Végponthoz készült Microsoft Defender-riasztások kezelése
Érintett szolgáltatás:
- Végponthoz készült Microsoft Defender 1. csomag
- Végponthoz készült Microsoft Defender 2. csomag
- Microsoft Defender XDR
Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra
A Végponthoz készült Defender riasztásokon keresztül értesíti a lehetséges rosszindulatú eseményekről, attribútumokról és környezetfüggő információkról. Megjelenik az új riasztások összegzése, és a Riasztások üzenetsor összes riasztása elérhető.
A riasztásokat úgy kezelheti, hogy kiválaszt egy riasztást a Riasztások sorban, vagy az Eszköz lap Riasztások lapját egy adott eszközhöz.
Ha kiválaszt egy riasztást valamelyik helyen, megjelenik a Riasztáskezelés panel.
Ebből a videóból megtudhatja, hogyan használhatja az új Végponthoz készült Microsoft Defender riasztási oldalt.
Másik incidensre mutató hivatkozás
Létrehozhat egy új incidenst a riasztásból, vagy hivatkozhat egy meglévő incidensre.
Riasztások hozzárendelése
Ha még nincs hozzárendelve riasztás, a Hozzárendelés hozzám lehetőséget választva saját magához rendelheti a riasztást.
Riasztások mellőzése
Előfordulhatnak olyan helyzetek, amikor el kell tiltania a riasztások megjelenítését a Microsoft Defender XDR. A Végponthoz készült Defender lehetővé teszi, hogy letiltási szabályokat hozzon létre az olyan riasztásokhoz, amelyekről ismert, hogy ártalmatlanok, például ismert eszközök vagy folyamatok a szervezetben.
A letiltási szabályok meglévő riasztásokból hozhatók létre. Szükség esetén letilthatók és újra engedélyezhetők.
A mellőzési szabály létrehozásakor a szabály létrehozásának időpontjától lép érvénybe. A szabály a szabály létrehozása előtt nem befolyásolja az üzenetsorban már meglévő riasztásokat. A szabály csak olyan riasztásokra lesz alkalmazva, amelyek megfelelnek a szabály létrehozása után megadott feltételeknek.
A letiltási szabályhoz két környezet közül választhat:
- Riasztás letiltása ezen az eszközön
- Riasztás letiltása a szervezetben
A szabály kontextusa lehetővé teszi, hogy testre szabja a portálon megjelenő elemeket, és győződjön meg arról, hogy csak valós biztonsági riasztások jelennek meg a portálon.
Az alábbi táblázatban szereplő példák segítségével kiválaszthatja a mellőzési szabály környezetét:
Kontextus | Definíció | Példaforgatókönyvek |
---|---|---|
Riasztás letiltása ezen az eszközön | Az ugyanazzal a riasztási címmel és csak az adott eszközön található riasztások le lesznek tiltva. Az eszközön lévő összes többi riasztás nem lesz letiltva. |
|
Riasztás letiltása a szervezetben | Az azonos riasztási címmel rendelkező riasztások minden eszközön le lesznek tiltva. |
|
Riasztás mellőzése és új mellőzési szabály létrehozása
Egyéni szabályok létrehozásával szabályozhatja, hogy a rendszer mikor tiltsa le vagy oldja fel a riasztásokat. A riasztások letiltásának kontextusát a riasztás címének, a biztonsági rés jelzésének és a feltételeknek a megadásával szabályozhatja. A környezet megadása után konfigurálhatja a műveletet és a hatókört a riasztáson.
Válassza ki a letiltani kívánt riasztást. Ekkor megjelenik a Riasztáskezelés panel.
Válassza a Mellőzési szabály létrehozása lehetőséget.
Ezekkel az attribútumokkal mellőzési feltételt hozhat létre. Az egyes feltételek között egy AND operátor van alkalmazva, így a mellőzés csak akkor történik meg, ha minden feltétel teljesül.
