Freigeben über


Übersicht über Endpunkterkennung und -reaktion

Gilt für:

Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.

Die Funktionen zur Endpunkterkennung und -reaktion in Defender für Endpunkt bieten erweiterte Angriffserkennungen, die nahezu in Echtzeit und umsetzbar sind. Sicherheitsanalysten können Benachrichtigungen effektiv priorisieren, Einblick in den gesamten Umfang einer Verletzung erhalten und Aktionen ergreifen, um Bedrohungen zu beheben.

Wenn eine Bedrohung erkannt wird, werden im System Warnungen erstellt, die ein Analytiker untersuchen kann. Benachrichtigungen, die auf die gleichen Angriffsmethoden oder den gleichen Angreifer zurückzuführen sind, werden in der Entität Vorfall zusammengefasst. Das Zusammenfassen von Benachrichtigungen erleichtert es Analytikern, Bedrohungen kollektiv zu untersuchen und darauf zu reagieren.

Hinweis

Die Defender für Endpunkt-Erkennung ist nicht als Überwachungs- oder Protokollierungslösung gedacht, die alle Vorgänge oder Aktivitäten auf einem bestimmten Endpunkt aufzeichnet. Unser Sensor verfügt über einen internen Drosselungsmechanismus, sodass die hohe Rate identischer Ereignisse die Protokolle nicht überflutet.

Wichtig

Defender für Endpunkt Plan 1 und Microsoft Defender for Business nur die folgenden manuellen Antwortaktionen enthalten:

  • Antivirusscan ausführen
  • Gerät isolieren
  • Beenden und Isolieren einer Datei
  • Hinzufügen eines Indikators zum Blockieren oder Zulassen einer Datei

Inspiriert von der "Annahme einer Sicherheitsverletzung" erfasst Defender für Endpunkt kontinuierlich Verhaltenstelemetriedaten. Dazu gehören Prozessinformationen, Netzwerkaktivitäten, tiefe Einblicke in den Kernel- und Speicher-Manager, Benutzeranmeldeaktivitäten, Registrierungs-und Dateisystemänderungen und andere. Die Informationen werden sechs Monate gespeichert, sodass ein Analyst zum Anfang eines Angriffs zurückkehren kann. Der Analytiker kann dann in unterschiedliche Ansichten wechseln und eine Untersuchung in mehreren Vektoren durchführen.

Die Antwortfunktionen bieten Ihnen die Möglichkeit, Bedrohungen zeitnah zu beheben, indem Sie auf die betroffenen Entitäten reagieren.

Siehe auch

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.