Day8:EndPoint for Microsoft Defender 警示和事件

当我们布署完Microsoft Defender for Endpoint

接下来当侦测到威胁时，系统中会建立警示以让分析人员调查。

具有相同攻击技术或有相同攻击者特性的警示，会汇总成称为事件。

以此方式汇总的警示，方便分析人员统一调查和回应威胁。

以下为Microsoft Defender for Endpoint会用到的术语

装置

首先，每个端点都视为一部装置。

辨识项

适用於端点的 Microsoft Defender 会收集有关成品的监定资讯

，包括帐户、处理程序、网路资讯和其他资讯。

警示

适用於端点的 Defender 使用以 Microsoft 专业知识为基础且持续

更新的侦测规则来寻找可疑活动。 如果找到，就会产生警示。

事件

根据所产生警示，适用於端点的 Defender 会将警示分组为事件。
事件会显示警示、辨识项和调查的汇总。

调查

适用於端点的 Defender 会执行自动化调查

安全性作业仪表板

安全性作业仪表板会提供有关侦测发生位置的概要说明，

并强调需要回应动作的位置。