Compartir a través de

escala de tiempo del dispositivo Microsoft Defender para punto de conexión

Se aplica a:

Nota:

¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

La escala de tiempo del dispositivo defender para punto de conexión le ayuda a investigar e investigar comportamientos anómalos en los dispositivos más rápidamente. Puede explorar eventos y puntos de conexión específicos para revisar posibles ataques en su organización. Puede revisar horas específicas de cada evento, establecer marcas para realizar un seguimiento de eventos potencialmente conectados y filtrar por intervalos de fechas específicos.

  • Selector de intervalo de tiempo personalizado:

    Captura de pantalla del intervalo de tiempo personalizado.

  • Experiencia del árbol de procesos: panel lateral del evento:

    Captura de pantalla del panel lateral del evento.

  • Todas las técnicas de MITRE se muestran cuando hay más de una técnica relacionada:

    Captura de pantalla de todas las técnicas de MITRE.

  • Los eventos de escala de tiempo están vinculados a la nueva página de usuario:

    Captura de pantalla de los eventos de escala de tiempo vinculados a la nueva página de usuario.

    Captura de pantalla de los eventos de escala de tiempo vinculados a la nueva página de usuario 2.

  • Los filtros definidos ahora están visibles en la parte superior de la escala de tiempo:

    Captura de pantalla de los filtros definidos.

Técnicas en la escala de tiempo del dispositivo

Puede obtener más información en una investigación mediante el análisis de los eventos que ocurrieron en un dispositivo específico. En primer lugar, seleccione el dispositivo de interés en la lista Dispositivos. En la página del dispositivo, puede seleccionar la pestaña Escala de tiempo para ver todos los eventos que se produjeron en el dispositivo.

Descripción de las técnicas en la escala de tiempo

Importante

Cierta información se relaciona con una característica de producto preliminar en versión preliminar pública que puede modificarse sustancialmente antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.

En Microsoft Defender para punto de conexión, Técnicas es un tipo de datos adicional en la escala de tiempo del evento. Las técnicas proporcionan más información sobre las actividades asociadas a MITRE ATT& técnicas de CK o subtecniques.

Esta característica simplifica la experiencia de investigación al ayudar a los analistas a comprender las actividades que se observaron en un dispositivo. A continuación, los analistas pueden decidir investigar más.

Durante la versión preliminar, Técnicas están disponibles de forma predeterminada y se muestran junto con eventos cuando se ve la escala de tiempo de un dispositivo.

Captura de pantalla de todas las técnicas de MITRE.

Las técnicas se resaltan en negrita y aparecen con un icono azul a la izquierda. El id. de CK y el nombre de la técnica de MITRE AT&T correspondientes también aparecen como etiquetas en Información adicional.

Las opciones de búsqueda y exportación también están disponibles para Técnicas.

Investigación mediante el panel lateral

Seleccione una técnica para abrir su panel lateral correspondiente. Aquí puede ver información adicional e información, como técnicas, tácticas y descripciones relacionadas con ATT&CK.

Seleccione la técnica de ataque específica para abrir la página de técnica de ATT&CK relacionada, donde puede encontrar más información al respecto.

Puede copiar los detalles de una entidad cuando vea un icono azul a la derecha. Por ejemplo, para copiar sha1 de un archivo relacionado, seleccione el icono de página azul.

Captura de pantalla que muestra los detalles de la entidad de copia.

Captura de pantalla que muestra los detalles del panel lateral.

Puede hacer lo mismo con las líneas de comandos.

Captura de pantalla que muestra la opción para copiar la línea de comandos.

Para usar la búsqueda avanzada para buscar eventos relacionados con la técnica seleccionada, seleccione Buscar eventos relacionados. Esto conduce a la página de búsqueda avanzada con una consulta para buscar eventos relacionados con la técnica.

Captura de pantalla que muestra la opción Buscar eventos relacionados.

Nota:

La consulta mediante el botón Buscar eventos relacionados de un panel lateral Técnica muestra todos los eventos relacionados con la técnica identificada, pero no incluye la propia técnica en los resultados de la consulta.

Cliente EDR (MsSense.exe) Resource Manager

Cuando el cliente EDR de un dispositivo se está quedando sin recursos, entra en modo crítico para mantener el funcionamiento normal del dispositivo. El dispositivo no procesará nuevos eventos hasta que el cliente de EDR vuelva a un estado normal. Aparece un nuevo evento en la escala de tiempo de ese dispositivo que indica que el cliente EDR cambió al modo crítico .

Cuando el uso de recursos del cliente EDR vuelve a los niveles normales, volverá automáticamente al modo normal.

Personalización de la escala de tiempo del dispositivo

En la parte superior derecha de la escala de tiempo del dispositivo, puede elegir un intervalo de fechas para limitar el número de eventos y técnicas en la escala de tiempo.

Puede personalizar las columnas que se van a exponer. También puede filtrar los eventos marcados por tipo de datos o por grupo de eventos.

Elegir columnas que se van a exponer

Para elegir qué columnas se van a exponer en la escala de tiempo, seleccione el botón Elegir columnas .

Captura de pantalla que muestra el panel en el que puede personalizar las columnas.

Desde allí puede seleccionar qué información se va a incluir.

Filtrar solo para ver técnicas o eventos

Para ver solo eventos o técnicas, seleccione Filtros en la escala de tiempo del dispositivo y elija el tipo de datos que quiera ver.

Captura de pantalla que muestra el panel Filtros.

Marcas de eventos de escala de tiempo

Las marcas de eventos en la escala de tiempo del dispositivo defender para punto de conexión ayudan a filtrar y organizar eventos específicos cuando se investigan posibles ataques.

La escala de tiempo del dispositivo defender para punto de conexión proporciona una vista cronológica de los eventos y las alertas asociadas observadas en un dispositivo. Esta lista de eventos proporciona visibilidad completa de los eventos, archivos y direcciones IP observados en el dispositivo. La lista a veces puede ser larga. Las marcas de eventos de escala de tiempo del dispositivo le ayudan a realizar un seguimiento de los eventos que podrían estar relacionados.

Después de pasar por una escala de tiempo del dispositivo, puede ordenar, filtrar y exportar los eventos específicos que ha marcado.

Al navegar por la escala de tiempo del dispositivo, puede buscar y filtrar eventos específicos. Puede establecer marcas de eventos mediante:

  • Resaltar los eventos más importantes
  • Marcado de eventos que requieren un análisis profundo
  • Creación de una escala de tiempo de infracción limpia

Marca de un evento

  1. Busque el evento que desea marcar.

  2. Seleccione el icono de marca en la columna Marca.

Marca de escala de tiempo del dispositivo

Visualización de eventos marcados

  1. En la sección Filtros de escala de tiempo, habilite Eventos marcados.
  2. Seleccione Aplicar. Solo se muestran los eventos marcados.

Puede aplicar más filtros haciendo clic en la barra de tiempo. Esto solo mostrará eventos antes del evento marcado.

Captura de pantalla que muestra la marca de escala de tiempo del dispositivo con el filtro activado.

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.