Undersöka aviseringar i Microsoft Defender för Endpoint
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft Defender XDR
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Undersök aviseringar som påverkar nätverket, förstå vad de innebär och hur du löser dem.
Välj en avisering från aviseringskön för att gå till aviseringssidan. Den här vyn innehåller aviseringsrubriken, de berörda tillgångarna, informationssidan och aviseringsartikeln.
På aviseringssidan påbörjar du undersökningen genom att välja de berörda tillgångarna eller någon av entiteterna i trädvyn för aviseringsberättelsen. Informationsfönstret fylls automatiskt i med ytterligare information om vad du har valt. Om du vill se vilken typ av information du kan visa här läser du Granska aviseringar i Microsoft Defender för Endpoint.
Undersöka med hjälp av aviseringsartikeln
Aviseringsartikeln beskriver varför aviseringen utlöstes, relaterade händelser som inträffade före och efter samt andra relaterade entiteter.
Entiteter är klickbara och varje entitet som inte är en avisering kan expanderas med hjälp av ikonen expandera till höger på entitetens kort. Entiteten i fokus indikeras av en blå rand till vänster om entitetens kort, där aviseringen i rubriken först är i fokus.
Expandera entiteter om du vill visa information snabbt. Om du väljer en entitet växlar du kontexten för informationsfönstret till den här entiteten, så att du kan granska ytterligare information samt hantera den entiteten. Om du väljer ... till höger om entitetskortet visas alla åtgärder som är tillgängliga för den entiteten. Samma åtgärder visas i informationsfönstret när entiteten är i fokus.
Obs!
Aviseringsavsnittet kan innehålla mer än en avisering, med ytterligare aviseringar relaterade till samma körningsträd som visas före eller efter den avisering som du har valt.
Undersöka med hjälp av tidslinjen för aviseringar
Tidslinjen för aviseringar kompletterar den befintliga vyn "processträd" genom att erbjuda användarna ett omfattande perspektiv på varje avisering. Processträdet ger en detaljerad uppdelning av aviseringens associerade processer och aktiviteter, men tidslinjen för aviseringar visar en komprimerad kronologisk vy som underlättar snabb prioritering och beslutsfattande.
Vidta åtgärder från informationsfönstret
När du har valt en entitet av intresse ändras informationsfönstret för att visa information om den valda entitetstypen, historisk information när den är tillgänglig och erbjuda kontroller för att vidta åtgärder på den här entiteten direkt från aviseringssidan.
När du är klar med undersökningen går du tillbaka till aviseringen som du började med, markerar aviseringens status som Löst och klassificerar den som antingen Falsk avisering eller True-avisering. Genom att klassificera aviseringar kan du finjustera den här funktionen för att tillhandahålla fler sanna aviseringar och mindre falska aviseringar.
Om du klassificerar det som en sann avisering kan du också välja en bestämning, som du ser i bilden nedan.
Om du får en falsk avisering med ett verksamhetsspecifikt program skapar du en undertryckningsregel för att undvika den här typen av avisering i framtiden.
Tips
Om du har problem som inte beskrivs ovan kan du använda 🙂 knappen för att ge feedback eller öppna en supportbegäran.
Relaterade ämnen
- Visa och organisera kön för Microsoft Defender för Endpoint-aviseringar
- Hantera Microsoft Defender för Endpoint aviseringar
- Undersöka en fil som är associerad med en Defender för Endpoint-avisering
- Undersöka enheter i listan Defender för Endpoint-enheter
- Undersöka en IP-adress som är associerad med en Defender för Endpoint-avisering
- Undersöka en domän som är associerad med en Defender för Endpoint-avisering
- Undersöka ett användarkonto i Defender för Endpoint
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.