Jaa

Laitteen entiteettisivu Microsoft Defenderissä

  • Artikkeli
  • Koskee seuraavia::
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Defender -portaalin laiteentiteettisivun avulla voit tutkia laiteentiteettejä. Sivu sisältää kaikki tärkeät tiedot tietystä laiteentiteetistä. Jos ilmoitus tai tapaus ilmaisee, että laite käyttäytyy epäilyttävästi tai saattaa olla vaarantunut, tutki laitteen tietoja tunnistaaksesi muita hälytykseen tai tapahtumaan mahdollisesti liittyviä toimintoja ja selvittääksesi rikkomuksen mahdollisen laajuuden. Voit myös käyttää laitteen entiteettisivua yleisten suojaustehtävien suorittamiseen sekä joihinkin vastaustoimintoihin tietoturvauhkien lieventämiseksi tai korjaamiseksi.

Tärkeää

Laitteen entiteettisivulla näytettävä sisältöjoukko saattaa hieman vaihdella sen mukaan, onko laite rekisteröitynyt Microsoft Defender for Endpointiin ja Microsoft Defender for Identityen.

Jos organisaatiosi on perehdyttänyt Microsoft Sentinelin Defender-portaaliin, näkyviin tulee lisätietoja.

Microsoft Sentinelissä laiteentiteettejä kutsutaan myös isäntäentiteeteiksi. Lisätietoja.

Microsoft Sentinel on nyt yleisesti saatavilla Microsoft unified security operations -ympäristössä Microsoft Defender -portaalissa. Lisätietoja on Microsoft Sentinel -artikkelissa Microsoft Defender -portaalissa.

Laitteen entiteetit löytyvät seuraavilta alueilta:

  • Laitteet-luettelo Assets-kohdassa
  • Ilmoitusjono
  • Yksittäiset hälytykset tai tapahtumat
  • Yksittäisen käyttäjän entiteettisivu
  • Yksittäisen tiedoston tietonäkymä
  • Mikä tahansa IP-osoite tai toimialueen tietojen näkymä
  • Toimintoloki
  • Kehittyneet metsästyskyselyt
  • Toimintokeskus

Voit avata laitteen entiteettisivun valitsemalla laitteet aina, kun näet ne portaalissa. Näin saat lisätietoja laitteesta. Voit esimerkiksi nähdä tapahtuman hälytyksissä lueteltujen laitteiden tiedot Microsoft Defender -portaalissa kohdassa Tapaukset, & hälytykset > Tapaukset >TapausResurssien>> laitteet.

Näyttökuva Microsoft Defender -portaalin tapauksen Käyttäjät-sivusta.

Laitteen entiteettisivu näyttää tiedot sarkainmuodossa. Tässä artikkelissa määritetään kussakin välilehdessä käytettävissä olevat tietotyypit ja myös toiminnot, joita voit suorittaa tietyssä laitteessa.

Seuraavat välilehdet näkyvät laitteen entiteettisivulla:

Entiteettisivun ylätunniste

Entiteettisivun ylin osa sisältää seuraavat tiedot:

  • Entiteetin nimi
  • Riskin vakavuus, kriittisyys ja laitteen arvoilmaisimet
  • Tunnisteet , joiden mukaan laite voidaan luokitella. Defender voi lisätä sen päätepisteelle, Defender for Identitylle tai käyttäjät. Microsoft Defender for Identity -tunnisteita ei voi muokata.
  • Vastaustoiminnot ovat myös tässä. Lue lisää niistä alta.

Yleiskatsaus-välilehti

Oletusvälilehti on Yleiskatsaus. Se tarjoaa nopean katsauksen laitteen tärkeimpiin suojaustietoihin. Yleiskatsaus-välilehti sisältää laitteen tietojen sivupalkin ja koontinäytön, jossa jotkin kortit näyttävät korkean tason tietoja.

