查看并组织 Microsoft Defender for Endpoint 事件队列
适用于:
希望体验 Defender for Endpoint? 注册免费试用版。
事件队列显示从网络中的设备标记的事件集合。 它可以帮助你对事件进行排序,从而确定优先级并制定明智的网络安全响应决策。
默认情况下,队列显示过去 6 个月中看到的事件,最近的事件显示在列表顶部,有助于先查看最近的事件。
可以选择多个选项来自定义“事件”队列视图。
在顶部导航上,可以:
- 自定义列以添加或删除列
- 修改每页要查看的项目数
- 选择要按页显示的项目
- Batch-选择要分配的事件
- 在页面之间导航
- 应用筛选器
- 自定义和应用日期范围
对事件队列进行排序和筛选
可以应用以下筛选器来限制事件列表并获取更集中的视图。
Severity
事件严重性 | 说明 |
---|---|
高 (红色) |
通常与高级持久性威胁关联的威胁 (APT) 。 由于这些事件可能对设备造成的损坏严重性,这些事件表明存在高风险。 |
中等 (橙色) |
组织中很少观察到的威胁,例如异常注册表更改、可疑文件的执行以及观察到的攻击阶段的典型行为。 |
低 (黄色) |
与流行的恶意软件和黑客工具关联的威胁,这些威胁不一定指示针对组织的高级威胁。 |
信息 ( 灰色) |
信息性事件可能不被视为对网络有害,但最好进行跟踪。 |
分配到
可选择通过选择分配给任何人/分配给你的人来筛选列表。
类别
事件根据网络安全终止链所处于的阶段的说明进行分类。 此视图可帮助威胁分析人员根据上下文确定要部署的优先级、紧迫性和相应的响应策略。
状态
可以根据事件的状态选择限制所显示事件的列表,以查看哪些事件处于活动状态/已解决状态。
数据敏感性
使用此筛选器可显示包含敏感度标签的事件。
事件命名
为了一目了然地了解事件的范围,系统会根据警报属性(例如受影响的终结点数、受影响的用户、检测源或类别)自动生成事件名称。
例如: 多个源报告的多个终结点上的多阶段事件。
注意
在推出自动事件命名之前存在的事件将保留其名称。
另请参阅
提示
想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区。