Изучение оповещений в Microsoft Defender XDR

Примечание.

В этой статье описаны оповещения системы безопасности в Microsoft Defender XDR. Однако политики оповещений можно использовать для отправки Уведомления по электронной почте себе или другим администраторам, когда пользователи выполняют определенные действия в Microsoft 365. Дополнительные сведения см. в разделе Политики оповещений на портале Microsoft Defender.

Примечание.

Хотя эта статья связана с Defender XDR, вам не обязательно нужна лицензия XDR для доступа к этим оповещениям. Например, если у вас есть Microsoft Defender для Office 365, вы получите оповещения в расположениях, упомянутых в этой статье. В зависимости от уровня лицензии у вас есть доступ к некоторым параметрам Defender XDR в каталоге параметров Defender. Дополнительные сведения см. в документации Microsoft Defender для Office 365.

Оповещения — это сигналы, которые возникают в результате различных действий по обнаружению угроз. Эти сигналы создаются множеством служб безопасности, которые находятся на портале Microsoft Defender, и указывают на возникновение вредоносных или подозрительных событий в вашей среде.

Эти подозрительные события обычно являются частью более широкой истории атак. На портале Microsoft Defender оповещения представляют собой отдельные фрагменты свидетельств, которые Defender XDR сопоставляет между собой, формируя инциденты (см. Обзор инцидентов). Инциденты рассказывают всю историю атаки; однако анализ оповещений может быть полезным, если требуется более глубокий анализ.

В очереди оповещений отображается текущий набор оповещений. Вы можете просмотреть всю очередь оповещений из раздела Инциденты & оповещения > при быстром запуске портала Microsoft Defender. Вы также можете просмотреть оповещения для каждого инцидента в очереди инцидентов и на странице каждого отдельного инцидента на вкладке "Оповещения ".

Раздел Оповещения на портале Microsoft Defender

Оповещения из различных решений Microsoft для обеспечения безопасности, таких как Microsoft Defender для конечных точек, Microsoft Defender для Office 365, Microsoft Sentinel, Microsoft Defender для облака, Microsoft Defender для удостоверений, Defender for Cloud Apps, Defender XDR, Управление приложениями, Защита Microsoft Entra ID и Microsoft Data Loss Prevention, отображаются здесь.

По умолчанию очередь оповещений на портале Microsoft Defender отображает новые и выполняемые оповещения за последние семь дней. Самое последнее оповещение находится вверху списка, поэтому вы можете увидеть его первым. Вы также можете найти общее количество оповещений в очереди, указанной рядом с панелью поиска. Общее количество оповещений зависит от фильтров, используемых в очереди.

В очереди оповещений по умолчанию можно выбрать Фильтр , чтобы просмотреть все доступные фильтры, из которых можно указать подмножество оповещений. Ниже приведен пример.

Все фильтры, доступные в очереди оповещений на портале Microsoft Defender

Вы можете фильтровать оповещения по следующим критериям:

  • Серьёзность
  • Состояние
  • Категории
  • Источники службы и обнаружения
  • Теги
  • Политика или правило политики
  • Тип оповещения
  • Название продукта
  • Идентификатор подписки на оповещение
  • Объекты (затронутые активы)
  • Состояние автоматического расследования
  • Рабочая область
  • Поток данных (рабочая нагрузка или расположение)
  • Метка конфиденциальности

Примечание.

Microsoft Defender XDR клиенты теперь могут фильтровать инциденты с помощью оповещений, когда скомпрометированное устройство взаимодействует с устройствами операционной технологии (OT), подключенными к корпоративной сети посредством интеграции обнаружения устройств Microsoft Defender для Интернета вещей и Microsoft Defender для конечной точки. Чтобы отфильтровать эти инциденты, выберите Любой в поле "Источники службы/обнаружения", а затем выберите Microsoft Defender для Интернета вещей в поле "Название продукта" или ознакомьтесь со статьей Расследование инцидентов и оповещений в Microsoft Defender для Интернета вещей на портале Defender. Вы также можете использовать группы устройств для фильтрации оповещений, относящихся к сайту. Дополнительные сведения о предварительных требованиях к Defender для Интернета вещей см. в статье Начало работы с корпоративным мониторингом Интернета вещей в Microsoft Defender XDR.

