警报队列显示从网络中标识标记的警报列表。 默认情况下,队列在分组视图中显示过去七天内看到的警报。 最新的警报显示在列表顶部,可帮助你首先看到最新的警报。
查看警报队列
在Microsoft Defender门户中,转到“事件 & 警报”,然后转到“警报”。
显示过去七天的警报,其中包含以下信息:
- 警报名称
- 标记
- Severity
- 调查状态
- 状态
- 类别
- 检测源
- 受影响的资产
- 第一个活动
- 最后一次活动
自定义警报队列的视图
可以通过多种方式自定义警报队列的视图。 使用页面顶部的工具,可以:
- 自定义视图以添加或删除列。
- 应用筛选器。
- 自定义持续时间。 显示特定持续时间的警报,例如 1 天、3 天、1 周、30 天和 6 个月。
- 导出详细的 Excel 报表进行分析。
筛选警报视图
可以应用以下筛选器来获取更集中的警报视图。
| 通知 | 说明 |
|---|---|
| 严重性 | 警报严重性基于多个因素,包括攻击者可能具有多少访问权限、攻击成功后的潜在影响,以及警报为真阳性的可能性。 有关警报类型及其分配的严重性级别的完整列表,请参阅 安全警报名称映射和唯一外部 ID |
| 状态 | 可以选择根据警报状态筛选警报列表。 例如,可以进行筛选以仅显示 “新建”、“ 正在进行”或 “已解决”警报。 |
| 检测源 | 可以根据以下检测源筛选警报:Microsoft Defender for Identity或Microsoft Defender XDR |
| Tags | 可以根据分配给警报的标记筛选警报。 |
查看警报
可以通过从以下任一位置选择警报名称来访问来自多个位置的单个警报:
- “ 警报 ”页
- “事件”页
- “标识”页
- 单个设备的页面
- “高级搜寻”页
警报页
警报页通过组合与所选警报相关的攻击信号和警报来构建详细的警报情景,从而提供警报的上下文。 警报页可帮助你快速会审、调查警报并采取有效措施。
注意
Microsoft Defender for Identity警报当前显示在Microsoft Defender XDR门户中的两个不同的布局中。 虽然警报视图显示不同的信息,但所有警报都基于来自 Defender for Identity 传感器的检测。 所示布局和信息的差异是跨Microsoft Defender产品持续过渡到统一警报体验的一部分。
若要查看来自 Defender for Identity 和Defender XDR的警报,请选择“筛选”,然后在“服务源”下选择“Microsoft Defender for Identity和Defender XDR”,然后选择“应用”:
Microsoft Defender for Identity警报
在页面顶部,有警报的 “帐户”、“ 目标主机”和“ 源主机” 部分。 根据警报,你可能会看到有关其他主机、帐户、IP 地址、域和安全组的详细信息。 选择其中任何实体以获取有关所涉及的实体的更多详细信息。
-
“警报情景”部分提供了一个包含警报详细信息的完整情景的信息。 警报故事分为两个部分:
- 所发生的情况包括警报的时间线和警报中涉及的实体。
- 警报图 提供警报的可视表示形式,包括警报中涉及的实体及其关系。 此图可帮助你了解实体的连接方式以及它们与警报的关系。
- 重要信息 提供了支持警报调查的技术上下文。 可以使用此信息来验证活动是预期活动还是可疑活动,并确定要采取哪些作来遏制或升级事件。
- 活动详细信息 提供详细信息,包括时间戳、基对象、搜索范围以及有关警报的其他详细信息。
- 页面右侧 的详细信息窗格 提供有关警报的其他信息,包括 警报详细信息、 注释 & 历史记录。 详细信息窗格还提供其他选项,例如:
- 管理警报
- 导出警报
- 将警报移动到另一个事件
- 对警报进行分类
Microsoft Defender XDR警报
在页面顶部,有警报的 “帐户”、“ 目标主机”和“ 源主机” 部分。 根据警报,你可能会看到有关其他主机、帐户、IP 地址、域和安全组的详细信息的按钮。 选择其中任何实体以获取有关所涉及的实体的更多详细信息。
-
“警报情景”部分提供了一个包含警报详细信息的完整情景的信息。 警报故事分为两个部分:
- 所发生的情况包括警报的时间线和警报中涉及的实体。
- 页面右侧 的详细信息窗格 提供有关警报的其他信息,包括 警报详细信息、 注释 & 历史记录。 详细信息窗格还提供其他选项,例如:
- 管理警报
- 将警报移动到另一个事件
- 对警报进行分类
管理安全威胁
选择警报将打开“警报管理”窗格,可在其中执行以下作:
更改警报的状态
可以通过在调查过程中更改警报的状态,将警报分类为“新建”、“正在进行”或“已解决”。 这有助于组织和管理团队响应警报的方式。 例如,团队领导可以查看所有新警报,并决定将其分配到“正在进行”队列进行进一步分析。 如果团队领导知道警报是良性的,或者来自 (无关的设备(例如属于安全管理员的设备) ),或者正在通过早期警报进行处理,则团队领导可能会将警报分配给“已解决”队列。
将警报移动到另一个事件
可以从警报创建新事件,也可以链接到现有事件。
分配警报
如果尚未分配警报,可以选择“分配给我”,将警报分配给自己。
向警报添加注释
可以向警报添加注释,以提供其他上下文或信息。 这对于与团队共享见解或记录调查过程非常有用。 每当对警报进行更改或注释时,它都记录在注释和历史记录部分中。
对安全警报进行分类
对于每个警报,提出以下问题以确定警报分类并帮助确定接下来要执行的作:
- 安全警报是 TP、B-TP 还是 FP?
- 此特定安全警报在环境中有多常见?
- 警报是由相同类型的计算机还是用户触发的? 例如,具有相同角色的服务器或来自同一组/部门的用户? 如果计算机或用户相似,你可能会决定排除它,以避免将来出现额外的 FP 警报。
经过适当的调查,所有 Defender for Identity 安全警报都可以归类为下列活动类型之一:
真正 (TP) :Defender for Identity 检测到的恶意作。
良性真阳性 (B-TP) :Defender for Identity 检测到的是真实但不是恶意的作,例如渗透测试或已批准的应用程序生成的已知活动。
误报 (FP) :误报,表示活动未发生。
注意
增加完全相同类型的警报通常会降低警报的可疑/重要性级别。 对于重复警报,请验证配置,并使用安全警报详细信息和定义准确了解触发重复作的情况。
优化警报
优化警报以调整和优化警报,减少误报。 通过警报优化,SOC 团队可以专注于高优先级警报,并改进整个系统的威胁检测覆盖范围。 在Microsoft Defender XDR中,基于证据类型创建规则条件,然后将规则应用于与条件匹配的任何规则类型。
有关详细信息,请参阅 优化警报。