Laitteen tiedot

Sivupalkissa on lueteltu laitteen koko nimi ja altistustaso. Se tarjoaa myös joitakin tärkeitä perustietoja pienissä alakohdissa, joita voidaan laajentaa tai kutistaa, kuten:

Osa Sisällytetyt tiedot
Näennäiskoneen tiedot Koneiden ja toimialueiden nimet ja tunnukset, kunto- ja perehdytystilat, ensimmäisen ja viimeisen näkemän aikaleimat, IP-osoitteet ja paljon muuta
DLP-käytännön synkronointitiedot Tarvittaessa
Määrityksen tila Microsoft Defender for Endpoint -määrityksiä koskevat tiedot
Pilviresurssin tiedot Pilviympäristö, resurssitunnus, tilaustiedot ja paljon muuta
Laitteisto ja laiteohjelmisto Näennäiskoneen, suorittimen ja BIOSin tiedot ja paljon muuta
Laitehallinta Microsoft Defender for Endpoint -rekisteröinnin tila ja hallintatiedot
Hakemistotiedot UAC-merkinnät , palvelun päänimet ja ryhmän jäsenyydet.

Koontinäyttö

Yleiskatsaus-välilehden pääosassa on useita koontinäytön tyyppisiä näyttökortteja:

  • Laitteeseen liittyvät aktiiviset hälytykset ja riskitaso viimeisten kuuden kuukauden aikana vakavuuden mukaan ryhmiteltynä
  • Suojausarvioinnit ja laitteen altistumistaso
  • Kirjautuneet käyttäjät laitteessa viimeisten 30 päivän aikana
  • Laitteen kuntotila ja muita tietoja laitteen uusimmista tarkistuksista.

Vihje

Altistustaso liittyy siihen, kuinka paljon laite noudattaa suojaussuosituksia, kun taas riskitaso lasketaan useiden tekijöiden perusteella, mukaan lukien aktiivisten hälytysten tyypit ja vakavuus.

Näyttökuva Laitteen entiteettisivun Yleiskatsaus-välilehdestä Microsoft Defender -portaalissa.

Tapaukset ja hälytykset -välilehti

Tapaukset ja hälytykset -välilehti sisältää luettelon tapauksista, jotka sisältävät laitteessa annettuja hälytyksiä mistä tahansa useista Microsoft Defenderin tunnistuslähteistä, mukaan lukien, jos ne on otettu käyttöön, Microsoft Sentinelistä. Tämä luettelo on tapahtumajonon suodatettu versio, ja se näyttää lyhyen kuvauksen tapahtumasta tai hälytyksestä, sen vakavuudesta (suuri, normaali, pieni, tiedottava), sen tilasta jonossa (uusi, käynnissä, ratkaistu), sen luokituksesta (ei määritetty, väärä ilmoitus, tosi hälytys), tutkintatilasta, luokasta, joka on määritetty käsittelemään sitä, ja viimeisestä havaitusta toiminnasta.

Voit mukauttaa kullekin kohteelle näytettävät sarakkeet. Voit myös suodattaa hälytykset vakavuuden, tilan tai minkä tahansa muun näytön sarakkeen mukaan.

Entiteettisarake, johon vaikutus vaikuttaa, viittaa kaikkiin laitteen ja käyttäjän entiteetteihin, joihin tapahtumassa tai hälytyksessä viitattiin.

Kun tapaus tai hälytys on valittuna, esiin tulee pikaikkuna. Tässä paneelissa voit hallita tapausta tai ilmoitusta ja tarkastella lisätietoja, kuten tapausten/hälytysten numeroa ja liittyviä laitteita. Kerrallaan voidaan valita useita ilmoituksia.

Jos haluat nähdä koko sivun näkymän tapahtumasta tai ilmoituksesta, valitse sen otsikko.

Näyttökuva Microsoft Defender -portaalin laiteentiteettisivun Tapahtumat ja hälytykset -välilehdestä.

Aikajana-välilehti

Aikajana-välilehdessä näkyy kronologinen näkymä kaikista tapahtumista, jotka on havaittu laitteessa. Tämä voi auttaa korreloimaan mitä tahansa tapahtumia, tiedostoja ja IP-osoitteita suhteessa laitteeseen.

Luettelossa näkyvien sarakkeiden valintaa voidaan mukauttaa. Oletussarakkeet sisältävät tapahtuman ajan, aktiivisen käyttäjän, toimintotyypin, liittyvät entiteetit (prosessit, tiedostot, IP-osoitteet) ja lisätietoja tapahtumasta.