Оповещение может содержать системные теги и (или) пользовательские теги с определенным цветом фона. Пользовательские теги используют белый фон, а системные теги обычно используют красный или черный цвет фона. Системные теги определяют следующее в инциденте:

  • Тип атаки, например программа-вымогатель или фишинг учетных данных
  • Автоматические действия, такие как автоматическое исследование и реагирование, а также автоматическое нарушение атак
  • Эксперты Defender, работающие с инцидентом
  • Критически важные ресурсы , участвующие в инциденте

Совет

Система управления уязвимостями безопасности Microsoft, основанная на предопределенных классификациях, автоматически присваивает устройствам, идентификаторам и облачным ресурсам метку критически важный ресурс. Эта возможность обеспечивает защиту ценных и наиболее важных ресурсов организации. Это также помогает группам по обеспечению безопасности определять приоритеты для исследования и исправления. Узнайте больше об управлении критически важными ресурсами.

Важно!

Некоторые сведения в этой статье относятся к предварительно выпущенном продукту, который может быть существенно изменен до его коммерческого выпуска. Корпорация Майкрософт не предоставляет никаких гарантий, выраженных или подразумеваемых, в отношении информации, предоставленной здесь.

Вы можете искать оповещения с помощью пользовательского диапазона даты и времени или с помощью панели поиска для поиска определенных оповещений. Для поиска оповещений в пределах определенного диапазона даты или времени выберите Настраиваемый диапазон в элементе выбора даты, а затем укажите начальную и конечную даты и время.

Выделение параметра настраиваемого диапазона в элементе выбора даты и времени в очереди оповещений.

Для поиска определенных оповещений введите условие поиска в строке поиска. Вы можете выполнять поиск оповещений на основе заголовка оповещения или идентификатора оповещения.

Выделение панели поиска в очереди оповещений

Permissions

Доступ к оповещениям на портале Microsoft Defender управляется Microsoft Defender разрешениями и назначениями ролей.

Назначения ролей

Разрешения, необходимые для просмотра оповещений, можно получить с помощью следующих назначений ролей:

  • роли Microsoft Entra, такие как Security Reader, Security Operator или Security Administrator.
  • Пользовательские роли Microsoft Defender, которые включают разрешения на доступ к данным системы безопасности, например «Базовые данные системы безопасности (чтение)».

Дополнительные сведения см. в статье Разрешения в унифицированном управлении доступом на основе ролей (RBAC) Microsoft Defender.

Примечание.

Данные Microsoft Sentinel по-прежнему используют разрешения рабочей области Microsoft Sentinel. Чтобы просматривать оповещения, содержащие данные из Microsoft Sentinel, необходимы соответствующие разрешения Azure RBAC для соответствующей рабочей области Microsoft Sentinel. Дополнительные сведения см. в разделе "Подключение Microsoft Sentinel" к порталу Microsoft Defender.

Анализ оповещения

Чтобы увидеть главную страницу предупреждения, выберите имя предупреждения. Ниже приведен пример.

Снимок экрана: сведения об оповещении на портале Microsoft Defender

Вы также можете выбрать действие Открыть главную страницу оповещения на панели Управление оповещением .

Страница предупреждения состоит из следующих разделов:

  • История оповещений, которая представляет собой цепочку событий и оповещений, связанных с этим оповещением в хронологическом порядке
  • Сводная информация

На странице оповещения можно выбрать многоточие (...) рядом с любой сущностью, чтобы увидеть доступные действия, такие как связывание оповещения с другим инцидентом. Список доступных действий зависит от типа оповещения.

Источники оповещений

Microsoft Defender XDR оповещения поступают из таких решений, как Microsoft Defender для конечной точки, Defender для Office 365, Defender для удостоверений, Defender for Cloud Apps, надстройка управления приложениями для Microsoft Defender for Cloud Apps, защита Microsoft Entra ID и защита от потери данных Майкрософт. Вы можете заметить оповещения с символами, добавленными в начало. В следующей таблице приведены сведения, которые помогут вам понять соответствие источников предупреждений по символу, добавляемому в начале предупреждения.

Примечание.

