Undersøg hændelser i Microsoft Defender for Endpoint
Gælder for:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Undersøg hændelser, der påvirker dit netværk, forstå, hvad de betyder, og sæt beviser sammen for at løse dem.
Når du undersøger en hændelse, får du vist:
- Oplysninger om hændelse
- Kommentarer og handlinger for hændelser
- Faner (beskeder, enheder, undersøgelser, beviser, graf)
Analysér oplysninger om hændelse
Tip
I en begrænset periode i løbet af januar 2024, når du besøger siden Hændelser , vises Defender Boxed. Defender Boxed fremhæver din organisations sikkerhedsmæssige succeser, forbedringer og svarhandlinger i løbet af 2023. Hvis du vil genåbne Defender Boxed, skal du gå til Hændelser på Microsoft Defender-portalen og derefter vælge Din Defender Boxed.
Klik på en hændelse for at se ruden Hændelse. Vælg Åbn hændelsesside for at se oplysninger om hændelser og relaterede oplysninger (beskeder, enheder, undersøgelser, beviser, graf).
Beskeder
Du kan undersøge beskederne og se, hvordan de blev sammenkædet i en hændelse. Beskeder grupperes i hændelser baseret på følgende årsager:
- Automatiseret undersøgelse – Den automatiserede undersøgelse udløste den sammenkædede besked under undersøgelse af den oprindelige besked
- Filegenskaber – De filer, der er knyttet til beskeden, har samme egenskaber
- Manuel tilknytning – En bruger har sammenkædet beskederne manuelt
- Nærbillede – Beskederne blev udløst på den samme enhed inden for en bestemt tidsramme
- Samme fil – De filer, der er knyttet til beskeden, er nøjagtigt de samme
- Samme URL-adresse – Den URL-adresse, der udløste beskeden, er præcis den samme
Du kan også administrere en besked og se metadata for beskeder sammen med andre oplysninger. Du kan få flere oplysninger under Undersøg beskeder.
Enheder
Du kan også undersøge de enheder, der er en del af eller relateret til en given hændelse. Du kan få flere oplysninger under Undersøg enheder.
Undersøgelser
Vælg Undersøgelser for at se alle de automatiske undersøgelser, der startes af systemet som svar på hændelsesbeskederne.
Gennemgang af bevismaterialet
Microsoft Defender for Endpoint undersøger automatisk alle hændelsers understøttede hændelser og mistænkelige enheder i beskederne, hvilket giver dig mulighed for automatisk at svare og oplysninger om vigtige filer, processer, tjenester med mere.
Hver af de analyserede enheder markeres som inficeret, afhjælpet eller mistænkelig.
Visualisering af tilknyttede cybersikkerhedstrusler
Microsoft Defender for Endpoint samler trusselsoplysningerne i en hændelse, så du kan se de mønstre og korrelationer, der kommer ind fra forskellige datapunkter. Du kan få vist en sådan korrelation via hændelsesdiagrammet.
Hændelsesgraf
Graph fortæller historien om cybersikkerhedsangrebet. Den viser f.eks., hvad der var indgangspunktet, hvilken indikator for kompromis eller aktivitet der blev observeret på hvilken enhed. Osv.
Du kan klikke på cirklerne i hændelsesgrafen for at få vist detaljer om de skadelige filer, tilknyttede filregistreringer, hvor mange forekomster der har været over hele verden, om de er blevet observeret i din organisation, hvis det er tilfældet, hvor mange instanser.
Relaterede emner
- Kø over hændelser
- Undersøg hændelser i Microsoft Defender for Endpoint
- Administrer Microsoft Defender for Endpoint hændelser
Tip
Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.