當我們佈署完Microsoft Defender for Endpoint

接下來當偵測到威脅時，系統中會建立警示以讓分析人員調查。

具有相同攻擊技術或有相同攻擊者特性的警示，會彙總成稱為事件。

以此方式彙總的警示，方便分析人員統一調查和回應威脅。

以下為Microsoft Defender for Endpoint會用到的術語

裝置

首先，每個端點都視為一部裝置。

辨識項

適用於端點的 Microsoft Defender 會收集有關成品的鑑定資訊

，包括帳戶、處理程序、網路資訊和其他資訊。

警示

適用於端點的 Defender 使用以 Microsoft 專業知識為基礎且持續

更新的偵測規則來尋找可疑活動。 如果找到，就會產生警示。

事件

根據所產生警示，適用於端點的 Defender 會將警示分組為事件。
事件會顯示警示、辨識項和調查的彙總。

調查

適用於端點的 Defender 會執行自動化調查

安全性作業儀表板

安全性作業儀表板會提供有關偵測發生位置的概要說明，

並強調需要回應動作的位置。