Stránka entity zařízení v Microsoft Defender
Stránka entity zařízení na portálu Microsoft Defender vám pomůže při vyšetřování entit zařízení. Stránka obsahuje všechny důležité informace o dané entitě zařízení. Pokud výstraha nebo incident indikuje, že se zařízení chová podezřele nebo mohlo být ohroženo, prozkoumejte podrobnosti o zařízení, abyste identifikovali další chování nebo události, které můžou souviset s upozorněním nebo incidentem, a zjistěte potenciální rozsah porušení zabezpečení. Stránku entity zařízení můžete také použít k provádění některých běžných úloh zabezpečení a také k některým akcím reakce na zmírnění nebo nápravu bezpečnostních hrozeb.
Důležité
Sada obsahu zobrazená na stránce entity zařízení se může mírně lišit v závislosti na registraci zařízení v Microsoft Defender for Endpoint a Microsoft Defender for Identity.
Pokud vaše organizace nasadila Microsoft Sentinel na portál Defender, zobrazí se další informace.
V Microsoft Sentinel se entity zařízení označují také jako hostitelské entity. Další informace
Microsoft Sentinel je obecně k dispozici v rámci sjednocené platformy operací zabezpečení společnosti Microsoft na portálu Microsoft Defender. Ve verzi Preview je Microsoft Sentinel k dispozici na portálu Defender bez Microsoft Defender XDR nebo licence E5. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.
Entity zařízení najdete v následujících oblastech:
- Seznam Zařízení v části Prostředky
- Fronta upozornění
- Jakákoli jednotlivá výstraha nebo incident
- Stránka entity libovolného uživatele
- Zobrazení podrobností o jednotlivých souborech
- Zobrazení všech IP adres nebo podrobností domény
- Protokol aktivit
- Rozšířené dotazy proaktivního vyhledávání
- Centrum akcí
Zařízení můžete vybrat vždy, když se zobrazí na portálu, a otevřít tak stránku entity zařízení, na které se zobrazí další podrobnosti o zařízení. Podrobnosti o zařízeních uvedených v upozorněních na incident můžete například zobrazit na portálu Microsoft Defender v části Incidenty & výstrahy > Incidenty Incidenty> – > Prostředky > zařízení.
Stránka entity zařízení zobrazuje informace ve formátu s kartami. Tento článek popisuje typy informací, které jsou k dispozici na jednotlivých kartách, a také akce, které můžete na daném zařízení provést.
Na stránce entity zařízení se zobrazí následující karty:
- Přehled
- Incidenty a výstrahy
- Časová osa
- Doporučení k zabezpečení
- Inventáře
- Zjištěná ohrožení zabezpečení
- Chybějící znalostní báze
- Výchozí hodnoty zabezpečení
- Zásady zabezpečení
- Sentinel události
Nejvyšší část stránky entity obsahuje následující podrobnosti:
- Název entity
- Závažnost rizika, závažnost a indikátory hodnoty zařízení
- Značky , podle kterých lze zařízení klasifikovat. Může ho přidat Defender for Endpoint, Defender for Identity nebo uživatelé. Značky z Microsoft Defender for Identity se nedají upravovat.
- Tady jsou také umístěné akce odpovědí. Další informace o nich najdete níže.
Výchozí karta je Přehled. Poskytuje rychlý přehled nejdůležitějších bezpečnostních faktů o zařízení. Karta Přehled obsahuje boční panel podrobností o zařízení a řídicí panel s některými kartami zobrazujícími základní informace.
Na bočním panelu je uveden úplný název zařízení a úroveň expozice. Poskytuje také některé důležité základní informace v malých pododdílech, které lze rozbalit nebo sbalit, například:
Oddíl | Zahrnuté informace |
---|---|
Podrobnosti o virtuálních počítačích | Názvy a ID počítačů a domén, stav a stavy onboardingu, časová razítka pro první a poslední výskyt, IP adresy a další |
Podrobnosti synchronizace zásad ochrany před únikem informací | V případě potřeby |
Stav konfigurace | Podrobnosti týkající se konfigurace Microsoft Defender for Endpoint |
Podrobnosti o cloudových prostředcích | Cloudová platforma, ID prostředku, informace o předplatném a další informace |
Hardware a firmware | Informace o virtuálních počítačích, procesorech a systému BIOS a další |
Správa zařízení | Microsoft Defender for Endpoint informace o stavu registrace a správě |
Data adresáře | Příznaky řízení uživatelských služeb, hlavní názvy služeb a členství ve skupinách. |
V hlavní části karty Přehled se zobrazuje několik zobrazovaných karet typu řídicího panelu:
- Aktivní výstrahy a úroveň rizika týkající se zařízení za posledních šest měsíců seskupené podle závažnosti
- Posouzení zabezpečení a úroveň expozice zařízení
- Přihlášení uživatelé na zařízení za posledních 30 dnů
- Stav zařízení a další informace o nejnovějších kontrolách zařízení.
