Share via

Stránka entity zařízení v Microsoft Defender

  • Článek
  • Platí pro:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Stránka entity zařízení na portálu Microsoft Defender vám pomůže při vyšetřování entit zařízení. Stránka obsahuje všechny důležité informace o dané entitě zařízení. Pokud výstraha nebo incident indikuje, že se zařízení chová podezřele nebo mohlo být ohroženo, prozkoumejte podrobnosti o zařízení, abyste identifikovali další chování nebo události, které můžou souviset s upozorněním nebo incidentem, a zjistěte potenciální rozsah porušení zabezpečení. Stránku entity zařízení můžete také použít k provádění některých běžných úloh zabezpečení a také k některým akcím reakce na zmírnění nebo nápravu bezpečnostních hrozeb.

Důležité

Sada obsahu zobrazená na stránce entity zařízení se může mírně lišit v závislosti na registraci zařízení v Microsoft Defender for Endpoint a Microsoft Defender for Identity.

Pokud vaše organizace nasadila službu Microsoft Sentinel na portál Defender, zobrazí se další informace.

Ve službě Microsoft Sentinel se entity zařízení označují také jako hostitelské entity. Další informace

Microsoft Sentinel je k dispozici jako součást verze Public Preview pro sjednocenou platformu operací zabezpečení na portálu Microsoft Defender. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Entity zařízení najdete v následujících oblastech:

  • Seznam Zařízení v části Prostředky
  • Fronta upozornění
  • Jakákoli jednotlivá výstraha nebo incident
  • Stránka entity libovolného uživatele
  • Zobrazení podrobností o jednotlivých souborech
  • Zobrazení všech IP adres nebo podrobností domény
  • Protokol aktivit
  • Rozšířené dotazy proaktivního vyhledávání
  • Centrum akcí

Zařízení můžete vybrat vždy, když se zobrazí na portálu, a otevřít tak stránku entity zařízení, na které se zobrazí další podrobnosti o zařízení. Podrobnosti o zařízeních uvedených v upozorněních na incident můžete například zobrazit na portálu Microsoft Defender v části Incidenty & výstrahy > Incidenty Incidenty> – > Prostředky > zařízení.

Snímek obrazovky se stránkou Uživatelé pro incident na portálu Microsoft Defender

Stránka entity zařízení zobrazuje informace ve formátu s kartami. Tento článek popisuje typy informací, které jsou k dispozici na jednotlivých kartách, a také akce, které můžete na daném zařízení provést.

Na stránce entity zařízení se zobrazí následující karty:

Záhlaví stránky entity

Nejvyšší část stránky entity obsahuje následující podrobnosti:

  • Název entity
  • Závažnost rizika, závažnost a indikátory hodnoty zařízení
  • Značky , podle kterých lze zařízení klasifikovat. Může ho přidat Defender for Endpoint, Defender for Identity nebo uživatelé. Značky z Microsoft Defender for Identity se nedají upravovat.
  • Tady jsou také umístěné akce odpovědí. Další informace o nich najdete níže.

Karta Přehled

Výchozí karta je Přehled. Poskytuje rychlý přehled nejdůležitějších bezpečnostních faktů o zařízení. Karta Přehled obsahuje boční panel podrobností o zařízení a řídicí panel s některými kartami zobrazujícími základní informace.

Podrobnosti o zařízení

Na bočním panelu je uveden úplný název zařízení a úroveň expozice. Poskytuje také některé důležité základní informace v malých pododdílech, které lze rozbalit nebo sbalit, například:

Oddíl Zahrnuté informace
Podrobnosti o virtuálních počítačích Názvy a ID počítačů a domén, stav a stavy onboardingu, časová razítka pro první a poslední výskyt, IP adresy a další
Podrobnosti synchronizace zásad ochrany před únikem informací V případě potřeby
Stav konfigurace Podrobnosti týkající se konfigurace Microsoft Defender for Endpoint
Podrobnosti o cloudových prostředcích Cloudová platforma, ID prostředku, informace o předplatném a další informace
Hardware a firmware Informace o virtuálních počítačích, procesorech a systému BIOS a další
Správa zařízení Microsoft Defender for Endpoint informace o stavu registrace a správě
Data adresáře Příznaky řízení uživatelských služeb, hlavní názvy služeb a členství ve skupinách.

Řídicí panel

V hlavní části karty Přehled se zobrazuje několik zobrazovaných karet typu řídicího panelu:

  • Aktivní výstrahy a úroveň rizika týkající se zařízení za posledních šest měsíců seskupené podle závažnosti
  • Posouzení zabezpečení a úroveň expozice zařízení
  • Přihlášení uživatelé na zařízení za posledních 30 dnů
  • Stav zařízení a další informace o nejnovějších kontrolách zařízení.

