调查Microsoft Defender for Endpoint中的警报

适用于:

希望体验 Defender for Endpoint? 注册免费试用版

调查影响网络的警报,了解其含义以及如何解决它们。

从警报队列中选择一个警报,转到“警报”页。 此视图包含警报标题、受影响的资产、详细信息侧窗格和警报情景。

从警报页开始调查,方法是选择受影响的资产或警报故事树视图下的任何实体。 详细信息窗格会自动填充有关所选内容的详细信息。 若要查看可在此处查看的信息类型,请阅读查看Microsoft Defender for Endpoint中的警报

使用警报情景进行调查

警报故事详细说明了触发警报的原因、之前和之后发生的相关事件以及其他相关实体。

实体是可单击的,每个不是警报的实体都可以使用该实体卡右侧的展开图标进行展开。 焦点中的实体将由该实体卡左侧的蓝色条纹指示,标题中的警报首先处于焦点中。

展开实体可一目了然地查看详细信息。 选择实体会将详细信息窗格的上下文切换到此实体,并允许您查看详细信息以及管理该实体。 选择实体卡右侧的“...”将显示该实体可用的所有操作。 当实体处于焦点时,这些相同的操作将显示在详细信息窗格中。

注意

警报情景部分可能包含多个警报,与所选警报之前或之后显示与相同执行树相关的其他警报。

具有警报焦点和一些扩展卡片的警报故事

使用警报时间线进行调查

警报时间线通过为用户提供每个警报的综合视角来补充现有的“流程树”视图。 虽然流程树详细细分了警报的相关流程和活动,但警报时间线呈现了按时间顺序的精简视图,便于快速会审和决策。

从详细信息窗格执行操作

选择感兴趣的实体后,详细信息窗格将发生更改,以显示有关所选实体类型的信息、可用时的历史信息,并提供控件以直接从警报页对此实体 执行操作

调查完成后,返回到你开始使用的警报,将警报的状态标记为 “已解决 ”,并将其分类为 False 警报True 警报。 对警报进行分类有助于优化此功能,以提供更多真实警报和更少的虚假警报。

如果将它分类为真实警报,还可以选择一个确定,如下图所示。

详细信息窗格,其中已解决的警报和确定下拉列表展开

如果遇到业务线应用程序的虚假警报,请创建抑制规则以避免将来出现此类警报。

详细信息窗格中的操作和分类,其中突出显示了抑制规则

提示

如果遇到上述任何问题,请使用 🙂 按钮提供反馈或开具支持票证。

提示

想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区