Untersuchen von Geräten in der liste der Microsoft Defender for Endpoint Geräte

Gilt für:

• Microsoft Defender für Endpunkt Plan 2
• Microsoft Defender XDR

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Untersuchen Sie die Details einer Warnung, die auf einem bestimmten Gerät ausgelöst wird, um andere Verhaltensweisen oder Ereignisse zu identifizieren, die sich auf die Warnung oder den potenziellen Umfang der Sicherheitsverletzung beziehen können.

Hinweis

Im Rahmen des Untersuchungs- oder Antwortprozesses können Sie ein Untersuchungspaket von einem Gerät sammeln. Gehen Sie wie folgt vor: Erfassen des Untersuchungspakets von Geräten.

Sie können die betroffenen Geräte immer dann auswählen, wenn sie im Portal angezeigt werden, um einen detaillierten Bericht zu diesem Gerät zu öffnen. Betroffene Geräte werden in den folgenden Bereichen identifiziert:

• Geräteliste
• Benachrichtigungswarteschlange
• Jede einzelne Warnung
• Jede einzelne Dateidetailseite
• Ansicht "Alle IP-Adressen oder Domänendetails"

Wenn Sie ein bestimmtes Gerät untersuchen, sehen Sie Folgendes:

• Gerätedetails
• Antwortaktionen
• Registerkarten (Übersicht, Warnungen, Zeitleiste, Sicherheitsempfehlungen, Softwareinventur, ermittelte Sicherheitsrisiken, fehlende KBs)
• Karten (aktive Warnungen, angemeldete Benutzer, Sicherheitsbewertung, Geräteintegrität status)

Hinweis

Aufgrund von Produkteinschränkungen berücksichtigt das Geräteprofil nicht alle Cyber-Beweise bei der Bestimmung des Zeitrahmens "Zuletzt gesehen" (siehe auch auf der Geräteseite). Beispielsweise kann der Wert "Zuletzt gesehen" auf der Seite Gerät einen älteren Zeitrahmen anzeigen, obwohl neuere Warnungen oder Daten im Zeitleiste des Computers verfügbar sind.

Gerätedetails

Der Abschnitt "Gerätedetails" enthält Informationen wie die Domäne, das Betriebssystem und den Integritätsstatus des Geräts. Wenn auf dem Gerät ein Untersuchungspaket verfügbar ist, wird ein Link angezeigt, über den Sie das Paket herunterladen können.

Antwortaktionen

Antwortaktionen werden am oberen Rand einer bestimmten Geräteseite ausgeführt und umfassen Folgendes:

• In Karte anzeigen
• Gerätewert
• Festlegen der Wichtigkeit
• Verwalten von Kategorien
• Gerät isolieren
• App-Ausführung einschränken
• Antivirusscan ausführen
• Untersuchungspakets erfassen
• Initiieren einer Liveantwortsitzung
• Initiieren einer automatisierten Untersuchung
• Wenden Sie sich an einen Bedrohungsexperten
• Info-Center

Sie können Reaktionsaktionen im Info-Center, auf einer bestimmten Geräteseite oder auf einer bestimmten Dateiseite ausführen.

Weitere Informationen zum Ausführen von Maßnahmen auf einem Gerät finden Sie unter Ausführen einer Reaktionsaktion auf einem Gerät.

Weitere Informationen finden Sie unter Untersuchen von Benutzerentitäten.

Hinweis

Anzeigen in Karte und Festlegen der Wichtigkeit sind Features von Microsoft Exposure Management, das sich derzeit in der öffentlichen Vorschau befindet.

Registerkarten

Die Registerkarten enthalten relevante Informationen zur Sicherheit und Bedrohungsprävention im Zusammenhang mit dem Gerät. Auf jeder Registerkarte können Sie die angezeigten Spalten anpassen, indem Sie auf der Leiste über den Spaltenüberschriften die Option Spalten anpassen auswählen.

Übersicht

Auf der Registerkarte Übersicht werden die Karten für aktive Warnungen, angemeldete Benutzer und Sicherheitsbewertungen angezeigt.