Tip

Úroveň expozice se vztahuje k tomu, do jaké míry zařízení dodržuje bezpečnostní doporučení, zatímco úroveň rizika se počítá na základě řady faktorů, včetně typů a závažnosti aktivních výstrah.

Snímek obrazovky s kartou Přehled pro stránku entity zařízení na portálu Microsoft Defender

Karta Incidenty a výstrahy

Karta Incidenty a výstrahy obsahuje seznam incidentů, které obsahují výstrahy vyvolané na zařízení, z libovolného z řady zdrojů Microsoft Defender detekce, včetně služby Microsoft Sentinel (pokud jsou nasazené). Tento seznam je filtrovanou verzí fronty incidentů a zobrazuje krátký popis incidentu nebo upozornění, jeho závažnost (vysoká, střední, nízká, informační), stav ve frontě (nový, probíhající, vyřešený), jeho klasifikaci (nenastavené, nepravdivé upozornění, skutečné upozornění), stav šetření, kategorii, kdo je přiřazen k jeho řešení a poslední zjištěná aktivita.

Můžete přizpůsobit, které sloupce se pro každou položku zobrazí. Výstrahy můžete také filtrovat podle závažnosti, stavu nebo libovolného jiného sloupce v zobrazení.

Sloupec ovlivněných entit odkazuje na všechny entity zařízení a uživatelů, na které se v incidentu nebo upozornění odkazuje.

Když vyberete incident nebo výstrahu, zobrazí se informační panel. Na tomto panelu můžete incident nebo výstrahu spravovat a zobrazit další podrobnosti, jako je číslo incidentu nebo výstrahy a související zařízení. Najednou je možné vybrat více výstrah.

Pokud chcete zobrazit celé zobrazení incidentu nebo upozornění, vyberte jeho název.

Snímek obrazovky s kartou Incidenty a výstrahy pro stránku entity zařízení na portálu Microsoft Defender

Karta Časová osa

Na kartě Časová osa se zobrazuje chronologické zobrazení všech událostí, které byly na zařízení pozorovány. To vám může pomoct korelovat všechny události, soubory a IP adresy ve vztahu k zařízení.

Výběr sloupců zobrazených v seznamu je možné přizpůsobit. Výchozí sloupce uvádějí čas události, aktivního uživatele, typ akce, přidružené entity (procesy, soubory, IP adresy) a další informace o události.

Časové období, pro které se události zobrazují, můžete řídit posouváním ohraničení časového období podél grafu celkové časové osy v horní části stránky. Časové období můžete také vybrat z rozevíracího seznamu v horní části seznamu (výchozí hodnota je 30 dnů). Pokud chcete zobrazení dále ovládat, můžete filtrovat podle skupin událostí nebo přizpůsobit sloupce.

Do souboru CSV můžete exportovat události za sedm dní ke stažení.

Přejděte k podrobnostem jednotlivých událostí tak, že vyberete a událost a zobrazíte její podrobnosti na výsledném panelu informačního rámečku. Viz Podrobnosti o události níže.

Poznámka

Pokud chcete zobrazit události brány firewall, budete muset povolit zásady auditu, viz Připojení platformy filtrování auditu.

Brána firewall pokrývá následující události:

  • 5025 – Služba brány firewall se zastavila
  • 5031 – Aplikace zablokovaná v přijímání příchozích připojení v síti
  • 5157 – zablokované připojení

Snímek obrazovky s kartou Časová osa pro stránku entity zařízení na portálu Microsoft Defender

Podrobnosti o události

Výběrem události zobrazíte relevantní podrobnosti o této události. Na informačním panelu se zobrazí mnohem více informací o události. Typy zobrazených informací závisí na typu události. Pokud jsou k dispozici data a jsou k dispozici, může se zobrazit graf zobrazující související entity a jejich vztahy, jako je řetězec souborů nebo procesů. Můžete se také podívat na souhrnný popis MITRE ATT&taktik a technik CK použitelných pro danou událost.

Pokud chcete událost a související události dále prozkoumat, můžete rychle spustit rozšířený dotaz proaktivního vyhledávání tak, že vyberete Proaktivní vyhledávání souvisejících událostí. Dotaz vrátí vybranou událost a seznam dalších událostí, ke kterým došlo přibližně ve stejnou dobu na stejném koncovém bodu.

Snímek obrazovky s panelem podrobností události

Karta Doporučení zabezpečení

Karta Doporučení zabezpečení obsahuje seznam akcí, které můžete provést k ochraně zařízení. Když vyberete položku v tomto seznamu, otevře se informační nabídka, kde najdete pokyny k použití doporučení.

Stejně jako u předchozích karet je možné přizpůsobit výběr zobrazených sloupců.

Výchozí zobrazení obsahuje sloupce s podrobnostmi o vyřešených slabých stránkách zabezpečení, související hrozbě, související komponentě nebo softwaru ovlivněném hrozbou atd. Položky je možné filtrovat podle stavu doporučení.

