如果你看到「 不支援 」類型的警示狀態,表示自動化調查功能無法偵測到該警示來執行自動調查。 不過,你可以 手動調查這些警示。
Categories
我們重新定義了警報類別,以符合 MITRE ATT&CK 矩陣中的企業攻擊戰術。 所有新警示都會使用新的類別名稱。 現有的警示會保留先前的分類名稱。
服務來源
您可以根據以下服務來源篩選警報:
- 適用於身分識別的 Microsoft Defender
- Microsoft 雲端 App 安全性
- 適用於端點的 Microsoft Defender
- Microsoft Defender XDR
- 適用於 Office 365 的 Microsoft Defender
- 應用程式治理
- Microsoft Entra ID Protection
Microsoft 端點通知客戶現在可以透過Microsoft Defender Experts篩選並查看服務偵測,這些專家置於適用於端點的 Microsoft Defender 服務來源底下。
注意事項
防毒過濾器僅在裝置使用 Microsoft Defender 防毒軟體作為預設即時防護防毒產品時才會出現。
標記
你可以根據分配給警報的標籤來篩選警報。
原則
您可以根據以下政策篩選警報:
| 偵測源 | API 價值 |
|---|---|
| 第三方感測器 | 第三方感測器 |
| 防毒軟體 | WindowsDefenderAv |
| 自動化調查 | 自動化調查 |
| 自訂偵測 | 自訂偵測 |
| 自訂 TI | CustomerTI |
| EDR | WindowsDefenderAtp |
| Microsoft Defender XDR | MTP |
| 適用於 Office 365 的 Microsoft Defender | OfficeATP |
| Microsoft Defender 專家 | 威脅專家 |
| 智慧螢幕 | WindowsDefenderSmartScreen |
實體
您可以根據實體名稱或 ID 來篩選警報。
自動化調查狀態
你可以選擇根據自動調查狀態來篩選警示。