Vorfälle und Warnungen

Die Registerkarte Vorfälle und Warnungen enthält eine Liste der Vorfälle und Warnungen, die dem Gerät zugeordnet sind. Diese Liste ist eine gefilterte Version der Warnungswarteschlange und enthält eine kurze Beschreibung des Incidents, der Warnung, des Schweregrads (hoch, mittel, niedrig, informativ), status in der Warteschlange (neu, in Bearbeitung, gelöst), der Klassifizierung (nicht festgelegt, falscher Warnung, wahrer Warnung), des Untersuchungsstatus, der Kategorie der Warnung, der Adressierung der Warnung und der letzten Aktivität. Sie können die Warnungen auch filtern.

Wenn eine Warnung ausgewählt ist, wird ein Flyout angezeigt. In diesem Bereich können Sie die Warnung verwalten und weitere Details wie die Vorfallnummer und zugehörige Geräte anzeigen. Es können mehrere Warnungen gleichzeitig ausgewählt werden.

Um eine vollständige Seitenansicht einer Warnung anzuzeigen, wählen Sie den Titel der Warnung aus.

Zeitachse

Die Registerkarte Zeitachse bietet eine chronologische Ansicht der Ereignisse und zugehörigen Warnungen, die auf dem Gerät beobachtet wurden. Dies kann Ihnen helfen, Ereignisse, Dateien und IP-Adressen in Bezug auf das Gerät zu korrelieren.

Mit dem Zeitleiste können Sie auch selektiv einen Drilldown zu Ereignissen durchführen, die innerhalb eines bestimmten Zeitraums aufgetreten sind. Sie können die zeitliche Abfolge von Ereignissen anzeigen, die über einen ausgewählten Zeitraum auf einem Gerät aufgetreten sind. Um Ihre Ansicht weiter zu steuern, können Sie nach Ereignisgruppen filtern oder die Spalten anpassen.

Hinweis

Damit Firewallereignisse angezeigt werden, müssen Sie die Überwachungsrichtlinie aktivieren. Weitere Informationen finden Sie unter Überwachen der Filterplattformverbindung.

Die Firewall deckt die folgenden Ereignisse ab:

• 5025 – Firewalldienst beendet
• 5031 : Die Anwendung kann keine eingehenden Verbindungen im Netzwerk akzeptieren.
• 5157 – Blockierte Verbindung

Einige der Funktionen umfassen:

• Search für bestimmte Ereignisse
  • Verwenden Sie die Suchleiste, um nach bestimmten Zeitleiste Ereignissen zu suchen.
• Filtern von Ereignissen nach einem bestimmten Datum
  • Wählen Sie das Kalendersymbol oben links in der Tabelle aus, um Ereignisse der letzten Tage, Wochen, 30 Tage oder des benutzerdefinierten Bereichs anzuzeigen. Standardmäßig ist das Gerät Zeitleiste so festgelegt, dass die Ereignisse der letzten 30 Tage angezeigt werden.
  • Verwenden Sie die Zeitleiste, um zu einem bestimmten Zeitpunkt zu springen, indem Sie den Abschnitt hervorheben. Die Pfeile auf der Zeitleiste bestimmen automatisierte Untersuchungen
• Exportieren detaillierter Geräte Zeitleiste ereignisse
  • Exportieren Sie das Gerät Zeitleiste für das aktuelle Datum oder einen angegebenen Datumsbereich bis zu sieben Tage.

Weitere Informationen zu bestimmten Ereignissen finden Sie im Abschnitt Zusätzliche Informationen . Diese Details variieren je nach Ereignistyp, z. B.:

• In Application Guard enthalten: Das Webbrowserereignis wurde durch einen isolierten Container eingeschränkt.
• Aktive Bedrohung erkannt: Die Bedrohungserkennung ist aufgetreten, während die Bedrohung ausgeführt wurde.
• Wartung nicht erfolgreich: Ein Versuch, die erkannte Bedrohung zu beheben, wurde aufgerufen, ist aber fehlgeschlagen.
• Erfolgreiche Wartung: Die erkannte Bedrohung wurde beendet und bereinigt.
• Vom Benutzer umgangene Warnung: Die Windows Defender SmartScreen-Warnung wurde von einem Benutzer geschlossen und überschrieben.
• Verdächtiges Skript erkannt: Es wurde festgestellt, dass ein potenziell schädliches Skript ausgeführt wird.
• Die Warnungskategorie: Wenn das Ereignis zur Generierung einer Warnung geführt hat, wird die Warnungskategorie (z. B. Lateral Movement) bereitgestellt.