Přečtěte si další informace o doporučeních k zabezpečení.

Snímek obrazovky s kartou Doporučení zabezpečení pro stránku entity zařízení

Karta Inventáře

Tato karta zobrazuje inventář čtyř typů komponent: software, ohrožené komponenty, rozšíření prohlížeče a certifikáty.

Inventář softwaru

Tato karta obsahuje seznam softwaru nainstalovaného v zařízení.

Výchozí zobrazení zobrazuje dodavatele softwaru, číslo nainstalované verze, počet známých slabých míst softwaru, přehledy hrozeb, kód produktu a značky. Počet zobrazených položek a zobrazené sloupce je možné přizpůsobit.

Když vyberete položku z tohoto seznamu, otevře se informační panel obsahující další podrobnosti o vybraném softwaru a cestu a časové razítko pro čas posledního nalezení softwaru.

Tento seznam je možné filtrovat podle kódu produktu, slabých míst a přítomnosti hrozeb.

Snímek obrazovky s kartou Inventář softwaru pro profil zařízení na portálu Microsoft Defender

Ohrožené komponenty

Tato karta obsahuje seznam softwarových komponent, které obsahují ohrožení zabezpečení.

Výchozí možnosti zobrazení a filtrování jsou stejné jako u softwaru.

Výběrem položky zobrazíte další informace v informačním rámečku.

Rozšíření prohlížeče

Tato karta zobrazuje rozšíření prohlížeče nainstalovaná na zařízení. Mezi výchozí zobrazená pole patří název rozšíření, prohlížeč, pro který je nainstalované, verze, riziko oprávnění (na základě typu přístupu k zařízením nebo webům požadovaným rozšířením) a stav. Volitelně je možné zobrazit také dodavatele.

Výběrem položky zobrazíte další informace v informačním rámečku.

Certifikáty

Na této kartě se zobrazí všechny certifikáty nainstalované v zařízení.

Pole zobrazená ve výchozím nastavení jsou název certifikátu, datum vydání, datum vypršení platnosti, velikost klíče, vystavitel, podpisový algoritmus, použití klíče a počet instancí.

Seznam je možné filtrovat podle stavu, podepsaného svým držitelem nebo ne, velikosti klíče, hodnoty hash podpisu a použití klíče.

Výběrem certifikátu zobrazíte další informace v informačním rámečku.

Karta Zjištěná ohrožení zabezpečení

Tato karta obsahuje seznam všech běžných ohrožení zabezpečení a zneužití (CVE), které můžou mít vliv na zařízení.

Ve výchozím zobrazení je uvedena závažnost CVE, cvss (Common Vulnerability Score), softwaru souvisejícího s CVE, kdy byla CVE publikována, kdy byla CVE poprvé zjištěna a naposledy aktualizována, a hrozby spojené s CVE.

Stejně jako u předchozích karet je možné přizpůsobit výběr sloupců, které se mají zobrazit. Seznam je možné filtrovat podle závažnosti, stavu hrozby, vystavení zařízení a značek.

Výběrem položky z tohoto seznamu se otevře informační panel s popisem CVE.

Snímek obrazovky s kartou Zjištěná ohrožení zabezpečení pro profil zařízení na portálu Microsoft Defender

Chybějící znalostní báze

Na kartě Chybějící znalostní báze jsou uvedeny všechny Aktualizace Microsoftu, které se na zařízení ještě nepoužijí. "Znalostní báze" jsou články znalostní báze, které popisují tyto aktualizace; například KB4551762.

Výchozí zobrazení obsahuje bulletin obsahující aktualizace, verzi operačního systému, id znalostní báze, ovlivněné produkty, adresované cve a značky.

Výběr sloupců, které se mají zobrazit, je možné přizpůsobit.

Výběrem položky se otevře informační panel, který odkazuje na aktualizaci.

Karta Události služby Sentinel

Pokud vaše organizace nasadila službu Microsoft Sentinel na portál Defender, je tato další karta na stránce entity zařízení. Tato karta importuje stránku entity Host (Hostitel) ze služby Microsoft Sentinel.

Časová osa služby Sentinel

Tato časová osa zobrazuje výstrahy přidružené k entitě zařízení, která se ve službě Microsoft Sentinel označuje jako entita hostitele . Mezi tyto výstrahy patří výstrahy, které se zobrazují na kartě Incidenty a výstrahy, a výstrahy vytvořené službou Microsoft Sentinel ze zdrojů dat třetích stran, které nejsou zdroji dat microsoftu.

Tato časová osa také zobrazuje vyhledávání v záložkách z jiných šetření, která odkazují na tuto entitu uživatele, události aktivit uživatelů z externích zdrojů dat a neobvyklé chování zjištěné pravidly anomálií služby Microsoft Sentinel.

