Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für:
- Microsoft Defender für Endpunkt Plan 1
- Microsoft Defender für Endpunkt Plan 2
- Microsoft Defender XDR
Das Microsoft Defender-Portal ist die neue Schnittstelle zum Überwachen und Verwalten der Sicherheit für Ihre Microsoft-Identitäten, -Daten, -Geräte, -Apps und -Infrastruktur. Hier können Sie den Sicherheitsstatus Ihrer Organisation ganz einfach anzeigen, Geräte, Benutzer und Apps konfigurieren sowie Benachrichtigungen zu verdächtigen Aktivitäten erhalten. Das Microsoft Defender-Portal ist für Sicherheitsadministratoren und Sicherheitsbetriebsteams vorgesehen, um ihre organization besser zu verwalten und zu schützen. Besuchen Sie das Microsoft Defender-Portal unterhttps://security.microsoft.com.
Im Microsoft Defender-Portal bieten wir Ihnen einen vollständigen Einblick in die aktuelle Konfiguration der Regeln zur Verringerung der Angriffsfläche und die Aktuellen Ereignisse in Ihrem Bestand. Ihre Geräte müssen in den Microsoft Defender for Endpoint-Dienst integriert werden, damit diese Berichte aufgefüllt werden können. Hier ist ein Screenshot aus dem Microsoft Defender-Portal (unter Verringerung derAngriffsflächevon Berichten>Geräte>). Wählen Sie auf Geräteebene im Bereich Regeln zur Verringerung der Angriffsfläche die Option Konfiguration aus. Der folgende Bildschirm wird angezeigt, in dem Sie ein bestimmtes Gerät auswählen und die Konfiguration der einzelnen Regel zur Verringerung der Angriffsfläche überprüfen können.
Microsoft Defender for Endpoint – Erweiterte Suche
Eines der leistungsstärksten Features von Microsoft Defender for Endpoint ist die erweiterte Suche. Wenn Sie mit der erweiterten Suche nicht vertraut sind, lesen Sie proaktives Suchen nach Bedrohungen mit erweiterter Suche.
Die erweiterte Suche ist ein abfragebasiertes (Kusto-Abfragesprache) Tool zur Bedrohungssuche, mit dem Sie bis zu 30 Tage der erfassten (Roh-)Daten untersuchen können, die Defender für Endpunkt von Ihren Geräten sammelt. Durch die erweiterte Suche können Sie Ereignisse proaktiv untersuchen, um interessante Indikatoren und Entitäten zu finden. Der flexible Zugriff auf Daten hilft bei der uneingeschränkten Suche nach bekannten und potenziellen Bedrohungen.
Durch die erweiterte Suche ist es möglich, Informationen zu Regeln zur Verringerung der Angriffsfläche zu extrahieren, Berichte zu erstellen und ausführliche Informationen zum Kontext einer bestimmten Regel zur Verringerung der Angriffsfläche zu erhalten.
Ereignisse zur Verringerung der Angriffsfläche können in der Tabelle DeviceEvents im Abschnitt "Erweiterte Suche" des Microsoft Defender XDR abgefragt werden. Beispielsweise kann eine einfache Abfrage wie die nachstehende alle Ereignisse melden, die Regeln zur Verringerung der Angriffsfläche als Datenquelle für die letzten 30 Tage aufweisen, und sie anhand der ActionType-Anzahl zusammenfassen, die in diesem Fall der tatsächliche Codename der Regel zur Verringerung der Angriffsfläche ist.
DeviceEvents
| where Timestamp > ago(30d)
| where ActionType startswith "Asr"
| summarize EventCount=count() by ActionType
Mit der erweiterten Suche können Sie die Abfragen nach Ihren Wünschen gestalten, sodass Sie sehen können, was passiert, unabhängig davon, ob Sie etwas auf einem einzelnen Computer festlegen oder Erkenntnisse aus Ihrer gesamten Umgebung extrahieren möchten.
Microsoft Defender for Endpoint computer Zeitleiste
Eine Alternative zur erweiterten Suche, aber mit einem engeren Bereich, ist die Microsoft Defender for Endpoint Computer Zeitleiste. Sie können alle gesammelten Ereignisse eines Geräts in den letzten sechs Monaten im Microsoft Defender XDR anzeigen, indem Sie zur Liste Computer wechseln, einen bestimmten Computer auswählen und dann auf der Registerkarte Zeitachse auswählen.
Der folgende Screenshot zeigt die Zeitachsenansicht dieser Ereignisse an einem bestimmten Endpunkt. In dieser Ansicht können Sie die Ereignisliste basierend auf einer der Ereignisgruppen im rechten Bereich filtern. Sie können auch gekennzeichnete und ausführliche Ereignisse aktivieren oder deaktivieren, während Sie Warnungen anzeigen und durch die verlaufsbezogenen Zeitleiste scrollen.
Behandeln von Problemen mit Regeln zur Verringerung der Angriffsfläche
Lesen Sie Die Regeln zur Problembehandlung bei der Verringerung der Angriffsfläche.
Verwandte Artikel
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.