Del via

Behandle Microsoft Defender for endepunkt varsler

  • Artikkel

Gjelder for:

Vil du oppleve Defender for endepunkt? Registrer deg for en gratis prøveperiode.

Defender for Endpoint varsler deg om mulige ondsinnede hendelser, attributter og kontekstuell informasjon gjennom varsler. Et sammendrag av nye varsler vises, og du kan få tilgang til alle varsler i Varsler-køen.

Du kan administrere varsler ved å velge et varsel i Varsler-køen eller Varsler-fanen på Enhet-siden for en enkelt enhet.

Hvis du velger et varsel på ett av disse stedene, åpnes ruten for varslingsbehandling.

Varslingsbehandling-ruten og Varsler-køen

Se denne videoen for å lære hvordan du bruker den nye varselsiden for Microsoft Defender for endepunkt.

Du kan opprette en ny hendelse fra varselet eller koble til en eksisterende hendelse.

Tilordne varsler

Hvis et varsel ikke er tilordnet ennå, kan du velge Tilordne til meg for å tilordne varselet til deg selv.

Undertrykk varsler

Det kan være scenarioer der du må undertrykke varsler fra å vises i Microsoft Defender XDR. Defender for Endpoint lar deg opprette regler for undertrykkelse for bestemte varsler som er kjent for å være uskyldige, for eksempel kjente verktøy eller prosesser i organisasjonen.

Undertrykkingsregler kan opprettes fra et eksisterende varsel. De kan deaktiveres og kan sendes på nytt om nødvendig.

Når en undertrykkelsesregel opprettes, trer den i kraft fra det punktet regelen opprettes. Regelen vil ikke påvirke eksisterende varsler som allerede finnes i køen, før regelen opprettes. Regelen brukes bare på varsler som oppfyller betingelsene som er angitt etter at regelen er opprettet.

Det finnes to kontekster for en undertrykkelsesregel som du kan velge mellom:

  • Undertrykk varsel på denne enheten
  • Undertrykk varsel i organisasjonen

Med regelens kontekst kan du skreddersy det som vises i portalen, og sikre at bare reelle sikkerhetsvarsler vises i portalen.

Du kan bruke eksemplene i tabellen nedenfor til å hjelpe deg med å velge konteksten for en undertrykkelsesregel:

Sammenheng Definisjon Eksempelscenarioer
Undertrykk varsel på denne enheten Varsler med samme varseltittel og bare på den bestemte enheten blir undertrykket.

Alle andre varsler på denne enheten blir ikke undertrykket.
  • En sikkerhetsforsker undersøker et ondsinnet skript som har blitt brukt til å angripe andre enheter i organisasjonen.
  • En utvikler oppretter regelmessig PowerShell-skript for teamet sitt.
Undertrykk varsel i organisasjonen Varsler med samme varseltittel på alle enheter blir undertrykket.
  • Et godartet administrativt verktøy brukes av alle i organisasjonen.

Undertrykke et varsel og opprette en ny undertrykkingsregel

Opprett egendefinerte regler for å kontrollere når varsler undertrykkes eller løses. Du kan kontrollere konteksten for når et varsel undertrykkes ved å angi varseltittelen, indikatoren for kompromiss og betingelsene. Når du har angitt konteksten, kan du konfigurere handlingen og omfanget i varselet.

  1. Velg varselet du vil undertrykke. Dette åpner ruten for varslingsbehandling .

  2. Velg Opprett en undertrykkingsregel.

    Du kan opprette en undertrykkingsbetingelse ved hjelp av disse attributtene. En AND-operator brukes mellom hver betingelse, så undertrykkelse skjer bare hvis alle betingelsene er oppfylt.

    • Fil SHA1
    • Filnavn – jokertegn som støttes
    • Mappebane – jokertegn som støttes
    • IP-adresse
    • URL-adresse – jokertegn støttes
    • Kommandolinje – jokertegn som støttes

  3. Velg den utløsende IOC.

  4. Angi handlingen og omfanget i varselet.

    Du kan automatisk løse et varsel eller skjule det fra portalen. Varsler som løses automatisk, vises i den løste delen av varselkøen, varselsiden og tidslinjen for enheten, og vises som løst på tvers av Defender for endepunkt-API-er.

    Varsler som er merket som skjulte, undertrykkes fra hele systemet, både på enhetens tilknyttede varsler og fra instrumentbordet og vil ikke strømmes på tvers av Defender for Endpoint-API-er.

  5. Skriv inn et regelnavn og en kommentar.

  6. Klikk på Lagre.

Obs!

Varslingsundertrykking er ikke kompatibelt for egendefinerte gjenkjenninger. Pass på å finjustere de egendefinerte gjenkjenningene for å unngå falske positiver.

Vis listen over undertrykkingsregler

  1. VelgUndertrykking av varselundertrykking for innstillinger> forendepunkter>i> navigasjonsruten.

  2. Listen over undertrykkingsregler viser alle reglene som brukerne i organisasjonen har opprettet.

Hvis du vil ha mer informasjon om hvordan du administrerer regler for undertrykkelse, kan du se Behandle undertrykkelsesregler

Endre statusen for et varsel

Du kan kategorisere varsler (som Ny, Pågår eller Løst) ved å endre statusen etter hvert som undersøkelsen går fremover. Dette hjelper deg med å organisere og administrere hvordan teamet kan svare på varsler.

En gruppeleder kan for eksempel se gjennom alle nye varsler og bestemme seg for å tilordne dem til Pågående-køen for videre analyse.

Eventuelt kan teamlederen tilordne varselet til løst kø hvis de vet at varselet er godartet, kommer fra en enhet som er irrelevant (for eksempel en som tilhører en sikkerhetsadministrator), eller blir behandlet gjennom et tidligere varsel.

Varslingsklassifisering

Du kan velge ikke å angi en klassifisering, eller angi om et varsel er et ekte varsel eller et falskt varsel. Det er viktig å gi klassifiseringen av sann positiv/falsk positiv. Denne klassifiseringen brukes til å overvåke varslingskvaliteten og gjøre varsler mer nøyaktige. «Besluttsomhet»-feltet definerer ytterligere gjengivelse for en «sann positiv»-klassifisering.

Trinnene for å klassifisere varsler er inkludert i denne videoen:

Legge til kommentarer og vise loggen for et varsel

Du kan legge til kommentarer og vise historiske hendelser om et varsel for å se tidligere endringer i varselet.

Når en endring eller kommentar gjøres i et varsel, registreres den i kommentar- og loggdelen .

Kommentarer som er lagt til, vises umiddelbart i ruten.

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.