Ereignisdetails

Wählen Sie ein Ereignis aus, um relevante Details zu diesem Ereignis anzuzeigen. Ein Bereich wird angezeigt, um allgemeine Ereignisinformationen anzuzeigen. Falls zutreffend und Daten verfügbar sind, wird auch ein Diagramm mit verwandten Entitäten und ihren Beziehungen angezeigt.

Um das Ereignis und die zugehörigen Ereignisse weiter zu untersuchen, können Sie schnell eine erweiterte Huntingabfrage ausführen, indem Sie nach verwandten Ereignissen suchen auswählen. Die Abfrage gibt das ausgewählte Ereignis und die Liste anderer Ereignisse zurück, die ungefähr zur gleichen Zeit auf demselben Endpunkt aufgetreten sind.

Sicherheitsempfehlungen

Sicherheitsempfehlungen werden von der Funktion "Sicherheitsrisikomanagement" von Microsoft Defender for Endpoint generiert. Wenn Sie eine Empfehlung auswählen, wird ein Bereich angezeigt, in dem Sie relevante Details wie die Beschreibung der Empfehlung und die potenziellen Risiken anzeigen können, die mit der Nichtersetzung verbunden sind. Weitere Informationen finden Sie unter Sicherheitsempfehlung .

Sicherheitsrichtlinien

Auf der Registerkarte Sicherheitsrichtlinien werden die Endpunktsicherheitsrichtlinien angezeigt, die auf das Gerät angewendet werden. Es wird eine Liste mit Richtlinien, Typ, status und dem Zeitpunkt des letzten Eincheckens angezeigt. Wenn Sie den Namen einer Richtlinie auswählen, gelangen Sie zur Seite mit den Richtliniendetails, auf der Die Richtlinieneinstellungen status, angewendeten Geräten und zugewiesenen Gruppen angezeigt werden.

Softwareinventar

Auf der Registerkarte Softwareinventur können Sie Software auf dem Gerät sowie alle Schwachstellen oder Bedrohungen anzeigen. Wenn Sie den Namen der Software auswählen, gelangen Sie zur Seite mit den Softwaredetails, auf der Sie Sicherheitsempfehlungen, erkannte Sicherheitsrisiken, installierte Geräte und Versionsverteilung anzeigen können. Weitere Informationen finden Sie unter Softwareinventur .

Ermittelte Sicherheitsrisiken

Auf der Registerkarte Ermittelte Sicherheitsrisiken werden der Name, der Schweregrad und die Bedrohungserkenntnisse der ermittelten Sicherheitsrisiken auf dem Gerät angezeigt. Wenn Sie eine bestimmte Sicherheitsanfälligkeit auswählen, werden eine Beschreibung und Details angezeigt.

Fehlende KBs

Auf der Registerkarte Fehlende KBs werden die fehlenden Sicherheitsupdates für das Gerät aufgelistet.

Karten

Aktive Warnungen

Die Azure Advanced Threat Protection-Karte zeigt eine allgemeine Übersicht über Warnungen im Zusammenhang mit dem Gerät und deren Risikostufe an, wenn Sie das feature Microsoft Defender for Identity verwenden und aktive Warnungen vorhanden sind. Weitere Informationen finden Sie im Drilldown zu Warnungen .

Hinweis

Sie müssen die Integration sowohl für Microsoft Defender for Identity als auch für Defender für Endpunkt aktivieren, um dieses Feature verwenden zu können. In Defender für Endpunkt können Sie dieses Feature in erweiterten Features aktivieren. Weitere Informationen zum Aktivieren erweiterter Features finden Sie unter Aktivieren erweiterter Features.

