在 Microsoft Defender 商业版 中查看和管理事件
检测到威胁并触发警报时,将创建事件。 公司的安全团队可以在Microsoft Defender门户中查看和管理事件。 必须分配适当的权限才能执行本文中的任务。 请参阅 Microsoft Defender 商业版 中的安全角色和权限。
本文包括:
监视事件 & 警报
在Microsoft Defender门户 (https://security.microsoft.com) 的导航窗格中,转到“事件 & 警报”,然后选择“事件”。 页面上列出了创建的所有事件。
重要
如果看到事件标记为
Attack disruption,则表示已检测到高级攻击。 请参阅 自动攻击中断。选择警报以打开其浮出控件窗格,可在其中了解有关警报的详细信息。
在浮出控件窗格中,可以看到警报标题,查看资产 (列表,例如受影响的设备或用户帐户) ,采取可用操作,并使用链接查看详细信息,甚至打开所选警报的详细信息页。
提示
Defender for Business 旨在通过推荐可执行的操作来帮助解决检测到的威胁。 查看警报时,请查找这些建议。 另请注意警报严重性,该严重性不仅取决于检测到的威胁严重性,还取决于公司的风险级别。
警报严重性
检测到威胁时,会为每个生成的警报分配严重性级别。
- Microsoft Defender防病毒会根据检测到的威胁 ((如恶意软件) )的绝对严重性以及单个设备 ((如果感染) )的潜在风险来分配警报严重性。
- Defender for Business 根据检测到的行为的严重性、设备的实际风险以及更重要的是公司的潜在风险来分配警报严重性。
下表列出了警报及其严重性级别的几个示例:
| 应用场景 | 警报严重性和原因 |
|---|---|
| 自动攻击中断 检测高级攻击,并包含设备或用户帐户,以帮助防止攻击继续。 | 高 。 攻击中断功能有助于遏制攻击,以便 IT/安全团队可以对其进行处理。 |
| Microsoft Defender防病毒在造成任何损害之前检测并阻止威胁。 | 信息性。 威胁在造成任何破坏之前就被停止了。 |
| Microsoft Defender防病毒检测公司内正在执行的恶意软件。 恶意软件已停止并修正。 | 低 。 尽管可能会对单个设备造成一些损害,但恶意软件现在不会对公司构成威胁。 |
| Defender for Business 检测到正在执行的恶意软件。 恶意软件几乎立即被阻止。 | 中 或 高。 恶意软件对单个设备和公司构成威胁。 |
| 检测到可疑行为,但尚未执行任何修正操作。 | 低、 中或 高。 严重性取决于该行为对公司构成威胁的程度。 |