- SHA1 fájl
- Fájlnév – helyettesítő karakterek támogatottak
- Mappa elérési útja – helyettesítő karakter támogatott
- IP-cím
- URL – helyettesítő karakter támogatott
- Parancssor – helyettesítő karakterek támogatottak
Válassza a Triggering IOC (IOC aktiválása) lehetőséget.
Adja meg a riasztás műveletét és hatókörét.
A riasztásokat automatikusan feloldhatja vagy elrejtheti a portálról. Az automatikusan feloldott riasztások a riasztási várólista, a riasztási oldal és az eszköz idővonalának megoldott szakaszában jelennek meg, és feloldottként jelennek meg a Végponthoz készült Defender API-kban.
A rejtettként megjelölt riasztások az eszköz társított riasztásaiból és az irányítópultról is el lesznek rejtve, és nem lesznek streamelve a Végponthoz készült Defender API-k között.
Adjon meg egy szabálynevet és egy megjegyzést.
Kattintson a Mentés gombra.
Megjegyzés:
A riasztások mellőzése nem kompatibilis az egyéni észlelésekkel. A téves riasztások elkerülése érdekében mindenképpen finomhangolja az egyéni észleléseket.
A mellőzési szabályok listájának megtekintése
A navigációs panelen válassza a Beállítások>Végpontok>Szabályok>Riasztás mellőzése lehetőséget.
A letiltási szabályok listája megjeleníti a szervezet felhasználói által létrehozott összes szabályt.
További információ a mellőzési szabályok kezeléséről: Mellőzési szabályok kezelése
Riasztás állapotának módosítása
A riasztásokat ( Új, Folyamatban vagy Megoldott) úgy kategorizálhatja, hogy a vizsgálat előrehaladásának megfelelően módosítja az állapotukat. Így rendszerezheti és kezelheti, hogy csapata hogyan reagálhat a riasztásokra.
Egy csapatvezető például áttekintheti az összes új riasztást, és további elemzés céljából hozzárendelheti őket a Folyamatban üzenetsorhoz.
Másik lehetőségként a csapatvezető hozzárendelheti a riasztást a Feloldott üzenetsorhoz, ha tudják, hogy a riasztás jóindulatú, egy irreleváns eszközről érkezik (például egy biztonsági rendszergazdához tartozik), vagy egy korábbi riasztáson keresztül kezelik.
Riasztások besorolása
Dönthet úgy, hogy nem állít be besorolást, vagy megadhatja, hogy a riasztás valódi vagy hamis riasztás-e. Fontos megadni a valódi pozitív/hamis pozitív besorolást. Ez a besorolás a riasztások minőségének figyelésére és a riasztások pontosabbá ására szolgál. A "determináció" mező további pontosságot határoz meg a "valódi pozitív" besoroláshoz.
A riasztások besorolásának lépéseit ebben a videóban találja:
Megjegyzések hozzáadása és a riasztások előzményeinek megtekintése
Megjegyzéseket adhat hozzá, és megtekintheti a riasztásokkal kapcsolatos előzményeseményeket a riasztás korábbi módosításainak megtekintéséhez.
Amikor módosítást vagy megjegyzést fűz egy riasztáshoz, az a Megjegyzések és előzmények szakaszban lesz rögzítve.
A hozzáadott megjegyzések azonnal megjelennek a panelen.
Kapcsolódó cikkek
- A Végponthoz készült Microsoft Defender és Microsoft Defender víruskereső kizárásai
- Mellőzési szabályok kezelése
- A Végponthoz készült Microsoft Defender-riasztások üzenetsorának megtekintése és rendszerezése
- Végponthoz készült Microsoft Defender-riasztások vizsgálata
- Végponthoz készült Microsoft Defender-riasztáshoz társított fájl vizsgálata
- Eszközök vizsgálata a Végponthoz készült Microsoft Defender Eszközök listában
- Végponthoz készült Microsoft Defender-riasztáshoz társított IP-cím vizsgálata
- Végponthoz készült Microsoft Defender-riasztáshoz társított tartomány vizsgálata
- Felhasználói fiók vizsgálata a Végponthoz készült Microsoft Defender-ben
Tipp
Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.