Tip
Úroveň expozice se vztahuje k tomu, do jaké míry zařízení dodržuje bezpečnostní doporučení, zatímco úroveň rizika se počítá na základě řady faktorů, včetně typů a závažnosti aktivních výstrah.
Karta Incidenty a výstrahy obsahuje seznam incidentů, které obsahují výstrahy vyvolané na zařízení z libovolného z řady zdrojů detekce Microsoft Defender, včetně Microsoft Sentinel, pokud jsou nasazené. Tento seznam je filtrovanou verzí fronty incidentů a zobrazuje krátký popis incidentu nebo upozornění, jeho závažnost (vysoká, střední, nízká, informační), stav ve frontě (nový, probíhající, vyřešený), jeho klasifikaci (nenastavené, nepravdivé upozornění, skutečné upozornění), stav šetření, kategorii, kdo je přiřazen k jeho řešení a poslední zjištěná aktivita.
Můžete přizpůsobit, které sloupce se pro každou položku zobrazí. Výstrahy můžete také filtrovat podle závažnosti, stavu nebo libovolného jiného sloupce v zobrazení.
Sloupec ovlivněných entit odkazuje na všechny entity zařízení a uživatelů, na které se v incidentu nebo upozornění odkazuje.
Když vyberete incident nebo výstrahu, zobrazí se informační panel. Na tomto panelu můžete incident nebo výstrahu spravovat a zobrazit další podrobnosti, jako je číslo incidentu nebo výstrahy a související zařízení. Najednou je možné vybrat více výstrah.
Pokud chcete zobrazit celé zobrazení incidentu nebo upozornění, vyberte jeho název.
Na kartě Časová osa se zobrazuje chronologické zobrazení všech událostí, které byly na zařízení pozorovány. To vám může pomoct korelovat všechny události, soubory a IP adresy ve vztahu k zařízení.
Výběr sloupců zobrazených v seznamu je možné přizpůsobit. Výchozí sloupce uvádějí čas události, aktivního uživatele, typ akce, přidružené entity (procesy, soubory, IP adresy) a další informace o události.
Časové období, pro které se události zobrazují, můžete řídit posouváním ohraničení časového období podél grafu celkové časové osy v horní části stránky. Časové období můžete také vybrat z rozevíracího seznamu v horní části seznamu (výchozí hodnota je 30 dnů). Pokud chcete zobrazení dále ovládat, můžete filtrovat podle skupin událostí nebo přizpůsobit sloupce.
Do souboru CSV můžete exportovat události za sedm dní ke stažení.
Přejděte k podrobnostem jednotlivých událostí tak, že vyberete a událost a zobrazíte její podrobnosti na výsledném panelu informačního rámečku. Viz Podrobnosti o události níže.
Poznámka
Pokud chcete zobrazit události brány firewall, budete muset povolit zásady auditu, viz Připojení platformy filtrování auditu.
Brána firewall pokrývá následující události:
Výběrem události zobrazíte relevantní podrobnosti o této události. Na informačním panelu se zobrazí mnohem více informací o události. Typy zobrazených informací závisí na typu události. Pokud jsou k dispozici data a jsou k dispozici, může se zobrazit graf zobrazující související entity a jejich vztahy, jako je řetězec souborů nebo procesů. Můžete se také podívat na souhrnný popis MITRE ATT&taktik a technik CK použitelných pro danou událost.
Pokud chcete událost a související události dále prozkoumat, můžete rychle spustit rozšířený dotaz proaktivního vyhledávání tak, že vyberete Proaktivní vyhledávání souvisejících událostí. Dotaz vrátí vybranou událost a seznam dalších událostí, ke kterým došlo přibližně ve stejnou dobu na stejném koncovém bodu.
Karta Doporučení zabezpečení obsahuje seznam akcí, které můžete provést k ochraně zařízení. Když vyberete položku v tomto seznamu, otevře se informační nabídka, kde najdete pokyny k použití doporučení.
Stejně jako u předchozích karet je možné přizpůsobit výběr zobrazených sloupců.