  • Предварительно добавленные идентификаторы GUID относятся только к унифицированным функциям, таким как унифицированная очередь оповещений, унифицированная страница оповещений, унифицированное расследование и унифицированный инцидент.
  • Добавленный символ не изменяет GUID оповещения. Единственное изменение в GUID — добавленный компонент.
Источник оповещения Идентификатор оповещения с предопределенными символами
Microsoft Defender XDR ra{GUID}
ta{GUID} для оповещений от ThreatExperts
ea{GUID} для оповещений от настраиваемых обнаружений
Microsoft Defender для Office 365 fa{GUID}
Пример: fa123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Defender для конечных точек da{GUID}
ed{GUID} для оповещений от настраиваемых обнаружений
Microsoft Defender для идентификационных данных aa{GUID}
ri{GUID} для оповещений от обработчика обнаружения XDR
Пример: aa123a456b-c789-1d2e-12f1g33h445h6i, ri001122334455667788_-0123456789
Microsoft Defender для облачных приложений ca{GUID}
ma{GUID} для оповещений от обнаружений и политик App Governance
rm{GUID} для оповещений от обработчика обнаружения XDR
Пример: ca123a456b-c789-1d2e-12f1g33h445h6i
Защита Microsoft Entra ID ad{GUID}
Управление приложениями ma{GUID}
Защита от потери данных (Майкрософт) dl{GUID}
Microsoft Defender для облака dc{GUID}
Microsoft Sentinel sn{GUID}
Управление внутренними рисками Microsoft Purview ir{GUID}
Microsoft Security Copilot sc{GUID}

Примечание.

Если у вас есть доступ к Управление внутренними рисками Microsoft Purview, вы можете просматривать оповещения об управлении внутренними рисками и управлять ими, а также искать события управления внутренними рисками на портале Microsoft Defender. Дополнительные сведения см. в статье Исследование угроз внутренних рисков на портале Microsoft Defender.

Настройка параметров службы оповещений

Настройка параметров службы оповещений в Microsoft Defender XDR:

  1. Перейдите на портал Microsoft Defender (security.microsoft.com), выберите Параметры>Microsoft Defender XDR.

  2. В списке выберите Параметры службы оповещений, а затем настройте параметры оповещений для службы.

    Важно!

    С 11 декабря 2025 г. в Microsoft Defender XDR начинается развертывание расширенных параметров конфигурации для оповещений Entra ID Protection в рамках общедоступной предварительной версии. Эти обновления предоставляют более детальный контроль над оповещениями на основе рисков. Новое значение по умолчанию — только обнаружения с высоким риском. Измените значение по умолчанию на Высокий + Средний или Все обнаружения в зависимости от потребностей вашей организации.

    Снимок экрана: параметр оповещений защиты Microsoft Entra ID на портале Microsoft Defender.

Вы также можете получить доступ к параметрам службы оповещений непосредственно на странице Инциденты на портале Microsoft Defender.

Важно!

Некоторые сведения относятся к предварительным выпускам продуктов, которые могут быть существенно изменены до коммерческого выпуска. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.

Проанализируйте затронутые активы

На странице сведений об оповещении в разделе "Действия" перечислены затронутые ресурсы, такие как почтовые ящики, устройства и пользователи, затронутые оповещением.

Вы также можете выбрать Просмотреть в центре уведомлений, чтобы просмотреть вкладку Журнал в центре уведомлений на портале Microsoft Defender.

Проследите роль оповещения в цепочке оповещения

История предупреждений отображает все активы или сущности, связанные с предупреждением, в виде дерева процессов. На странице сведений об оповещении оповещение, название которого указано в заголовке страницы, изначально находится в фокусе. Ресурсы в истории оповещений можно развертывать и щелкать. Они предоставляют дополнительную информацию и ускоряют ваш ответ, позволяя вам действовать прямо в контексте страницы с предупреждением.

Примечание.

Раздел истории оповещений может содержать несколько оповещений, при этом дополнительные оповещения, связанные с тем же деревом выполнения, отображаются до или после выбранного оповещения.

Просмотрите дополнительную информацию об оповещениях на странице сведений

На странице сведений отображаются сведения о выбранном оповещении с подробными сведениями и связанными с ним действиями. Если вы выберете любой из затронутых активов или объектов в истории оповещений, страница сведений изменится, чтобы предоставить контекстную информацию и действия для выбранного объекта.

После выбора интересующей сущности страница сведений изменится для отображения сведений о выбранном типе сущности, исторических сведений, когда она доступна, и параметров для выполнения действий с этой сущностью непосредственно со страницы оповещения.

Управление оповещениями

Чтобы управлять оповещением, выберите Управление оповещением в разделе сводных сведений на странице оповещения. Ниже приведен пример панели Управление оповещением для одного оповещения.