Postřehy

Přehledy entit jsou dotazy definované výzkumnými pracovníky microsoftu v oblasti zabezpečení, které vám pomůžou zkoumat efektivněji a efektivněji. Tyto přehledy se automaticky ptají na velké otázky týkající se entity vašeho zařízení a poskytují cenné informace o zabezpečení ve formě tabulkových dat a grafů. Tyto přehledy zahrnují data týkající se přihlášení, přidávání skupin, spouštění procesů, neobvyklých událostí a dalších a zahrnují pokročilé algoritmy strojového učení pro detekci neobvyklého chování.

Tady jsou některé z zobrazených přehledů:

  • Snímek obrazovky pořízený na hostiteli
  • Procesy bez znaménka Microsoftem
  • Informace o spouštění procesů ve Windows
  • Aktivita přihlášení k Windows.
  • Akce s účty.
  • Protokoly událostí se na hostiteli vymazaly.
  • Přidání skupin:
  • Výčet hostitelů, uživatelů, skupin na hostiteli.
  • Microsoft Defender řízení aplikací.
  • Zpracování vzácnosti prostřednictvím výpočtu entropie.
  • Neobvykle vysoký počet událostí zabezpečení.
  • Přehledy seznamu ke zhlédnutí (Preview)
  • Windows Defender antivirových událostí.

Přehledy jsou založené na následujících zdrojích dat:

  • Syslog (Linux)
  • SecurityEvent (Windows)
  • AuditLogs (Microsoft Entra ID)
  • SigninLogs (Microsoft Entra ID)
  • OfficeActivity (Office 365)
  • BehaviorAnalytics (Microsoft Sentinel UEBA)
  • Prezenčních signálů (agent Služby Azure Monitor)
  • CommonSecurityLog (Microsoft Sentinel)

Snímek obrazovky s kartou událostí služby Sentinel na stránce entity uživatele

Pokud chcete dál prozkoumat některý z přehledů na tomto panelu, vyberte odkaz, který je k tomuto přehledu připojený. Odkaz vás přesedne na stránku rozšířeného proaktivního vyhledávání , kde se zobrazí dotaz, na kterém je podkladový přehled a jeho nezpracované výsledky. Můžete upravit dotaz nebo přejít k podrobnostem výsledků a rozšířit tak šetření nebo jen uspokojit vaši zvědavost.

Snímek obrazovky rozšířeného proaktivního vyhledávání s dotazem na přehled

Akce odpovědí

Akce odpovědí nabízejí klávesové zkratky pro analýzu, zkoumání a ochranu před hrozbami.

Snímek obrazovky s panelem akcí pro stránku entity zařízení na portálu Microsoft Defender

Důležité

  • Akce odpovědi jsou dostupné jenom v případě, že je zařízení zaregistrované v Microsoft Defender for Endpoint.
  • Zařízení zaregistrovaná v Microsoft Defender for Endpoint můžou zobrazovat různá čísla akcí odpovědí v závislosti na čísle operačního systému a verze zařízení.

Akce odpovědi se spouští v horní části stránky konkrétního zařízení a zahrnují:

Akce Popis
Hodnota zařízení
Nastavit důležitost
Správa značek Aktualizace vlastní značky, které jste na toto zařízení použili.
Hlášení nepřesností zařízení
Spuštění antivirové kontroly Aktualizace Microsoft Defender definice antivirové ochrany a okamžitě spustí antivirovou kontrolu. Zvolte možnost Rychlá kontrola nebo Úplná kontrola.
Shromáždit balíček pro šetření Shromažďuje informace o zařízení. Po dokončení vyšetřování si ho můžete stáhnout.
Omezení spuštění aplikace Zabraňuje spuštění aplikací, které nejsou podepsány Microsoftem.
Zahájení automatizovaného vyšetřování Automaticky prošetřuje a opravuje hrozby. I když z této stránky můžete ručně aktivovat automatizovaná šetření, která se mají spustit z této stránky, některé zásady upozornění aktivují automatické šetření sama o sobě.
Zahájení živé relace odpovědi Načte na zařízení vzdálené prostředí pro hloubkové šetření zabezpečení.
Izolace zařízení Izoluje zařízení od sítě vaší organizace a současně ho udržuje připojené k Microsoft Defender. Můžete povolit spouštění Aplikací Outlook, Teams a Skype pro firmy, když je zařízení izolované, pro účely komunikace.
Zeptejte se odborníků na Defender
Centrum akcí Zobrazí informace o všech aktuálně spuštěných akcích odpovědi. K dispozici pouze v případě, že už byla vybrána jiná akce.
Stažení vynuceného vydání ze skriptu izolace
Vyloučit
Běžte lovit
Zapnutí režimu řešení potíží
Synchronizace zásad

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.