Výchozí zobrazení obsahuje sloupce s podrobnostmi o vyřešených slabých stránkách zabezpečení, související hrozbě, související komponentě nebo softwaru ovlivněném hrozbou atd. Položky je možné filtrovat podle stavu doporučení.
Přečtěte si další informace o doporučeních k zabezpečení.
Tato karta zobrazuje inventář čtyř typů komponent: software, ohrožené komponenty, rozšíření prohlížeče a certifikáty.
Tato karta obsahuje seznam softwaru nainstalovaného v zařízení.
Výchozí zobrazení zobrazuje dodavatele softwaru, číslo nainstalované verze, počet známých slabých míst softwaru, přehledy hrozeb, kód produktu a značky. Počet zobrazených položek a zobrazené sloupce je možné přizpůsobit.
Když vyberete položku z tohoto seznamu, otevře se informační panel obsahující další podrobnosti o vybraném softwaru a cestu a časové razítko pro čas posledního nalezení softwaru.
Tento seznam je možné filtrovat podle kódu produktu, slabých míst a přítomnosti hrozeb.
Tato karta obsahuje seznam softwarových komponent, které obsahují ohrožení zabezpečení.
Výchozí možnosti zobrazení a filtrování jsou stejné jako u softwaru.
Výběrem položky zobrazíte další informace v informačním rámečku.
Tato karta zobrazuje rozšíření prohlížeče nainstalovaná na zařízení. Mezi výchozí zobrazená pole patří název rozšíření, prohlížeč, pro který je nainstalované, verze, riziko oprávnění (na základě typu přístupu k zařízením nebo webům požadovaným rozšířením) a stav. Volitelně je možné zobrazit také dodavatele.
Výběrem položky zobrazíte další informace v informačním rámečku.
Na této kartě se zobrazí všechny certifikáty nainstalované v zařízení.
Pole zobrazená ve výchozím nastavení jsou název certifikátu, datum vydání, datum vypršení platnosti, velikost klíče, vystavitel, podpisový algoritmus, použití klíče a počet instancí.
Seznam je možné filtrovat podle stavu, podepsaného svým držitelem nebo ne, velikosti klíče, hodnoty hash podpisu a použití klíče.
Výběrem certifikátu zobrazíte další informace v informačním rámečku.
Tato karta obsahuje seznam všech běžných ohrožení zabezpečení a zneužití (CVE), které můžou mít vliv na zařízení.
Ve výchozím zobrazení je uvedena závažnost CVE, cvss (Common Vulnerability Score), softwaru souvisejícího s CVE, kdy byla CVE publikována, kdy byla CVE poprvé zjištěna a naposledy aktualizována, a hrozby spojené s CVE.
Stejně jako u předchozích karet je možné přizpůsobit výběr sloupců, které se mají zobrazit. Seznam je možné filtrovat podle závažnosti, stavu hrozby, vystavení zařízení a značek.
Výběrem položky z tohoto seznamu se otevře informační panel s popisem CVE.
Na kartě Chybějící znalostní báze jsou uvedeny všechny Aktualizace Microsoftu, které se na zařízení ještě nepoužijí. "Znalostní báze" jsou články znalostní báze, které popisují tyto aktualizace; například KB4551762.
Výchozí zobrazení obsahuje bulletin obsahující aktualizace, verzi operačního systému, id znalostní báze, ovlivněné produkty, adresované cve a značky.
Výběr sloupců, které se mají zobrazit, je možné přizpůsobit.
Výběrem položky se otevře informační panel, který odkazuje na aktualizaci.
Pokud vaše organizace Microsoft Sentinel onboardovala na portálu Defender, je tato další karta na stránce entity zařízení. Tato karta importuje stránku entity Hostitel z Microsoft Sentinel.
Tato časová osa zobrazuje výstrahy přidružené k entitě zařízení, která se v Microsoft Sentinel označuje jako entita hostitele. Mezi tyto výstrahy patří výstrahy, které se zobrazují na kartě Incidenty a výstrahy, a výstrahy vytvořené Microsoft Sentinel ze zdrojů dat třetích stran, které nejsou od Microsoftu.
Tato časová osa také zobrazuje vyhledávání v záložkách z jiných šetření, která odkazují na tuto entitu uživatele, události aktivit uživatelů z externích zdrojů dat a neobvyklé chování zjištěné pravidly anomálií Microsoft Sentinel.
Přehledy entit jsou dotazy definované výzkumnými pracovníky microsoftu v oblasti zabezpečení, které vám pomůžou zkoumat efektivněji a efektivněji. Tyto přehledy se automaticky ptají na velké otázky týkající se entity vašeho zařízení a poskytují cenné informace o zabezpečení ve formě tabulkových dat a grafů. Tyto přehledy zahrnují data týkající se přihlášení, přidávání skupin, spouštění procesů, neobvyklých událostí a dalších a zahrnují pokročilé algoritmy strojového učení pro detekci neobvyklého chování.