Angemeldete Benutzer

Die Karte Angemeldete Benutzer zeigt an, wie viele Benutzer sich in den letzten 30 Tagen angemeldet haben, zusammen mit den meisten und am wenigsten häufig verwendeten Benutzern. Wenn Sie den Link Alle Benutzer anzeigen auswählen , wird der Detailbereich geöffnet, in dem Informationen wie Benutzertyp, Anmeldetyp und Zeitpunkt der ersten und letzten Anzeige des Benutzers angezeigt werden. Weitere Informationen finden Sie unter Untersuchen von Benutzerentitäten.

Hinweis

Der Wert "Häufigster Benutzer" wird nur basierend auf nachweisenden Benutzern berechnet, die sich erfolgreich interaktiv angemeldet haben. Der Seitenbereich Alle Benutzer berechnet jedoch alle Arten von Benutzeranmeldungen, sodass davon ausgegangen wird, dass häufiger Benutzer im Seitenbereich angezeigt werden, da diese Benutzer möglicherweise nicht interaktiv sind.

Sicherheitsbewertungen

Die Karte Sicherheitsbewertungen zeigt die Allgemeine Expositionsstufe, Sicherheitsempfehlungen, installierte Software und ermittelte Sicherheitsrisiken an. Die Expositionsstufe eines Geräts wird durch die kumulativen Auswirkungen der ausstehenden Sicherheitsempfehlungen bestimmt.

Geräte-Integritätsstatus

Im status geräteintegrität Karte wird ein zusammengefasster Integritätsbericht für das jeweilige Gerät angezeigt. Eine der folgenden Meldungen wird oben im Karte angezeigt, um die allgemeine status des Geräts anzugeben (in der Reihenfolge der höchsten bis niedrigsten Priorität aufgeführt):

• Defender Antivirus nicht aktiv
• Security Intelligence ist nicht auf dem neuesten Stand
• Engine ist nicht auf dem neuesten Stand
• Fehler bei der Schnellüberprüfung
• Fehler bei der vollständigen Überprüfung
• Plattform ist nicht auf dem neuesten Stand
• Security Intelligence-Update status unbekannt ist
• Engine Update status ist unbekannt
• Schnellscan status unbekannt ist
• Vollständige Überprüfung status unbekannt
• Plattformupdate status unbekannt ist
• Gerät ist auf dem neuesten Stand
• Status für macOS & Linux nicht verfügbar

Weitere Informationen im Karte umfassen: die letzte vollständige Überprüfung, die letzte Schnellüberprüfung, die Version des Security Intelligence-Updates, die Engine-Updateversion, die Plattformupdateversion und den Defender Antivirus-Modus.

Ein grauer Kreis gibt an, dass die Daten unbekannt sind.

Hinweis

Die allgemeine status Meldung für macOS- und Linux-Geräte wird derzeit als "Status für macOS & Linux nicht verfügbar" angezeigt. Derzeit ist die status-Zusammenfassung nur für Windows-Geräte verfügbar. Alle anderen Informationen in der Tabelle sind auf dem neuesten Stand, um die einzelnen Zustände jedes Geräteintegritätssignals für alle unterstützten Plattformen anzuzeigen.

Um eine ausführliche Ansicht des Geräteintegritätsberichts zu erhalten, können Sie zu Berichte > Geräteintegrität wechseln. Weitere Informationen finden Sie unter Bericht zur Geräteintegrität und -compliance in Microsoft Defender for Endpoint.

Hinweis

Das Datum und die Uhrzeit für den Defender Antivirus-Modus sind derzeit nicht verfügbar.

Verwandte Artikel

• Anzeigen und Organisieren der Warnungswarteschlange für Microsoft Defender für Endpunkt
• Verwalten von Microsoft Defender for Endpoint Warnungen
• Untersuchen von Microsoft Defender for Endpoint Warnungen
• Untersuchen einer Datei, die einer Defender für Endpunkt-Warnung zugeordnet ist
• Untersuchen einer IP-Adresse, die einer Defender für Endpunkt-Warnung zugeordnet ist
• Untersuchen einer Domäne, die einer Defender für Endpunkt-Warnung zugeordnet ist
• Untersuchen eines Benutzerkontos in Defender für Endpunkt
• Sicherheitsempfehlung
• Softwarebestand

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.