Снимок экрана: раздел

На панели Управление оповещениями можно просмотреть или указать:

  • Статус оповещения (Новое, Разрешено, В процессе).
  • Учетная запись пользователя, которой назначено оповещение.
  • Классификация предупреждений:
    • Не задано (по умолчанию).
    • Истинно-положительное с указанием типа угрозы. Используйте эту классификацию для предупреждений, которые точно указывают на реальную угрозу. При указании этого типа угрозы команда безопасности будет видеть шаблоны угроз и действовать для защиты вашей организации от них.
    • Ожидаемое информационное действие с типом активности. Используйте этот параметр для оповещений, которые являются технически точными, но представляют собой нормальное поведение или имитацию активности угроз. Как правило, вы хотите игнорировать эти оповещения, но ожидать их для аналогичных действий в будущем, когда действия активируются фактическими злоумышленниками или вредоносными программами. Используйте параметры в этой категории для классификации оповещений о тестах безопасности, действиях красной команды и ожидаемом необычном поведении от доверенных приложений и пользователей.
    • Ложноположительный результат для типов оповещений, созданных даже при отсутствии вредоносных действий или ложном оповещении. Используйте параметры в этой категории для классификации оповещений, которые ошибочно определены как обычные события или действия как вредоносные или подозрительные. В отличие от оповещений категории «Информационные, ожидаемые действия», которые также могут быть полезны для выявления реальных угроз, как правило, вы не захотите снова видеть такие оповещения. Классификация оповещений как ложноположительных помогает Microsoft Defender XDR улучшить качество обнаружения.
  • Комментарий к предупреждению.

Примечание.

  • В августе 2022 г. ранее поддерживаемые значения определения оповещений (Apt и SecurityPersonnel) были устарели и больше не доступны через API.

  • Один из способов управления оповещениями — использовать теги. Возможность добавления тегов для Microsoft Defender для Office 365 в настоящее время находится в предварительной версии и постепенно развертывается.

В настоящее время измененные имена тегов применяются только к оповещениям, созданным после обновления. Оповещения, созданные до изменения, не будут отражать обновленное имя тега.

Чтобы управлять набором оповещений, похожими на определенное оповещение, выберите Просмотреть аналогичные оповещения в поле АНАЛИТИКА в разделе сведений о сводке на странице оповещений.

Снимок экрана: выбор оповещения на портале Microsoft Defender

На панели Управление оповещениями можно одновременно классифицировать все связанные оповещения. Ниже приведен пример.

Снимок экрана: управление связанными оповещениями на портале Microsoft Defender

Если аналогичные оповещения уже классифицировались ранее, вы можете сэкономить время, используя рекомендации Microsoft Defender XDR, чтобы узнать, как были обработаны другие оповещения. В разделе сводных данных выберите Рекомендации .

Снимок экрана: пример выбора рекомендаций для оповещения

На вкладке Рекомендации представлены дальнейшие действия и советы по расследованию, исправлению и предотвращению. Ниже приведен пример.

Снимок экрана: пример рекомендаций по оповещениям

Встроенные правила настройки оповещений

Microsoft Defender XDR включает встроенные правила настройки оповещений, которые помогают уменьшить избыточный шум в отчетности, вызванный распространенной безвредной активностью. Эти встроенные правила подавляют оповещения, не затрагивая другие функции, такие как исследования AIR и Уведомления по электронной почте. Если исследование AIR обнаруживает вредоносные или подозрительные действия, новое оповещение активируется повторно.

Чтобы просмотреть встроенные правила настройки оповещений на портале Microsoft Defender, перейдите в раздел Система>Параметры>Microsoft Defender XDR>Правила>Настройка оповещений или непосредственно на страницу Настройка оповещений по адресу https://security.microsoft.com/securitysettings/defender/alert_suppression.

Обязательно ознакомьтесь с этими правилами, чтобы понять, как они могут повлиять на то, какие оповещения отображаются на портале Microsoft Defender.

Примечание.

Агент сортировки фишинговых сообщений Microsoft Security Copilot не классифицирует оповещения, подавленные с помощью настройки оповещений. Обязательно отключите встроенное правило настройки оповещений Авторазрешение — электронное письмо, помеченное пользователем как вредоносное или фишинговое, а также все пользовательские правила настройки, которые подавляют это оповещение.