Tady jsou některé z zobrazených přehledů:
- Snímek obrazovky pořízený na hostiteli
- Procesy bez znaménka Microsoftem
- Informace o spouštění procesů ve Windows
- Aktivita přihlášení k Windows.
- Akce s účty.
- Protokoly událostí se na hostiteli vymazaly.
- Přidání skupin:
- Výčet hostitelů, uživatelů, skupin na hostiteli.
- Microsoft Defender řízení aplikací.
- Zpracování vzácnosti prostřednictvím výpočtu entropie.
- Neobvykle vysoký počet událostí zabezpečení.
- Přehledy seznamu ke zhlédnutí (Preview)
- Události windows Antivirová ochrana v programu Defender.
Přehledy jsou založené na následujících zdrojích dat:
- Syslog (Linux)
- SecurityEvent (Windows)
- AuditLogs (Microsoft Entra ID)
- SigninLogs (Microsoft Entra ID)
- OfficeActivity (Office 365)
- BehaviorAnalytics (Microsoft Sentinel UEBA)
- Prezenčních signálů (agent Služby Azure Monitor)
- CommonSecurityLog (Microsoft Sentinel)
Pokud chcete dál prozkoumat některý z přehledů na tomto panelu, vyberte odkaz, který je k tomuto přehledu připojený. Odkaz vás přesedne na stránku rozšířeného proaktivního vyhledávání , kde se zobrazí dotaz, na kterém je podkladový přehled a jeho nezpracované výsledky. Můžete upravit dotaz nebo přejít k podrobnostem výsledků a rozšířit tak šetření nebo jen uspokojit vaši zvědavost.
Akce odpovědí nabízejí klávesové zkratky pro analýzu, zkoumání a ochranu před hrozbami.
Důležité
- Akce odpovědi jsou dostupné jenom v případě, že je zařízení zaregistrované v Microsoft Defender for Endpoint.
- Zařízení zaregistrovaná v Microsoft Defender for Endpoint můžou zobrazovat různá čísla akcí odpovědí v závislosti na čísle operačního systému a verze zařízení.
Akce odpovědi se spouští v horní části stránky konkrétního zařízení a zahrnují:
Akce | Popis |
---|---|
Hodnota zařízení | |
Nastavit důležitost | |
Správa značek | Aktualizace vlastní značky, které jste na toto zařízení použili. |
Hlášení nepřesností zařízení | |
Spuštění antivirové kontroly | Aktualizace Microsoft Defender definice antivirové ochrany a okamžitě spustí antivirovou kontrolu. Zvolte možnost Rychlá kontrola nebo Úplná kontrola. |
Shromáždit balíček pro šetření | Shromažďuje informace o zařízení. Po dokončení vyšetřování si ho můžete stáhnout. |
Omezení spuštění aplikace | Zabraňuje spuštění aplikací, které nejsou podepsány Microsoftem. |
Zahájení automatizovaného vyšetřování | Automaticky prošetřuje a opravuje hrozby. I když z této stránky můžete ručně aktivovat automatizovaná šetření, která se mají spustit z této stránky, některé zásady upozornění aktivují automatické šetření sama o sobě. |
Zahájení živé relace odpovědi | Načte na zařízení vzdálené prostředí pro hloubkové šetření zabezpečení. |
Izolace zařízení | Izoluje zařízení od sítě vaší organizace a současně ho udržuje připojené k Microsoft Defender. Můžete povolit spouštění Aplikací Outlook, Teams a Skype pro firmy, když je zařízení izolované, pro účely komunikace. |
Zeptejte se odborníků na Defender | |
Centrum akcí | Zobrazí informace o všech aktuálně spuštěných akcích odpovědi. K dispozici pouze v případě, že už byla vybrána jiná akce. |
Stažení vynuceného vydání ze skriptu izolace | |
Vyloučit | |
Běžte lovit | |
Zapnutí režimu řešení potíží | |
Synchronizace zásad |
- přehled Microsoft Defender XDR
- Zapnutí Microsoft Defender XDR
- Stránka entity uživatele v Microsoft Defender
- Stránka entity IP adresy v Microsoft Defender
- Microsoft Defender XDR integrace s Microsoft Sentinel
- Připojení služby Microsoft Sentinel k Microsoft Defender XDR
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.