Tidslinje for Microsoft Defender for Endpoint-enhed
Gælder for:
Bemærk!
Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.
Tidslinjen for Defender for Endpoint-enheden hjælper dig med hurtigere at undersøge og undersøge uregelmæssigheder på dine enheder. Du kan udforske bestemte hændelser og slutpunkter for at gennemse potentielle angreb i din organisation. Du kan gennemse bestemte tidspunkter for hver hændelse, angive flag, der skal følges op på for potentielt forbundne hændelser, og filtrere efter bestemte datointervaller.
Brugerdefineret tidsintervalvælger:
Procestræoplevelse – hændelsessidepanel:
Alle MITRE-teknikker vises, når der er mere end én relateret teknik:
Tidslinjehændelser er sammenkædet med den nye brugerside:
Definerede filtre er nu synlige øverst på tidslinjen:
Teknikker på enhedens tidslinje
Du kan få mere indsigt i en undersøgelse ved at analysere de hændelser, der skete på en bestemt enhed. Først skal du vælge den enhed, du er interesseret i, på listen Enheder. På enhedssiden kan du vælge fanen Tidslinje for at få vist alle de hændelser, der er opstået på enheden.
Forstå teknikker på tidslinjen
Vigtigt!
Nogle oplysninger er relateret til en forhåndsudgivet produktfunktion i en offentlig prøveversion, som kan blive ændret væsentligt, før den udgives kommercielt. Microsoft giver ingen garantier, hverken udtrykkelige eller underforståede, med hensyn til de oplysninger, der gives her.
I Microsoft Defender for Endpoint er teknikker en ekstra datatype på hændelsestidslinjen. Teknikker giver mere indsigt i aktiviteter i forbindelse med MITRE ATT&CK teknikker eller subtekniques.
Denne funktion forenkler undersøgelsesoplevelsen ved at hjælpe analytikere med at forstå de aktiviteter, der blev observeret på en enhed. Analytikere kan derefter beslutte at undersøge sagen nærmere.
Under prøveversionen er teknikker tilgængelige som standard og vises sammen med hændelser, når en enheds tidslinje vises.
Teknikker er fremhævet med fed tekst og vises med et blåt ikon til venstre. Det tilsvarende MITRE ATT&CK ID og tekniknavn vises også som mærker under Yderligere oplysninger.
Søge- og eksportindstillinger er også tilgængelige for teknikker.
Undersøg, hvordan du bruger sideruden
Vælg en teknik for at åbne den tilsvarende siderude. Her kan du se yderligere oplysninger og indsigt som f.eks. relaterede ATT-&CK-teknikker, taktik og beskrivelser.
Vælg den specifikke angrebsteknik for at åbne den relaterede ATT-&CK-teknikside, hvor du kan finde flere oplysninger om det.
Du kan kopiere en enheds oplysninger, når du ser et blåt ikon til højre. Hvis du f.eks. vil kopiere en relateret fils SHA1, skal du vælge det blå sideikon.
Du kan gøre det samme for kommandolinjer.
Undersøg relaterede hændelser
Hvis du vil bruge avanceret jagt til at finde hændelser, der er relateret til den valgte teknik, skal du vælge Jagt for relaterede hændelser. Dette fører til den avancerede jagtside med en forespørgsel for at finde hændelser, der er relateret til teknikken.
Bemærk!
Hvis du forespørger ved hjælp af knappen Jagt efter relaterede hændelser fra ruden Teknik, vises alle de hændelser, der er relateret til den identificerede teknik, men selve teknikken medtages ikke i forespørgselsresultaterne.
EDR-klientressourcestyring (MsSense.exe)
Når EDR-klienten på en enhed er ved at løbe tør for ressourcer, skifter den til kritisk tilstand for at opretholde enhedens normale arbejdsfunktion. Enheden behandler ikke nye hændelser, før EDR-klienten vender tilbage til normal tilstand. Der vises en ny hændelse på tidslinjen for den pågældende enhed, der angiver, at EDR-klienten skiftede til kritisk tilstand.
Når EDR-klientens ressourceforbrug går tilbage til normale niveauer, vender det automatisk tilbage til normal tilstand.
Tilpas enhedens tidslinje
I øverste højre side af enhedens tidslinje kan du vælge et datointerval for at begrænse antallet af hændelser og teknikker på tidslinjen.
Du kan tilpasse, hvilke kolonner der skal vises. Du kan også filtrere efter hændelser, der er markeret med flag, efter datatype eller efter hændelsesgruppe.
Vælg kolonner, der skal vises
Du kan vælge, hvilke kolonner der skal vises på tidslinjen, ved at vælge knappen Vælg kolonner .
Herfra kan du vælge, hvilke oplysninger der skal inkluderes.
Filtrer kun for at få vist teknikker eller hændelser
Hvis du kun vil have vist enten hændelser eller teknikker, skal du vælge Filtre på enhedens tidslinje og vælge din foretrukne datatype for at få vist.
Tidslinjehændelsesflag
Hændelsesflag på tidslinjen for Defender for Endpoint-enheden hjælper dig med at filtrere og organisere bestemte hændelser, når du undersøger potentielle angreb.
Tidslinjen Defender for Endpoint-enheden giver en kronologisk visning af hændelserne og de tilknyttede beskeder, der er observeret på en enhed. Denne liste over hændelser giver fuld indsigt i alle hændelser, filer og IP-adresser, der er observeret på enheden. Listen kan nogle gange være langvarig. Enhedstidslinjehændelsesflag hjælper dig med at spore hændelser, der kan være relaterede.
Når du har gennemgået en enhedstidslinje, kan du sortere, filtrere og eksportere de specifikke hændelser, du har markeret.
Når du navigerer på enhedens tidslinje, kan du søge efter og filtrere efter bestemte hændelser. Du kan angive hændelsesflag ved at:
- Fremhævning af de vigtigste begivenheder
- Markering af hændelser, der kræver detaljeret gennemgang
- Oprettelse af en tidslinje for rent brud
Markér en hændelse med flag
Find den hændelse, du vil markere med flag.
Vælg flagikonet i kolonnen Flag.
Vis hændelser, der er markeret med flag
- Aktivér hændelser, der er markeret med flag, i afsnittet Tidslinjefiltre.
- Vælg Anvend. Der vises kun hændelser, der er markeret med flag.
Du kan anvende flere filtre ved at klikke på tidslinjen. Dette viser kun hændelser før den afmærkede hændelse.
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender for Endpoint Tech Community.