Freigeben über

Microsoft Defender für Endpunkt-Gerätezeitachse

  • Artikel

Gilt für:

Hinweis

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Die Defender für Endpunkt-Gerätezeitachse hilft Ihnen, anomales Verhalten auf Ihren Geräten schneller zu untersuchen und zu untersuchen. Sie können bestimmte Ereignisse und Endpunkte untersuchen, um potenzielle Angriffe in Ihrer Organisation zu überprüfen. Sie können bestimmte Zeiten jedes Ereignisses überprüfen, Flags festlegen, die für potenziell verbundene Ereignisse nachverfolgt werden sollen, und nach bestimmten Datumsbereichen filtern.

  • Benutzerdefinierte Zeitbereichsauswahl:

    Screenshot des benutzerdefinierten Zeitbereichs.

  • Prozessstrukturerfahrung – Ereignisseitenbereich:

    Screenshot des Ereignisseitenbereichs.

  • Alle MITRE-Techniken werden angezeigt, wenn es mehr als eine verwandte Technik gibt:

    Screenshot: Alle MITRE-Techniken.

  • Zeitachsenereignisse sind mit der neuen Benutzerseite verknüpft:

    Screenshot: Zeitachsenereignisse, die mit der Neuen Benutzerseite verknüpft sind

    Screenshot der Zeitachsenereignisse, die mit der Neuen Benutzerseite 2 verknüpft sind.

  • Definierte Filter sind jetzt oben auf der Zeitachse sichtbar:

    Screenshot der definierten Filter.

Techniken auf der Gerätezeitachse

Sie können einen besseren Einblick in eine Untersuchung erhalten, indem Sie die Ereignisse analysieren, die auf einem bestimmten Gerät aufgetreten sind. Wählen Sie zunächst das gewünschte Gerät aus der Liste Geräte aus. Auf der Geräteseite können Sie die Registerkarte Zeitachse auswählen, um alle Ereignisse anzuzeigen, die auf dem Gerät aufgetreten sind.

Grundlegendes zu Techniken auf der Zeitachse

Wichtig

Einige Informationen beziehen sich auf ein vorab veröffentlichtes Produktfeature in der öffentlichen Vorschau, das vor der kommerziellen Veröffentlichung erheblich geändert werden kann. Microsoft übernimmt mit diesen Informationen keinerlei Gewährleistung, sei sie ausdrücklich oder konkludent.

In Microsoft Defender für Endpunkt sind Techniken ein zusätzlicher Datentyp auf der Ereigniszeitachse. Techniken bieten mehr Einblick in Aktivitäten im Zusammenhang mit MITRE ATT&CK-Techniken oder Untertechniken.

Dieses Feature vereinfacht die Untersuchungserfahrung, indem es Analysten hilft, die Aktivitäten zu verstehen, die auf einem Gerät beobachtet wurden. Analysten können sich dann für eine weitere Untersuchung entscheiden.

Während der Vorschau sind Techniken standardmäßig verfügbar und werden zusammen mit Ereignissen angezeigt, wenn die Zeitachse eines Geräts angezeigt wird.

Screenshot: Alle MITRE-Techniken.

Techniken werden fett formatiert und mit einem blauen Symbol auf der linken Seite angezeigt. Die entsprechende MITRE ATT-&CK-ID und der Technikname werden auch als Tags unter Zusätzliche Informationen angezeigt.

Such- und Exportoptionen sind auch für Techniken verfügbar.

Untersuchen mithilfe des Seitenbereichs

Wählen Sie eine Technik aus, um den entsprechenden Seitenbereich zu öffnen. Hier sehen Sie zusätzliche Informationen und Erkenntnisse wie verwandte ATT-&CK-Techniken, Taktiken und Beschreibungen.

Wählen Sie die spezifische Angriffstechnik aus, um die zugehörige ATT&CK-Technikseite zu öffnen, auf der Sie weitere Informationen dazu finden.

Sie können die Details einer Entität kopieren, wenn auf der rechten Seite ein blaues Symbol angezeigt wird. Wenn Sie z. B. das SHA1 einer verknüpften Datei kopieren möchten, wählen Sie das blaue Seitensymbol aus.

Screenshot, der die Details der Kopierentität zeigt.

Screenshot, der die Details des Seitenbereichs zeigt.

Sie können dies auch für Befehlszeilen tun.

