查看检测到的威胁

一旦Microsoft Defender 检测到恶意文件或软件,Microsoft Defender 会阻止它并阻止其运行。 启用云提供的保护后,新检测到的威胁将添加到防病毒和反恶意软件引擎,以便其他设备和用户也受到保护。

Microsoft Defender 防病毒检测并防范以下类型的威胁:

  • 设备上的病毒、恶意软件和基于 Web 的威胁
  • 网络钓鱼尝试
  • 数据盗窃企图

作为 IT 专业人员/管理员,可以在 Microsoft 365 管理中心查看 Intune 中注册的跨 Windows 设备 的威胁检测的相关信息。 摘要信息包括:

  • 需要防病毒保护的设备数
  • 多少台设备不符合安全策略
  • 当前活动、缓解或已解决的威胁数

可以采取的行动

查看有关特定威胁或设备的详细信息时,会看到建议以及可以采取的一个或多个操作。 下表描述了你可能会看到的操作。

操作 说明
配置保护 需要配置威胁防护策略。 选择链接以转到策略配置页。

需要帮助? 请参阅 使用 Microsoft Intune 中的终结点安全策略管理设备安全性
更新策略 需要更新或配置防病毒和实时保护策略。 选择链接以转到策略配置页。

需要帮助? 请参阅 使用 Microsoft Intune 中的终结点安全策略管理设备安全性
运行快速扫描 在设备上启动快速防病毒扫描,重点关注可能注册恶意软件的常见位置,例如注册表项和已知的 Windows 启动文件夹。
运行完全扫描 在设备上启动完全防病毒扫描,重点关注可能注册恶意软件的常见位置,并包括设备上的每个文件和文件夹。 结果将发送到 Intune Microsoft
更新防病毒 要求设备获取防病毒和反恶意软件保护 的安全智能更新
重启设备 强制 Windows 设备在五分钟内重启。

重要: 设备所有者或用户不会自动收到重启通知,并且可能会丢失未保存的工作。

在 Microsoft Defender 门户中查看和管理威胁检测

  1. 转到 (Microsoft Defender 门户) 并登录。

  2. 在导航窗格中,选择“ 威胁分析 ”可查看所有当前威胁。 线程按威胁严重性和类型进行分类。

  3. 选择威胁以查看有关该威胁的更多详细信息。

  4. 在表中,可以根据许多条件筛选警报。

在 Microsoft Intune 中管理威胁检测

也可以使用 Microsoft Intune 来管理威胁检测。 首先,所有设备(无论是 Windows、iOS 还是 Android)都必须 在 Intune 中注册

  1. 转到 Microsoft Intune 管理中心 https://endpoint.microsoft.com 并登录。

  2. 在导航窗格中,选择“ 终结点安全性”。

  3. “管理”下,选择“ 防病毒”。 会看到“摘要”、“不正常终结点”和“活动恶意软件”选项卡。

  4. 查看可用选项卡上的信息,然后采取任何所需的操作。

例如,假设“ 活动恶意软件 ”选项卡上列出了设备。选择设备时,某些操作可用,例如 重启快速扫描完全扫描同步更新签名。 为该设备选择操作。

下表描述了可能会在 Intune 中看到Microsoft操作。

操作 说明
Restart 强制 Windows 设备在五分钟内重启。

重要: 设备所有者或用户不会自动收到重启通知,并且可能会丢失未保存的工作。
快速扫描 在设备上启动快速防病毒扫描,重点关注可能注册恶意软件的常见位置,例如注册表项和已知的 Windows 启动文件夹。 结果将发送到 Intune Microsoft
完整扫描 在设备上启动完全防病毒扫描,重点关注可能注册恶意软件的常见位置,并包括设备上的每个文件和文件夹。 结果将发送到 Intune Microsoft
同步 要求设备使用 Intune 签入。 当设备签入时,设备会收到分配给设备的任何挂起操作或策略。
更新签名 要求设备获取防病毒和反恶意软件保护 的安全智能更新

提示

有关详细信息,请参阅 设备的远程操作

如何提交文件以进行恶意软件分析

如果你有一个认为丢失或被错误分类为恶意软件的文件,可以将该文件提交到Microsoft进行恶意软件分析。 用户和 IT 管理员可以提交文件进行分析。 访问 https://www.microsoft.com/wdsi/filesubmission

另请参阅

保护 Office 365 商业版计划的最佳做法

从 2022 年 3 月 1 日起,Microsoft Defender for Business (Defender for Business 的概述将Microsoft 365 个商业高级版客户)