Просмотр и упорядочивание очереди оповещений Microsoft Defender для конечной точки
Область применения:
Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
В очереди оповещений отображается список оповещений, помеченных с устройств в сети. По умолчанию в очереди отображаются оповещения, отображаемые за последние 7 дней в сгруппированном представлении. Самые последние оповещения отображаются в верхней части списка, чтобы сначала увидеть самые последние оповещения.
Примечание.
Благодаря автоматическому исследованию и исправлению количество оповещений значительно сокращается, что позволяет экспертам по операциям безопасности сосредоточиться на более сложных угрозах и других высокоценных инициативах. Если оповещение содержит поддерживаемую сущность для автоматического исследования (например, файл) на устройстве с поддерживаемой операционной системой, может начаться автоматическое исследование и исправление. Дополнительные сведения об автоматизированных исследованиях см. в статье Обзор автоматизированных расследований.
Существует несколько вариантов настройки представления оповещений.
В верхней области навигации можно:
- Настройка столбцов для добавления или удаления столбцов
- Применение фильтров
- Отображение оповещений за определенную продолжительность, например 1 день, 3 дня, 1 неделю, 30 дней и 6 месяцев
- Экспорт списка оповещений в Excel
- Управление оповещениями
Сортировка и фильтрация оповещений
Вы можете применить следующие фильтры, чтобы ограничить список оповещений и получить более подробное представление оповещений.
Severity
| Серьезность оповещений | Описание |
|---|---|
| Высокая (красный) |
Обычно встречаются оповещения, связанные с расширенными постоянными угрозами (APT). Эти оповещения указывают на высокий риск из-за серьезности ущерба, который они могут нанести устройствам. Некоторые примеры: действия с инструментами кражи учетных данных, действия программ-шантажистов, не связанные с какой-либо группой, незаконное изменение датчиков безопасности или любые вредоносные действия, указывающие на злоумышленника человека. |
| Средняя (оранжевый) |
Оповещения об обнаружении конечных точек и реагировании после нарушения безопасности, которые могут быть частью расширенной постоянной угрозы (APT). Это поведение, типичное для этапов атаки, аномальное изменение реестра, выполнение подозрительных файлов и т. д. Хотя некоторые из этих тестов могут быть частью внутреннего тестирования безопасности, это требует исследования, так как это также может быть частью расширенной атаки. |
| Низкая (желтый) |
Оповещения об угрозах, связанных с распространенными вредоносными программами. Например, хакерские инструменты, не относящиеся к вредоносным программам, такие как выполнение команд просмотра, очистка журналов и т. д., которые часто не указывают на расширенную угрозу, нацеленную на организацию. Это также может быть вызвано изолированным тестированием средств безопасности пользователем в вашей организации. |
| Информационный (Серый) |
Оповещения, которые не могут считаться вредными для сети, но могут повысить осведомленность организации о потенциальных проблемах безопасности. |
Основные сведения о серьезности оповещений
Microsoft Defender антивирусная программа и серьезность оповещений Defender для конечной точки различаются, так как они представляют разные области.
Серьезность угроз Microsoft Defender Антивирусная программа представляет абсолютную серьезность обнаруженной угрозы (вредоносной программы) и назначается на основе потенциального риска для отдельного устройства в случае заражения.
Серьезность оповещений Defender для конечной точки представляет серьезность обнаруженного поведения, фактический риск для устройства, но, что более важно, потенциальный риск для организации.
Например:
- Серьезность оповещения Defender для конечной точки о обнаруженной угрозе Microsoft Defender Антивирусная программа, которая была предотвращалась и не заразила устройство, классифицируется как "Информационное", так как фактический ущерб не был нанесен.
- Оповещение о коммерческой вредоносной программе, обнаруженной во время выполнения, но заблокированной и исправленной Microsoft Defender антивирусной программой, классифицируется как "низкая", так как это могло причинить некоторый ущерб отдельному устройству, но не представляет угрозы организации.
- Оповещение о вредоносной программе, обнаруженной во время выполнения, которая может представлять угрозу не только для отдельного устройства, но и для организации, независимо от того, была ли она заблокирована в конечном итоге, может быть ранжирована как "Средняя" или "Высокая".
- Подозрительные оповещения о поведении, которые не были заблокированы или исправлены, будут ранжированы как "Низкий", "Средний" или "Высокий" в соответствии с теми же организационными рекомендациями по угрозам.
Состояние
Вы можете отфильтровать список оповещений по их состоянию.
Примечание.
Если отображается состояние оповещения о типе неподдерживаемых оповещений , это означает, что возможности автоматического исследования не могут получить это оповещение для выполнения автоматического исследования. Однако эти оповещения можно исследовать вручную.
Категории
Мы переопредели категории оповещений в соответствии с тактикой атаки предприятия в матрице MITRE ATT&CK. Новые имена категорий применяются ко всем новым оповещениям. Существующие оповещения будут сохранять имена предыдущих категорий.
Служебные источники
Оповещения можно фильтровать по следующим источникам служб:
- Microsoft Defender для удостоверений
- Microsoft Defender for Cloud Apps
- Microsoft Defender для конечной точки
- Microsoft Defender XDR
- Microsoft Defender для Office 365
- Управление приложениями
- Защита Microsoft Entra ID
Пользователи уведомлений о конечной точке Майкрософт теперь могут фильтровать и просматривать обнаружения из службы, отфильтровав по Microsoft Defender экспертам, вложенным в источник службы Microsoft Defender для конечной точки.
Примечание.
Фильтр антивирусной программы будет отображаться только в том случае, если устройства используют антивирусную программу Microsoft Defender в качестве антивредоносного продукта по умолчанию в режиме реального времени.
Tags
Оповещения можно фильтровать по тегам, назначенным оповещениям.
Политика
Оповещения можно фильтровать на основе следующих политик:
| Источник обнаружения | Значение API |
|---|---|
| Сторонние датчики | ThirdPartySensors |
| антивирусная программа | WindowsDefenderAv |
| Автоматическое исследование | Автоматизированное расследование |
| Пользовательское обнаружение | CustomDetection |
| Настраиваемый TI | CustomerTI |
| EDR | WindowsDefenderAtp |
| Microsoft Defender XDR | MTP |
| Microsoft Defender для Office 365 | OfficeATP |
| эксперты Microsoft Defender | ThreatExperts |
| Smartscreen | WindowsDefenderSmartScreen |
Entities
Оповещения можно фильтровать по имени или идентификатору сущности.
Состояние автоматического расследования
Вы можете отфильтровать оповещения по состоянию автоматического исследования.
Статьи по теме
- Управление оповещениями Microsoft Defender для конечной точки
- Изучение оповещений Microsoft Defender для конечной точки
- Изучение файла, связанного с оповещением Microsoft Defender для конечной точки
- Изучение устройств в списке устройств Microsoft Defender для конечной точки
- Изучение IP-адреса, связанного с оповещением Microsoft Defender для конечной точки
- Изучение домена, связанного с оповещением Microsoft Defender для конечной точки
- Изучение учетной записи пользователя в Microsoft Defender для конечной точки
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.