Screenshot: Option zum Kopieren der Befehlszeile

Wenn Sie die erweiterte Suche verwenden möchten, um Ereignisse im Zusammenhang mit der ausgewählten Technik zu suchen, wählen Sie Nach verwandten Ereignissen suchen aus. Dies führt zur Seite "Erweiterte Suche" mit einer Abfrage, um Ereignisse im Zusammenhang mit der Technik zu finden.

Screenshot: Option

Hinweis

Beim Abfragen mithilfe der Schaltfläche Nach verwandten Ereignissen suchen aus einem Seitenbereich Technik werden alle Ereignisse angezeigt, die sich auf die identifizierte Technik beziehen, jedoch nicht die Technik selbst in die Abfrageergebnisse.

Ressourcen-Manager für EDR-Client (MsSense.exe)

Wenn die Ressourcen des EDR-Clients auf einem Gerät knapp werden, wechselt er in den kritischen Modus, um den normalen Arbeitsbetrieb des Geräts aufrechtzuerhalten. Das Gerät verarbeitet keine neuen Ereignisse, bis der EDR-Client in einen normalen Zustand zurückkehrt. Auf der Zeitachse für dieses Gerät wird ein neues Ereignis angezeigt, das angibt, dass der EDR-Client in den Kritischen Modus gewechselt ist.

Wenn die Ressourcennutzung des EDR-Clients auf normale Ebenen zurückgeht, kehrt er automatisch in den normalen Modus zurück.

Anpassen der Zeitachse Ihres Geräts

Rechts oben auf der Gerätezeitachse können Sie einen Datumsbereich auswählen, um die Anzahl der Ereignisse und Techniken auf der Zeitachse zu begrenzen.

Sie können anpassen, welche Spalten verfügbar gemacht werden sollen. Sie können auch nach gekennzeichneten Ereignissen nach Datentyp oder Ereignisgruppe filtern.

Auswählen der verfügbar zu machenden Spalten

Sie können auswählen, welche Spalten auf der Zeitachse verfügbar gemacht werden sollen, indem Sie die Schaltfläche Spalten auswählen auswählen.

Screenshot: Bereich, in dem Sie Spalten anpassen können

Dort können Sie auswählen, welche Informationen eingeschlossen werden sollen.

Filtern, um nur Techniken oder Ereignisse anzuzeigen

Wenn Sie nur Ereignisse oder Techniken anzeigen möchten, wählen Sie auf der Gerätezeitachse Filter aus, und wählen Sie den gewünschten Datentyp aus, der angezeigt werden soll.

Screenshot: Bereich

Zeitachsenereignisflags

Ereignisflags auf der Defender für Endpunkt-Gerätezeitachse helfen Ihnen, bestimmte Ereignisse zu filtern und zu organisieren, wenn Sie potenzielle Angriffe untersuchen.

Die Defender für Endpunkt-Gerätezeitachse bietet eine chronologische Ansicht der Ereignisse und zugehörigen Warnungen, die auf einem Gerät beobachtet wurden. Diese Liste der Ereignisse bietet vollständigen Einblick in alle Ereignisse, Dateien und IP-Adressen, die auf dem Gerät beobachtet werden. Die Liste kann manchmal lang sein. Gerätezeitachsenereignisflags helfen Ihnen beim Nachverfolgen von Ereignissen, die möglicherweise in Zusammenhang stehen.

Nachdem Sie eine Gerätezeitachse durchlaufen haben, können Sie die spezifischen Ereignisse, die Sie gekennzeichnet haben, sortieren, filtern und exportieren.

Beim Navigieren in der Gerätezeitachse können Sie nach bestimmten Ereignissen suchen und filtern. Sie können Ereignisflags wie folgt festlegen:

  • Hervorheben der wichtigsten Ereignisse
  • Markieren von Ereignissen, die ausführliche Informationen erfordern
  • Erstellen einer sauberen Sicherheitsverletzungszeitachse

Kennzeichnen eines Ereignisses

  1. Suchen Sie das Ereignis, das Sie kennzeichnen möchten.

  2. Wählen Sie das Flagsymbol in der Spalte Flag aus.

Das Gerätezeitachsenflag

Anzeigen gekennzeichneter Ereignisse

  1. Aktivieren Sie im Abschnitt Zeitachsenfilterdie Option Gekennzeichnete Ereignisse.
  2. Wählen Sie Anwenden aus. Es werden nur gekennzeichnete Ereignisse angezeigt.

Sie können weitere Filter anwenden, indem Sie auf die Zeitleiste klicken. Dadurch werden nur Ereignisse vor dem gekennzeichneten Ereignis angezeigt.

Screenshot: Gerätezeitachsenflag mit aktiviertem Filter

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.