Настройка оповещения

Будучи аналитиком центра управления безопасностью (SOC), одной из главных проблем является рассмотрение большого количества оповещений, которые активируются ежедневно. Хотя аналитики хотят сосредоточиться только на оповещениях с высоким уровнем серьезности и высоким приоритетом, аналитики также обязаны рассматривать и разрешать оповещения с более низким приоритетом, которые, как правило, выполняются вручную. Настройка оповещений (ранее подавление оповещений) позволяет автоматически скрывать или разрешать оповещения при ожидаемом поведении организации и соблюдении условий правил. Это упрощает работу очереди оповещений и экономит время рассмотрения.

Правила настройки оповещений поддерживают условия, основанные на типах доказательств , таких как файлы, процессы, запланированные задачи и другие типы доказательств, которые активируют оповещения. После создания правила настройки оповещений примените его к выбранному оповещению или любому типу оповещений, который соответствует определенным условиям для настройки оповещения.

Microsoft Defender XDR включает встроенные правила настройки оповещений, которые помогают снизить уровень шума от общих неопасных действий. Эти встроенные правила подавляют оповещения, не затрагивая другие функции, такие как исследования AIR и Уведомления по электронной почте. Если расследование AIR обнаруживает вредоносное или подозрительное действие, Defender XDR повторно активирует отложенное оповещение.

Вы также можете создать собственные настраиваемые правила настройки оповещений, чтобы выполнить одно из следующих действий при выполнении определенных условий:

  • Скрыть оповещение: подавляет оповещение и предотвращает создание инцидента. Скрытые оповещения остаются в таблицах AlertInfo и AlertEvidence . Это действие применимо только к оповещениям Microsoft Defender для конечной точки.
  • Устранить оповещение: Автоматически устраняет оповещение и связанные инциденты. Соответствующие оповещения и связанные с ними инциденты срабатывают в статусе «Решено».
  • Задать как поведение. Преобразует соответствующие сигналы в поведение. Они не будут отображаться в очереди оповещений и не будут вызывать инциденты. Данные остаются в таблицах BehaviorInfo и BehaviorEntities для поиска. Это действие не поддерживается для Defender для облака или Microsoft Defender для оповещений Office 365.

Microsoft Defender XDR также включает встроенные правила настройки предупреждений, которые подавляют предупреждения о типичной безвредной активности, не влияя на автоматизированное расследование и реагирование (AIR) и уведомления по электронной почте.

Предостережение

Используйте настройку оповещений с осторожностью для сценариев, когда известные внутренние бизнес-приложения или тесты безопасности активируют ожидаемую активность.

Создание условий правила для настройки оповещений

Создайте правила настройки оповещений в разделе Microsoft Defender XDR Параметры или на странице сведений о предупреждении. Выберите одну из следующих вкладок, чтобы продолжить.

Чтобы создать правило настройки оповещений на странице параметров, выполните следующие действия.

  1. На портале Microsoft Defender выберите Параметры > Microsoft Defender XDR > Настройка оповещений.

    Снимок экрана: параметр настройки оповещений на странице параметров Microsoft Defender XDR.

  2. Выберите Добавить новое правило , чтобы настроить новое оповещение, или выберите существующую строку правила для внесения изменений. При выборе заголовка правила открывается страница сведений о правиле, где можно просмотреть список связанных оповещений, изменить условия или включить и отключить правило.

  3. В области Настройка оповещений в разделе Выбор источников служб выберите источники служб, к которым требуется применить правило. В списке отображаются только службы, у которых есть разрешения. Например, вы можете:

    Снимок экрана раскрывающегося меню источника сервиса на странице «Настройка оповещения».

  4. В области Условия добавьте условие для триггеров оповещения. Например, если вы хотите предотвратить активацию оповещения при создании определенного файла, определите условие для триггера File:Custom и сведения о файле:

    Снимок экрана: меню IOC на странице

    • Перечисленные триггеры различаются в зависимости от выбранных источников служб. Триггерами являются все индикаторы компрометации (IOC), такие как файлы, процессы, запланированные задачи и другие типы доказательств, которые могут активировать оповещение, включая сценарии интерфейса проверки вредоносных программ (AMSI), события инструментария управления Windows (WMI) или запланированные задачи.

