管理與調查警示

  • 10 分鐘

管理調查警示

您可以在個別裝置 [裝置] 頁面的 [警示] 佇列或 [警示] 索引標籤中選取警示,藉以管理警示。 選取上述任一位置的警示會顯示 [警示] 管理窗格。

Screenshot of the Microsoft Defender XDR Alerts Queue page.

警示管理

您可以檢視及設定有關警示預覽或警示詳細資料頁面的中繼資料。

Screenshot of the Microsoft Defender XDR Alert details page.

中繼資料欄位包含及動作包含:

嚴重性

  • 高 (紅色) - 與進階永久性威脅 (APT) 相關聯的常見警示。 這些警示表示高風險,因為其會對裝置造成嚴重損害。 範例包括認證竊取工具活動、與任何團體皆無關聯的勒索軟體活動、篡改安全性感應器,或任何人類對手所指使的惡意活動。

  • 中 (橙色) - 可能屬於進階永久性威脅 (APT),來自端點偵測和回應入侵後行為的警示。 這包括一般觀察到的攻擊階段行為、異常登錄變更、可疑檔案的執行等等。 雖然有些可能是內部安全性測試的一部分,但仍需要調查,因為這也可能是進階攻擊的一部分。

  • 低 (黃色) - 與常見惡意程式碼相關聯的威脅警示。 例如,駭客工具 (或稱非惡意程式碼的駭客工具),如執行瀏覽命令、清除記錄等,通常不會指示以組織為目標的進階威脅。 其也可能是組織中使用者所進行的隔離式安全性工具測試。

  • 資訊 (灰色) - 這些警示可能不被視為對網路有害,但會針對潛在的安全性問題提醒組織注意相關安全性問題。

Microsoft Defender 防毒軟體 (Microsoft Defender AV) 和適用於端點的 Defender 警示嚴重性不同,因為其代表不同的範圍。 Microsoft Defender AV 威脅嚴重性代表偵測到威脅 (惡意程式碼) 的絕對嚴重性,而且會在受到感染時,根據個別裝置的潛在風險指派。

適用於端點的 Defender 警示嚴重性代表以下項目的嚴重程度:偵測到的行為、裝置的實際風險,以及最重要的組織潛在風險。

例如:

  • 關於 Microsoft Defender AV 偵測到但已被防止且未感染裝置的威脅,適用於端點的 Defender 警示嚴重性會將其分類為「資訊」,因為沒有實際的損害。

  • 執行時偵測到有關商業惡意程式碼的警示,但經 Microsoft Defender AV 封鎖及補救,所以分類為「低」;因為這雖可能造成個別裝置毀損,對組織卻不構成任何威脅。

  • 在執行時偵測到的惡意程式碼警示,無論最終是否遭到封鎖,可能不只對個別裝置造成威脅,還會對組織造成威脅,所以會分級為「中」或「高」。

  • 未經封鎖或補救的可疑行為警示會遵循相同組織威脅考量,分為「低」、「中」或「高」等級。

類別

警示類別與 MITRE ATT&CK Enterprise 矩陣中的攻擊策略和技術緊密配合。

注意

警示類別也包含不屬於 ATT&CK 矩陣的專案(例如 Unwanted Software)。

這些類別包括:

  • 收集 - 尋找和收集外流的資料

  • 命令和控制 - 連線到攻擊者為轉送資料或接收命令所控制的網路基礎結構

  • 認證存取 - 取得有效的認證,以擴大對裝置和網路其他資源的控制權

  • 防禦規避 - 例如關閉安全性應用程式、刪除植入物,以及執行 rootkit 等等,藉以避開安全性控制

  • 探索 - 蒐集重要裝置和資源的相關資訊,例如系統管理員電腦、網域控制站和檔案伺服器

  • 執行 - 啟動攻擊者工具與惡意程式碼,包括 RAT 和後門

  • 外流 - 將資料從網路擷取到受攻擊者控制的外部位置

  • 惡意探索 - 惡意探索程式碼和可能的惡意探索活動

  • 初始存取權 - 取得侵入目標網路的初始權限,通常包括密碼猜測、惡意探索或網路釣魚電子郵件

  • 水平移動 - 在目標網路的裝置間移動,以觸及重要資源或取得網路持續性

  • 惡意程式碼 - 後門程式、特洛伊木馬程式和其他類型的惡意程式碼

  • 持續性 - 建立自動啟動的擴充點 (ASEP) 以維持使用中狀態,並在系統重新開機後繼續作業

  • 權限提升 - 在特殊權限的處理程序或帳戶內容中執行程式碼,以取得更高的程式碼權限等級

  • 勒索軟體 - 加密檔案和勒索贖款以還原存取權的惡意程式碼

  • 可疑的活動 - 可能是惡意程式碼活動或部分攻擊的反常活動

  • 垃圾軟體 - 低信譽的應用程式和影響生產力和使用者體驗的應用程式;偵測為可能的垃圾應用程式 (PUA)

