在 Microsoft Defender 全面偵測回應 中調查適用於身分識別的Defender安全性警示
注意事項
適用於身分識別的 Defender 並非設計為稽核或記錄解決方案,可擷取安裝感測器之伺服器上的每個單一作業或活動。 它只會擷取偵測和建議機制所需的數據。
本文說明如何在 Microsoft Defender 全面偵測回應 中使用 適用於身分識別的 Microsoft Defender 安全性警示的基本概念。
適用於身分識別的 Defender 警示會原生整合到具有專用身分識別警示頁面格式的 Microsoft Defender 全面偵測回應。
[身分識別警示] 頁面可為 適用於身分識別的 Microsoft Defender 客戶提供更好的跨網域訊號擴充和新的自動化身分識別回應功能。 它可確保您保持安全,並協助改善安全性作業的效率。
透過 Microsoft Defender 全面偵測回應 調查警示的優點之一,是 適用於身分識別的 Microsoft Defender 警示會進一步與套件中每個其他產品取得的資訊相互關聯。 這些增強的警示與源自 適用於 Office 365 的 Microsoft Defender 和 適用於端點的 Microsoft Defender 的其他 Microsoft Defender 全面偵測回應 警示格式一致。 新頁面實際上不需要流覽至另一個產品入口網站,以調查與身分識別相關聯的警示。
源自適用於身分識別的 Defender 的警示現在可以觸發 Microsoft Defender 全面偵測回應 自動化調查和回應 (AIR) 功能,包括自動補救警示,以及降低可能造成可疑活動的工具和程式。
重要事項
隨著 Microsoft Defender 全面偵測回應 的聚合,某些選項和詳細數據已從適用於身分識別的 Defender 入口網站中的位置變更。 請閱讀下列詳細數據,以探索哪裡可以找到熟悉和新功能。
檢閱安全性警示
您可以從多個位置存取警示,包括 [ 警示 ] 頁面、[ 事件 ] 頁面、個別 裝置的頁面,以及 [ 進階搜捕 ] 頁面。 在此範例中,我們將檢閱 [警示] 頁面。
在 Microsoft Defender 全面偵測回應 中,移至 [事件 & 警示],然後移至 [警示]。
![[警示] 功能表項](media/incidents-alerts.png#lightbox)
若要查看適用於身分識別的 Defender 警示,請在右上方選取 [篩選],然後在 [服務來源] 底下選取 [適用於身分識別的 Microsoft Defender],然後選取 [套用]:
警示會顯示在下列數據行中的資訊: 警示名稱、 標籤、 嚴重性、 調查狀態、 狀態、 類別、 偵測來源、 受影響的資產、 第一個活動和 最後一個活動。
安全性警示類別
適用於身分識別的 Defender 安全性警示分為下列類別或階段,例如典型的網路攻擊終止鏈結中所見的階段。
管理警示
如果您選取其中一個警示的 [ 警示名稱 ],您會移至具有警示詳細數據的頁面。 在左窗格中,您會看到 發生什麼事的摘要:
![[發生什麼事] 窗格](media/what-happened.png#lightbox)
[ 發生什麼事 ] 方塊上方是警示的 [ 帳戶]、[ 目的地主機 ] 和 [ 來源主機 ] 按鈕。 對於其他警示,您可能會看到按鈕,以取得其他主機、帳戶、IP 位址、網域和安全組的詳細數據。 選取其中任何一個,以取得有關相關實體的詳細數據。
在右窗格中,您會看到 [警示詳細數據]。 您可以在這裡查看更多詳細資料,並執行數項工作:
分類此警示 - 您可以在這裡將此警示指定為 True 警示 或 False 警示
警示狀態 - 在 [設定分類] 中,您可以將警示分類為 True 或 False。 在 [指派給] 中,您可以將警示指派給自己或取消指派。
![[警示狀態] 窗格](media/alert-state.png)
警示詳細數據 - 在 [ 警示詳細數據] 下,您可以找到有關特定警示的詳細資訊、遵循警示類型的檔連結、查看警示與哪一個事件相關聯、檢閱連結到此警示類型的任何自動化調查,以及查看受影響的裝置和使用者。
![[警示詳細數據] 頁面](media/alert-details.png)
批註 & 歷程記錄 - 您可以在這裡將批註新增至警示,並查看與警示相關聯之所有動作的歷程記錄。
![[批注 & 歷程記錄] 頁面](media/comments-history.png)
管理警示 - 如果您選取 [管理警示],您會移至可讓您編輯的窗格:
狀態 - 您可以選擇 [新增]、[ 已解決 ] 或 [ 進行中]。
分類 - 您可以選擇 [True 警示 ] 或 [ False 警示]。
批註 - 您可以新增警示的相關批注。
如果您選取 [ 管理警示] 旁的三個點,您可以 將警示連結至另一個事件、 建立隱藏規則 (僅供預覽客戶) 或 詢問 Defender 專家。
![[管理警示] 選項](media/manage-alert.png)
您也可以將警示匯出至 Excel 檔案。 若要這樣做,請選取 [ 導出]。
注意事項
在 Excel 檔案中,您現在有兩個可用的連結:[檢視 適用於身分識別的 Microsoft Defender] 和 [在 Microsoft Defender 全面偵測回應 中檢視]。 每個鏈接都會帶您前往相關的入口網站,並在該處提供警示的相關信息。
![[警示狀態] 窗格](media/alert-state.png#lightbox)
![[警示詳細數據] 頁面](media/alert-details.png#lightbox)
![[批注 & 歷程記錄] 頁面](media/comments-history.png#lightbox)
![[管理警示] 選項](media/manage-alert.png#lightbox)
微調警示
調整警示以調整和優化警示,減少誤判。 警示調整可讓您的SOC小組專注於高優先順序警示,並改善整個系統的威脅偵測涵蓋範圍。 在 Microsoft Defender 全面偵測回應 中,根據辨識項類型建立規則條件,然後在符合條件的任何規則類型上套用您的規則。
如需詳細資訊,請 參閱微調警示。
另請參閱
深入了解
- 嘗試我們的互動式指南:使用 適用於身分識別的 Microsoft Defender 偵測可疑活動和潛在攻擊