調查事件
事件頁面會提供下列資訊和導覽連結。
事件概觀
概觀頁面讓您能以一覽無遺的快照方式查看有關事件的最重要事項。
攻擊類別可讓您以視覺和數值的方式了解攻擊對終止鏈結的進展。 如同其他 Microsoft 安全性產品,Microsoft Defender 全面偵測回應 會與 MITRE ATT&CK™ 架構一致。
[範圍] 區段提供屬於此事件且受影響最深的資產清單。 如果有此資訊相關的特定資訊 (例如風險層級、調查優先順序及資產上的任何標記),也會在此區段中顯示。
警示時間軸可讓您搶先查看警示發生的時間順序,以及這些警示連結至此事件的原因。
最後,[辨識項] 區段提供事件中包含多少個不同的成品及其補救狀態的摘要,讓您可以立即識別是否需要在您這端執行任何動作。
本概觀提供的深入解析呈現出您對於該事件應留意的最主要特徵,可協助將事件初步分級。
警示
您可以查看與事件相關的所有警示,以及這些警示的相關資訊,例如嚴重性、警示所涉及的實體、警示的來源 (適用於身分識別的 Microsoft Defender、適用於端點的 Microsoft Defender、適用於 Office 365 的 Microsoft Defender),以及它們連結在一起的原因。
根據預設,警示會以時間先後順序排列,方便您最先看到隨時間推移的攻擊進行方式。 按一下各個警示將會帶領您前往相關的警示頁面,您可以在頁面上對該警示進行深入調查。
裝置
[裝置] 索引標籤會列出事件相關警示所發現的所有裝置。
按一下機器的名稱連結 (即攻擊發生的位置) 會巡覽至機器的裝置頁面。 在裝置頁面上,您會看到在該頁面上觸發的警示,以及有助於調查的相關事件。
使用者
查看已識別為屬於特定事件或與特定事件相關的使用者。
按一下使用者名稱,巡覽至使用者的 Microsoft Defender for Cloud Apps 頁面,您可以在此執行深入調查。
信箱
調查已識別為屬於某事件或與某事件相關的信箱。
應用程式
調查認定為屬於事件或與事件相關的應用程式。
調查
選取 [調查] 即可查看此事件中的警示所觸發的所有自動化調查。 調查會執行補救動作,或等候分析員核准動作。
選取調查,瀏覽至其 [調查] 詳細資料頁面,取得調查和補救狀態的完整資訊。 如果調查過程中有任何動作等待核准,即會顯示在 [擱置動作] 索引標籤。
辨識項和回應
Microsoft Defender 全面偵測回應 會自動調查警示中所有事件支援的事件和可疑實體,為您提供重要檔案、處理程式、服務、電子郵件等相關信息的自動響應和資訊。 這有助於快速偵測和封鎖事件中的潛在威脅。
每個經過分析的實體都會標示判斷結果 (惡意、可疑、無害) 和補救狀態。 這可協助您了解整個事件的補救狀態,以及進一步補救的後續步驟。
圖表
圖表將相關的網路安全性威脅資訊視覺化為事件,顯示來自各種資料點的模式和相互關聯。 您可以透過事件圖形檢視這類相互關聯。
圖形會說明網路安全性攻擊的案例。 例如,它會顯示進入點、在哪部裝置上觀察到入侵的指標或活動等等。
您可以選取事件圖形上的圓形,檢視惡意檔案的詳細資料、相關聯的檔案偵測、全球有多少實例、是否已在您的組織中觀察到,如果有的話,有多少實例。