Voit hallita ajanjaksoa, jonka tapahtumat näytetään liu'uttamalla ajanjakson reunoja sivun yläreunassa olevan yleisen aikajanakaavion mukaisesti. Voit myös valita ajanjakson luettelon yläosassa olevasta avattavasta valikosta (oletusarvo on 30 päivää). Voit hallita näkymää tarkemmin suodattamalla tapahtumaryhmien mukaan tai mukauttamalla sarakkeita.

Voit viedä enintään seitsemän päivän tapahtumat CSV-tiedostoon ladattavaksi.

Poraudu alaspäin yksittäisten tapahtumien tietoihin valitsemalla ja tapahtuma ja tarkastelemalla sen tietoja tuloksena saatavassa pikaikkunapaneelissa. Katso tapahtuman tiedot alta.

Huomautus

Jotta palomuuritapahtumat tulevat näkyviin, sinun on otettava valvontakäytäntö käyttöön kohdassa Suodatuksen käyttöympäristön yhteys.

Palomuuri kattaa seuraavat tapahtumat:

  • 5025 - palomuuripalvelu pysäytettiin
  • 5031 – Sovellus on estänyt saapuvien yhteyksien hyväksymisen verkkoon
  • 5157 - estetty yhteys

Näyttökuva laitteen entiteettisivun Aikajana-välilehdestä Microsoft Defender -portaalissa.

Tapahtuman tiedot

Valitse tapahtuma, jos haluat tarkastella tapahtuman olennaisia tietoja. Näyttöön avautuu pikaikkuna, jossa näkyy paljon lisätietoja tapahtumasta. Näytettävien tietojen tyypit riippuvat tapahtuman tyypistä. Kun käytettävissä ja tiedot ovat käytettävissä, saatat nähdä kaavion, joka näyttää liittyvät entiteetit ja niiden suhteet, kuten tiedostoketjun tai prosessit. Saatat myös nähdä yhteenvedon kuvauksen MITRE ATT&CK-taktiikoista ja -tekniikoista, jotka soveltuvat tapahtumaan.

Jos haluat tarkastaa tapahtuman ja siihen liittyvät tapahtumat tarkemmin, voit suorittaa nopeasti kehittyneen metsästyskyselyn valitsemalla Etsi aiheeseen liittyviä tapahtumia. Kysely palauttaa valitun tapahtuman ja luettelon muista tapahtumista, jotka tapahtuivat samaan aikaan samassa päätepisteessä.

Näyttökuva tapahtuman tietopaneelista.

Suojaussuositukset-välilehti

Suojaussuositukset-välilehdessä luetellaan toiminnot, jotka voit suorittaa laitteen suojaamiseksi. Tämän luettelon kohteen valitseminen avaa pikaikkunan, josta saat ohjeet suosituksen soveltamiseen.

Kuten edellisissäkin välilehdissä, näytettävien sarakkeiden valintaa voidaan mukauttaa.

Oletusnäkymä sisältää sarakkeita, jotka sisältävät yksityiskohtaiset tiedot käsiteltyistä suojauspuutteista, niihin liittyvästä uhasta, liittyvästä komponentista tai ohjelmistosta, johon uhka vaikuttaa, ja paljon muuta. Kohteet voidaan suodattaa suosituksen tilan mukaan.

Lue lisätietoja suojaussuosituksista.

Näyttökuva laitteen entiteettisivun Suojaussuositukset-välilehdestä.

Varastot-välilehti

Tässä välilehdessä näytetään neljän komponenttityypin varastot: ohjelmistot, haavoittuvat osat, selainlaajennukset ja varmenteet.

Ohjelmistoluettelo

Tässä kortissa luetellaan laitteeseen asennetut ohjelmistot.

Oletusnäkymä näyttää ohjelmistotoimittajan, asennetun versionumeron, tunnettujen ohjelmistojen heikkouksien määrän, uhkatiedot, tuotekoodin ja tunnisteet. Näytettävien kohteiden määrä ja näytettävät sarakkeet voidaan mukauttaa.

Kohteen valitseminen tästä luettelosta avaa pikaikkunan, joka sisältää lisätietoja valitusta ohjelmistosta sekä polun ja aikaleiman, kun ohjelmistoa viimeksi löydettiin.