    • Чтобы задать несколько условий правила, выберите Добавить фильтр и используйте параметры И, ИЛИ и группирования, чтобы определить связи между несколькими типами доказательств, которые активируют оповещение. Дополнительные свойства доказательства автоматически заполняются как новая подгруппа, в которой можно определить значения условий. Значения условий не зависят от регистра, а некоторые свойства поддерживают подстановочные знаки.

  5. В области Действие области Настройка оповещений выберите соответствующее действие, которое нужно выполнить правилом. Выберите Скрыть оповещение, Разрешить оповещение или Задать как поведение.

  6. Введите понятное имя оповещения и комментарий, чтобы описать оповещение, а затем нажмите кнопку Сохранить.

Примечание.

Заголовок оповещения (имя) основан на типе оповещения (IoaDefinitionId), который определяет название оповещения. Два оповещения с одинаковым типом оповещений могут измениться на другое название оповещения. Функция Скрыть оповещение доступна только для оповещений Defender for Endpoint.

После создания правила настройки оповещений на странице сведений об оповещении на появившейся странице Успешное создание правила добавьте любые связанные с оповещением индикаторы компрометации (IOC) в список разрешённых в качестве индикаторов, чтобы предотвратить их блокировку в будущем. Индикаторы компрометации, настроенные в рамках правила настройки предупреждений, выбираются по умолчанию. Например, вы можете:

  1. Добавьте файл в список Select evidence (IOC), чтобы разрешить . По умолчанию уже выбран файл, вызвавший оповещение.
  2. Укажите область действия для значения Выбор области применения. По умолчанию выбрана область действия, которая применяется для вашего оповещения.
  3. Нажмите кнопку Сохранить , чтобы добавить файл в список разрешений и запретить его блокировку.

Устранение предупреждения

Завершив анализ оповещения и его устранение, перейдите в область Управление оповещением для оповещения или аналогичных оповещений, пометьте состояние как Разрешено , а затем классифицируйте его как истинно положительный с типом угрозы, информационный, ожидаемое действие с типом действия или ложноположительный результат.

Классификация оповещений помогает Microsoft Defender XDR улучшить качество обнаружения.

Использование Power Automate для рассмотрения оповещений

Для эффективной работы современных команд по обеспечению безопасности (SecOps) требуется автоматизация. Чтобы сосредоточиться на поиске и изучении реальных угроз, команды SecOps используют Power Automate для рассмотрения списка оповещений и устранения тех, которые не являются угрозами.

Условия для разрешения оповещений

В этом примере Power Automate поток проверяет следующие критерии, чтобы определить, нужно ли автоматически устранять предупреждение:

  • У пользователя включено сообщение "Нет на рабочем месте"
  • Пользователь не помечен как высокий риск

Если у пользователя включено сообщение о выходе из офиса и он не помечен как высокий риск, SecOps помечает оповещение как законное путешествие и разрешает его. После устранения предупреждения в Microsoft Teams будет опубликовано уведомление.

Подключение Power Automate к Microsoft Defender for Cloud Apps

Чтобы создать автоматизацию, вам потребуется маркер API, прежде чем подключить Power Automate к Microsoft Defender for Cloud Apps.

  1. Откройте портал Microsoft Defender и выберите Параметры>Облачные приложения>Токен API, а затем на вкладке Токены API выберите Добавить токен.

  2. Укажите имя маркера и нажмите кнопку Создать. Сохраните токен — он понадобится вам позже.

Создание автоматизированного потока

Просмотрите следующее видео, чтобы узнать, как подключить Power Automate к Defender for Cloud Apps и создать автоматизированный рабочий процесс обработки оповещений.

Использование динамического агента обнаружения угроз для рассмотрения оповещений

Microsoft Security Copilot в Microsoft Defender включает агент динамического обнаружения угроз — постоянно активную адаптивную серверную службу, которая выявляет скрытые угрозы в средах Defender и Microsoft Sentinel. Он использует ИИ для выявления пробелов и выявления ложноотрицательных данных путем корреляции оповещений, событий, аномалий и аналитики угроз. Когда агент выявляет пробел, он создаёт динамическое оповещение с полным контекстом в подробностях оповещения, включая объяснения на естественном языке, сопоставленные методы MITRE ATT&CK и индивидуально подобранные действия по устранению.

Дополнительные сведения см. в разделе Microsoft Security Copilot динамический агент обнаружения угроз.

Дальнейшие действия

При необходимости для текущих инцидентов продолжайте расследование инцидентов.

Совет

Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.