调查 Microsoft Defender XDR 中的 Defender for Identity 安全警报

项目
01/07/2025

注意

Defender for Identity 不用作审核或日志记录解决方案，用于捕获安装传感器的服务器上的每一个操作或活动。它仅捕获其检测和建议机制所需的数据。

本文介绍了如何在 Microsoft Defender XDR 中使用Microsoft Defender for Identity安全警报的基础知识。

Defender for Identity 警报本机集成到具有专用标识警报页面格式的 Microsoft Defender XDR中。

“标识警报”页为Microsoft Defender for Identity客户提供更好的跨域信号扩充和新的自动标识响应功能。它可确保你保持安全，并帮助提高安全操作的效率。

通过Microsoft Defender XDR调查警报的一个好处是，Microsoft Defender for Identity警报与从套件中其他每个产品获取的信息进一步相关。这些增强的警报与源自Microsoft Defender for Office 365和Microsoft Defender for Endpoint的其他Microsoft Defender XDR警报格式一致。新页面有效地无需导航到另一个产品门户来调查与标识关联的警报。

源自 Defender for Identity 的警报现在可以触发Microsoft Defender XDR自动调查和响应 (AIR) 功能，包括自动修正警报以及缓解可能导致可疑活动的工具和流程。

重要

作为与 Microsoft Defender XDR 融合的一部分，某些选项和详细信息已从 Defender for Identity 门户中的位置更改。请阅读以下详细信息，了解在何处查找熟悉的功能和新功能。

查看安全警报

可以从多个位置访问警报，包括 “警报 ”页、“ 事件 ”页、单个 设备的页，以及“ 高级搜寻 ”页。在此示例中，我们将查看 “警报”页。

在Microsoft Defender XDR中，转到“事件 & 警报”，然后转到“警报”。

若要查看来自 Defender for Identity 的警报，请在右上角选择“筛选器”，然后在“服务源”下选择“Microsoft Defender for Identity”，然后选择“应用”：

警报显示在以下列中：警报名称、标记、严重性、调查状态、状态、类别、检测源、受影响的资产、第一个活动和最后一个活动。

安全警报类别

Defender for Identity 安全警报分为以下类别或阶段，如典型的网络攻击杀伤链中看到的阶段。

管理警报

如果为其中一个 警报选择“警报名称 ”，将转到包含警报详细信息的页面。在左窗格中，你将看到 所发生情况的摘要：

“ 发生的情况 ”框上方是警报的 “帐户”、“ 目标主机 ”和“ 源主机 ”按钮。对于其他警报，你可能会看到有关其他主机、帐户、IP 地址、域和安全组的详细信息的按钮。选择其中任何实体以获取有关所涉及的实体的更多详细信息。

在右窗格中，你将看到 警报详细信息。可在此处查看更多详细信息并执行多个任务：

对此警报进行分类 - 可在此处将此警报指定为 True 警报 或 False 警报
警报状态 - 在 “设置分类”中，可以将警报分类为 True 或 False。在 “分配到”中，可以将警报分配给自己或取消分配警报。
警报详细信息 - 在 “警报详细信息”下，可以找到有关特定警报的详细信息，通过链接查看有关警报类型的文档，查看与警报关联的事件，查看链接到此警报类型的任何自动调查，以及查看受影响的设备和用户。
注释 & 历史记录 - 可在此处将注释添加到警报，并查看与警报关联的所有操作的历史记录。
管理警报 - 如果选择“ 管理警报”，将转到允许编辑的窗格：
- 状态 - 可以选择“新建”、“已解决”或“正在进行”。
- 分类 - 可以选择 “True 警报 ”或“ 假警报”。
- 注释 - 可以添加有关警报的注释。
- 如果选择 “管理警报”旁边的三个点，则可以 将警报链接到另一个事件、 创建抑制规则 (仅适用于预览版客户) ，或 询问 Defender 专家。
  
  还可以将警报导出到 Excel 文件。为此，请选择“ 导出”。
  
  注意
  
  在 Excel 文件中，现在有两个可用链接：在Microsoft Defender for Identity中查看和在Microsoft Defender XDR中查看。每个链接都会将你带到相关门户，并提供有关该门户中的警报的信息。