Изучение оповещений в Microsoft Defender для конечной точки

Область применения:

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Изучите оповещения, влияющие на вашу сеть, поймите, что они означают и как их устранить.

Выберите оповещение в очереди оповещений, чтобы перейти на страницу оповещений. Это представление содержит заголовок оповещения, затронутые ресурсы, боковую панель сведений и историю оповещений.

На странице оповещений начните исследование, выбрав затронутые ресурсы или любую из сущностей в представлении дерева оповещений. Область сведений автоматически заполняется дополнительными сведениями о том, что вы выбрали. Сведения о том, какие сведения можно просмотреть здесь, см. в статье Просмотр оповещений в Microsoft Defender для конечной точки.

Исследование с помощью истории оповещений

В истории оповещений описывается, почему было активировано оповещение, связанные события, произошедшие до и после, а также другие связанные сущности.

Сущности доступны для щелчка, и каждая сущность, которая не является оповещением, развертывается с помощью значка развертывания в правой части карта этой сущности. Сущность в фокусе будет обозначена синей полосой слева от карта этой сущности, а оповещение в заголовке будет в фокусе.

Разверните сущности, чтобы просмотреть подробные сведения. Выбор сущности переключит контекст области сведений на эту сущность и позволит просмотреть дополнительные сведения, а также управлять этой сущностью. При выборе ... справа от сущности карта будут показаны все действия, доступные для этой сущности. Эти же действия отображаются в области сведений, когда эта сущность находится в фокусе.

Примечание.

Раздел истории оповещений может содержать несколько оповещений, при этом дополнительные оповещения, связанные с тем же деревом выполнения, отображаются до или после выбранного оповещения.

история оповещений с оповещением в фокусе и несколькими расширенными карточками

Исследование с помощью временная шкала оповещений

Оповещение временная шкала дополняет существующее представление "дерево процессов", предлагая пользователям исчерпывающий взгляд на каждое оповещение. Хотя дерево процессов предоставляет подробную разбивку связанных процессов и действий оповещения, временная шкала оповещений представляет сжатое хронологическое представление, которое упрощает быстрое рассмотрение и принятие решений.

Действие из области сведений

После выбора интересующей сущности область сведений изменится, чтобы отобразить сведения о выбранном типе сущности, историческую информацию, если она будет доступна, и предложить элементы управления для выполнения действий с этой сущностью непосредственно со страницы оповещения.

Завершив исследование, вернитесь к оповещению, с которым вы начали работу, пометьте состояние оповещения как Разрешено и классифицируйте его как ложное илиистинное оповещение. Классификация оповещений помогает настроить эту возможность для предоставления более верных оповещений и меньше ложных оповещений.

Если классифицировать его как истинное оповещение, можно также выбрать определение, как показано на рисунке ниже.

Область сведений с разрешенным оповещением и раскрывающимся списком определения

Если в бизнес-приложении возникает ложное оповещение, создайте правило подавления, чтобы избежать этого типа оповещений в будущем.

Действия и классификация в области сведений с выделенным правилом подавления

Совет

Если у вас возникли проблемы, не описанные выше, нажмите кнопку 🙂 , чтобы отправить отзыв или отправить запрос в службу поддержки.

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.