管理Microsoft Defender for Endpoint事件

适用于：

希望体验 Microsoft Defender for Endpoint？注册免费试用版。

管理事件是每个网络安全操作的重要组成部分。可以通过从“事件 ”队列 或“事件 管理”窗格中选择事件来管理事件。

从“ 事件”队列 中选择事件会打开 “事件管理”窗格 ，可在其中打开事件页面了解详细信息。

可以将事件分配给自己、更改状态和分类、重命名或对其进行注释，以跟踪其进度。

提示

为了概览更多可见性，事件名称会根据警报属性自动生成，例如受影响的终结点数、受影响的用户、检测源或类别。借助此功能，可以快速了解事件的范围。

例如： 多个源报告的多个终结点上的多阶段事件。

在推出自动事件命名之前存在的事件将保留其名称。

分配事件

如果尚未分配事件，可以选择“ 分配给我” ，将事件分配给自己。执行此操作时，假定所有权不仅限于事件，而且还针对与之关联的所有警报。

可通过在调查期间更改事件的状态来为事件分类（例如“活动”或“已解决”）。这可帮助你整理和管理团队对事件的响应方式。

例如，SOC 分析师可以查看当天的紧急活动事件，并决定将其分配给自己进行调查。

或者，如果事件已得到修正，SOC 分析人员可能将该事件设置为“已解决”。

可以选择不设置分类，也可以决定指定事件为真实/误报事件。这样做有助于团队查看模式并从中了解相关信息。

可以添加备注并查看有关事件的历史事件，以便了解以前对其所做的更改。

每当对警报进行更改或添加备注时，都会在“备注”和“历史记录”部分进行记录。

添加的备注会立即显示在窗格中。

提示

想要了解更多信息？ Engage技术社区中的Microsoft安全社区：Microsoft Defender for Endpoint技术社区。