Časová osa zařízení v Programu Microsoft Defender for Endpoint
Platí pro:
Poznámka
Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,
Časová osa zařízení Defenderu for Endpoint vám pomůže rychleji zkoumat a zkoumat neobvyklé chování vašich zařízení. Můžete prozkoumat konkrétní události a koncové body a zkontrolovat potenciální útoky ve vaší organizaci. Můžete zkontrolovat konkrétní časy každé události, nastavit příznaky pro zpracování potenciálně propojených událostí a filtrovat na konkrétní rozsahy dat.
Výběr vlastního časového rozsahu:
Prostředí stromu procesů – boční panel události:
Všechny techniky MITRE se zobrazí, pokud existuje více souvisejících technik:
Události časové osy jsou propojené s novou stránkou uživatele:
Definované filtry se teď zobrazují v horní části časové osy:
Techniky na časové ose zařízení
Další přehled o vyšetřování získáte analýzou událostí, ke kterým došlo na konkrétním zařízení. Nejprve vyberte zařízení, které vás zajímá, ze seznamu Zařízení. Na stránce zařízení můžete vybrat kartu Časová osa a zobrazit všechny události, ke kterým na zařízení došlo.
Principy technik na časové ose
Důležité
Některé informace se týkají předem vydané funkce produktu ve verzi Public Preview, která se může před komerčním vydáním podstatně změnit. Společnost Microsoft neposkytuje v souvislosti se zde uvedenými informacemi žádné výslovné ani předpokládané záruky.
V Microsoft Defenderu for Endpoint jsou techniky dalším datovým typem na časové ose události. Techniky poskytují další přehled o aktivitách spojených s MITRE ATT& techniky nebo subtechniques CK.
Tato funkce zjednodušuje prostředí vyšetřování tím, že pomáhá analytikům pochopit aktivity, které byly na zařízení pozorovány. Analytici se pak můžou rozhodnout pro další šetření.
Během období Preview jsou techniky ve výchozím nastavení k dispozici a zobrazují se společně s událostmi při zobrazení časové osy zařízení.
Techniky jsou zvýrazněné tučným písmem a zobrazují se s modrou ikonou vlevo. Odpovídající MITRE ATT&ID CK a název techniky se také zobrazí jako značky v části Další informace.
Možnosti Hledání a Export jsou k dispozici také pro Techniky.
Prozkoumání pomocí bočního podokna
Výběrem techniky otevřete odpovídající boční podokno. Tady najdete další informace a přehledy, jako jsou související att&techniky, taktiky a popisy CK.
Výběrem konkrétní techniky útoku otevřete související stránku s technikou ATT&CK, kde najdete další informace o této technice.
Podrobnosti o entitě můžete zkopírovat, když se na pravé straně zobrazí modrá ikona. Pokud chcete například zkopírovat SHA1 souvisejícího souboru, vyberte ikonu modré stránky.
To samé můžete udělat pro příkazové řádky.
Zkoumání souvisejících událostí
Pokud chcete použít rozšířené proaktivní vyhledávání k vyhledání událostí souvisejících s vybranou technikou, vyberte Vyhledat související události. Tím se zobrazí stránka rozšířeného proaktivního vyhledávání s dotazem na vyhledání událostí souvisejících s technikou.
Poznámka
Dotazování pomocí tlačítka Proaktivní vyhledávání souvisejících událostí v bočním podokně Technika zobrazí všechny události související s identifikovanou technikou, ale nezahrnuje samotnou techniku do výsledků dotazu.
Správce prostředků klienta EDR (MsSense.exe)
Když má klient EDR na zařízení nedostatek prostředků, přejde do kritického režimu, aby se zachoval normální pracovní provoz zařízení. Zařízení nebude zpracovávat nové události, dokud se klient EDR nevrátí do normálního stavu. Na časové ose pro toto zařízení se zobrazí nová událost, která označuje, že klient EDR přepnul do kritického režimu.
Když se využití prostředků klienta EDR vrátí na normální úroveň, automaticky se vrátí do normálního režimu.
Přizpůsobení časové osy zařízení
V pravém horním rohu časové osy zařízení můžete zvolit rozsah dat, který omezí počet událostí a technik na časové ose.
Můžete přizpůsobit, které sloupce se mají zveřejnit. Události s příznakem můžete také filtrovat podle datového typu nebo podle skupiny událostí.
Výběr sloupců, které se mají zveřejnit
Když vyberete tlačítko Zvolit sloupce , můžete vybrat, které sloupce se mají na časové ose zobrazit.
Odtud můžete vybrat, kterou sadu informací chcete zahrnout.
Filtrováním zobrazíte pouze techniky nebo události.
Pokud chcete zobrazit jenom události nebo techniky, vyberte filtry na časové ose zařízení a zvolte preferovaný datový typ, který chcete zobrazit.
Příznaky událostí časové osy
Příznaky událostí na časové ose zařízení Defender for Endpoint pomáhají filtrovat a organizovat konkrétní události při vyšetřování potenciálních útoků.
Časová osa zařízení Defenderu for Endpoint poskytuje chronologické zobrazení událostí a souvisejících výstrah zjištěných na zařízení. Tento seznam událostí poskytuje úplný přehled o všech událostech, souborech a IP adresách zjištěných na zařízení. Seznam může být někdy dlouhý. Příznaky událostí časové osy zařízení pomáhají sledovat události, které by mohly souviset.
Po procházení časové osy zařízení můžete řadit, filtrovat a exportovat konkrétní události, které jste označili příznakem.
Při procházení časové osy zařízení můžete vyhledávat a filtrovat konkrétní události. Příznaky událostí můžete nastavit pomocí:
- Zvýraznění nejdůležitějších událostí
- Označení událostí, které vyžadují podrobné informace
- Vytvoření časové osy čistého porušení zabezpečení
Označení události příznakem
Vyhledejte událost, kterou chcete označit příznakem.
Vyberte ikonu příznaku ve sloupci Příznak.
Zobrazení událostí s příznakem
- V části Filtry časové osy povolte události s příznakem.
- Vyberte Použít. Zobrazí se pouze události s příznakem.
Kliknutím na časový pruh můžete použít další filtry. Zobrazí se jenom události před událostí s příznakem.
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení Microsoftu v naší technické komunitě: Technická komunita Microsoft Defenderu for Endpoint.