您可以從警示建立新的事件,或連結至現有的事件。

指派警示

如果尚未指派警示,您可以選取 [指派給我],將警示指派給您自己。

隱藏警示

有時候,您可能必須在 Microsoft Defender 資訊安全中心內隱藏警示。 適用於端點的 Defender 可讓您針對已知無害的特定警示建立隱藏規則,例如貴組織中的已知工具或處理程序。

您可以從現有警示建立隱藏規則。 您可以視需要停用及重新啟用這些規則。

建立歸併規則時,該規則會自建立起立即生效。 規則在建立之前不會影響已在佇列中的現有警示。 此規則只會套用至符合規則建立後所設定條件的警示。

隱藏規則有兩個內容可供您選擇:

  • 隱藏此裝置上的警示

  • 隱藏我組織中的警示

此規則內容可讓您調整入口網站中的顯示內容,並確保只會在入口網站中顯示真正的安全性警示。

變更警示狀態

您可以隨調查進度變更警示的狀態,將其分類為「新增」、「進行中」或「已解決」。 這麼做可協助整理及管理您的小組如何回應警示。

例如,小組負責人可以檢閱所有新警示,並決定將其指派給「進行中」佇列以進一步分析。

或者,如果知道警示為良性、來自不相關的裝置 (例如屬於安全性系統管理員的裝置) 或正透過以前的警示處理,則小組組長可能會將警示指派到「已解決」佇列。

警示分類

您可以選擇不設定分類,或將警示指定為 true 警示或 false 警示。 請務必提供確判為真/誤判為真的分類,因為這可用來監視警示品質,讓警示更準確。 [判斷] 欄位會定義「確判為真」分類的額外精確度。

新增註解並檢視警示的歷程記錄

您可以新增註解並檢視警示的歷史事件,了解先前對警示做過的變更。 對警示進行變更或註解時,隨即會記錄在 [註解] 和 [歷程記錄] 區段中。 新增的註解會立即顯示在窗格上。

警示調查

調查影響網路的警示,並了解其意義及解決方式。

從警示佇列選取警示,以移至 [警示] 頁面。 此檢視包含警示標題、受影響的資產、[詳細資料] 側邊窗格,以及警示案例。

在 [警示] 頁面中,選取受影響資產或警示案例樹狀檢視下的任何實體以開始進行調查。 [詳細資料] 窗格會自動填入所選項目的詳細資訊。

使用警示案例進行調查

警示案例會詳細說明觸發警示的原因、警示發生前後的相關事件,以及其他相關的實體。

實體為可按式,而且只要不是警示的實體,每個都可以使用實體卡片右邊的展開圖示展開。 焦點中實體會在實體卡片的左邊顯示一條藍帶,將標題中的警示先放在焦點中。

選取實體會將 [詳細資料] 窗格的內容切換到此實體,並讓您檢閱進一步的資訊及管理該實體。 選取實體卡片右側的 [...] 會顯示該實體所有可用的動作。 當實體位於焦點時,[詳細資料] 窗格中就會顯示這些相同的動作。

從 [詳細資料] 窗格中採取動作

選取了感興趣的實體之後,[詳細資料] 窗格就會變更為顯示所選實體類型的資訊、可用的歷程記錄資訊,並提供可直接從警示頁面對此實體採取動作的控制項。

完成調查之後,請回到開始的警示,將警示狀態標示為「已解決」,並分類為 False 警示或 True 警示。 分類警示有助於微調這項功能,以提供更多的 true 警示和較少的 false 警示。

如果您將其分類為 true 警示,您也可以選取 [判斷]。

如果企業營運系統應用程式發生 false 警示,請建立隱藏規則,日後即不會再顯示這種類型的警示。