查看Microsoft Defender for Endpoint中的警报
适用于:
希望体验 Defender for Endpoint? 注册免费试用版。
Microsoft Defender for Endpoint 中的警报页面通过组合与所选警报相关的攻击信号和警报来构建详细的警报情景,从而提供警报的完整上下文。
快速会审、调查影响组织的警报并采取有效措施。 了解触发它们的原因,以及它们从一个位置产生的影响。 有关详细信息,请参阅本概述。
警报入门
在 Defender for Endpoint 中选择警报的名称将进入其警报页。 在警报页上,所有信息都将显示在所选警报的上下文中。 每个警报页由 4 个部分组成:
- 警报标题 显示警报的名称,并用于提醒你开始当前调查的警报,而不管你在页面上选择了什么。
- 受影响的资产 列出了受此警报影响的设备和用户的卡片,可单击以获取更多信息和操作。
- 警报情景显示与警报相关的所有实体,并通过树视图进行互连。 当你第一次登陆所选警报页面时,标题中的警报将是焦点中的警报。 警报情景中的实体可展开且可单击,通过允许你直接在警报页面的上下文中执行操作来提供其他信息并加快响应速度。 使用警报故事开始调查。 在调查Microsoft Defender for Endpoint中的警报中了解如何操作。
- 详细信息窗格将首先显示所选警报的详细信息,以及与此警报相关的详细信息和操作。 如果在警报情景中选择任何受影响的资产或实体,详细信息窗格将更改,以提供所选对象的上下文信息和操作。
记下警报的检测状态。
已阻止:已避免尝试的可疑操作。 例如,文件未写入磁盘或未执行。
阻止:已执行可疑行为,然后被阻止。 例如,执行了一个进程,但由于它随后表现出可疑行为,因此进程被终止。
检测到:检测到攻击,并且可能仍处于活动状态。
然后,还可以在警报的详细信息窗格中查看 自动调查详细信息 ,以查看已采取哪些操作,以及阅读警报对建议操作的说明。
警报打开时详细信息窗格中提供的其他信息包括 MITRE 技术、源和其他上下文详细信息。
注意
如果看到 “不支持”警报类型 警报状态,则表示自动调查功能无法选取该警报来运行自动调查。 但是,可以 手动调查这些警报。
查看受影响的资产
在受影响的资产部分选择设备或用户卡将在详细信息窗格中切换到设备或用户的详细信息。
对于设备,详细信息窗格将显示有关设备本身的信息,例如“域”、“操作系统”和“IP”。 还可以使用该设备上的活动警报和已登录用户。 可以通过隔离设备、限制应用执行或运行防病毒扫描来立即采取措施。 或者,可以收集调查包、启动自动调查,或转到设备页面从设备的角度进行调查。
对于用户,详细信息窗格将显示详细的用户信息,例如用户的 SAM 名称和 SID,以及此用户执行的登录类型以及与该用户相关的任何警报和事件。 可以选择“ 打开用户页” ,从该用户的角度继续调查。
相关主题
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区。