Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Microsoft Defender-portalen er den nye grænseflade til overvågning og administration af sikkerhed på tværs af dine Microsoft-identiteter, -data, -enheder, -apps og -infrastruktur. Her kan du nemt få vist din organisations sikkerhedstilstand, handle for at konfigurere enheder, brugere og apps og få beskeder om mistænkelig aktivitet. Portalen Microsoft Defender er beregnet til sikkerhedsadministratorer og sikkerhedsteams, så de bedre kan administrere og beskytte deres organisation. Besøg Microsoft Defender-portalen påhttps://security.microsoft.com.
I Microsoft Defender-portalen tilbyder vi dig et komplet kig på den aktuelle konfiguration af regler for reduktion af angrebsoverfladen og begivenheder på din ejendom. Dine enheder skal være onboardet i Microsoft Defender for Endpoint-tjenesten, for at disse rapporter kan udfyldes. Her er et skærmbillede fra Microsoft Defender-portalen (under Rapporter enheder>>Reduktion af angrebsoverflade). På enhedsniveau skal du vælge Konfiguration i ruden Regler for reduktion af angrebsoverfladen . Følgende skærmbillede vises, hvor du kan vælge en bestemt enhed og kontrollere dens individuelle konfiguration af reglen for reduktion af angrebsoverfladen.
Microsoft Defender for Endpoint - Avanceret jagt
Et af de mest magtfulde træk ved Microsoft Defender for Endpoint er avanceret jagt. Hvis du ikke er fortrolig med avanceret jagt, kan du se proaktivt jagt efter trusler med avanceret jagt.
Avanceret jagt er et forespørgselsbaseret værktøj (Kusto Query Language), der gør det muligt at udforske op til 30 dage med de hentede (rå) data, som Defender for Endpoint indsamler fra dine enheder. Ved hjælp af avanceret jagt kan du proaktivt inspicere hændelser for at finde interessante indikatorer og enheder. Den fleksible adgang til data hjælper med at jagte både kendte og potentielle trusler uden begrænsninger.
Gennem avanceret jagt er det muligt at udtrække oplysninger om regler for reduktion af angrebsoverfladen, oprette rapporter og få detaljerede oplysninger om konteksten af en given overvågning eller blokering af en regel for reduktion af angrebsoverfladen.
Hændelser for regler for reduktion af angrebsoverfladen kan forespørges fra tabellen DeviceEvents i afsnittet om avanceret jagt i Microsoft Defender XDR. En simpel forespørgsel som den nedenfor kan f.eks. rapportere alle de hændelser, der har regler for reduktion af angrebsoverfladen som datakilde, i de sidste 30 dage og opsummere dem med antallet af ActionType, der i dette tilfælde er det faktiske kodenavn for reglen for reduktion af angrebsoverfladen.
DeviceEvents
| where Timestamp > ago(30d)
| where ActionType startswith "Asr"
| summarize EventCount=count() by ActionType
Med avanceret jagt kan du forme forespørgslerne efter din smag, så du kan se, hvad der sker, uanset om du vil fastgøre noget på en individuel maskine, eller du vil udtrække indsigt fra hele dit miljø.
Microsoft Defender for Endpoint computertidslinje
Et alternativ til avanceret jagt, men med et smallere omfang, er den Microsoft Defender for Endpoint maskinens tidslinje. Du kan få vist alle de indsamlede hændelser på en enhed i de seneste seks måneder i Microsoft Defender XDR ved at gå til listen Maskiner, vælge en given maskine og derefter vælge på fanen Tidslinje.
På følgende skærmbillede kan du se tidslinjevisningen af disse hændelser på et bestemt slutpunkt. Fra denne visning kan du filtrere listen over hændelser baseret på en af hændelsesgrupperne langs ruden til højre. Du kan også aktivere eller deaktivere hændelser af typen Flagged og Detaljeret, når du får vist beskeder og ruller gennem den historiske tidslinje.
Hvordan foretager du fejlfinding af regler for reduktion af angrebsoverfladen?
Gennemse Fejlfinding af regler for reduktion af angrebsoverfladen