Tämä luettelo voidaan suodattaa tuotekoodin, heikkouksien ja uhkien esiintymisen mukaan.

Näyttökuva laiteprofiilin Ohjelmistovarasto-välilehdestä Microsoft Defender -portaalissa

Haavoittuvat osat

Tässä kortissa on luettelo ohjelmisto-osista, jotka sisältävät haavoittuvuuksia.

Oletusnäkymä- ja suodatusasetukset ovat samat kuin ohjelmistossa.

Valitse kohde, jos haluat näyttää lisätietoja pikaikkunassa.

Selainlaajennukset

Tässä kortissa näkyvät laitteeseen asennetut selainlaajennukset. Näytetyt oletuskentät ovat laajennuksen nimi, selain, johon se on asennettu, versio, käyttöoikeusriski (laajennuksen pyytämien laitteiden tai sivustojen käyttöoikeuksien tyypin perusteella) ja tila. Vaihtoehtoisesti myös toimittaja voidaan näyttää.

Valitse kohde, jos haluat näyttää lisätietoja pikaikkunassa.

Todistukset

Tämä kortti näyttää kaikki laitteeseen asennetut varmenteet.

Oletusarvoisesti näytettävät kentät ovat varmenteen nimi, myöntämispäivämäärä, vanhentumispäivämäärä, avaimen koko, myöntäjä, allekirjoitusalgoritmi, avaimen käyttö ja esiintymien määrä.

Luettelo voidaan suodattaa tilan, itse allekirjoitetun tai ei, avaimen koon, allekirjoituksen hajautuksen ja avaimen käytön mukaan.

Valitse varmenne, jos haluat näyttää lisätietoja pikaikkunassa.

Havaitut haavoittuvuudet -välilehti

Tässä välilehdessä luetellaan kaikki yleiset haavoittuvuudet ja hyödynnykset, jotka voivat vaikuttaa laitteeseen.

Oletusnäkymässä luetellaan CVE:n vakavuus, CVE:hen liittyvä Common Vulnerability Score (CVSS), CVE:hen liittyvä ohjelmisto, kun CVE julkaistiin, kun CVE havaittiin ensimmäisen kerran ja päivitettiin viimeksi, sekä CVE:hen liittyvät uhat.

Kuten edellisissäkin välilehdissä, näytettävien sarakkeiden valintaa voidaan mukauttaa. Luettelo voidaan suodattaa vakavuuden, uhkatilan, laitteen altistumisen ja tunnisteiden mukaan.

Kohteen valitseminen tästä luettelosta avaa pikaikkunan, joka kuvaa CVE:ta.

Näyttökuva laiteprofiilin Havaitut haavoittuvuudet -välilehdestä Microsoft Defender -portaalissa

KBS-välilehti puuttuu

Puuttuvat suorituskykyilmaisimet -välilehdessä on luettelo Kaikista Microsoft-päivityksistä, joita ei ole vielä otettu käyttöön laitteessa. Kyseiset "KB:t" ovat Knowledge Base -artikkeleita, joissa näitä päivityksiä kuvataan. esimerkiksi KB4551762.

Oletusnäkymässä on luettelo tietoturvatiedotteesta, joka sisältää päivitykset, käyttöjärjestelmän version, KB-tunnusnumeron, tuotteet, joihin tämä vaikuttaa, osoitetut CV:t ja tunnisteet.

Näytettävien sarakkeiden valintaa voidaan mukauttaa.

Kohteen valitseminen avaa pikaikkunan, joka linkittää päivitykseen.

Sentinel-tapahtumat-välilehti

Jos organisaatiosi on liittänyt Microsoft Sentinelin Defender-portaaliin, tämä lisävälilehti on laitteen entiteettisivulla. Tämä välilehti tuo Isäntä-entiteettisivun Microsoft Sentinelistä.

Sentinel-aikajana

Tällä aikajanalla näkyvät laitteen entiteettiin liittyvät hälytykset, jotka tunnetaan Microsoft Sentinelissä isäntäentiteettinä. Näitä ilmoituksia ovat esimerkiksi Tapaukset ja hälytykset -välilehdellä näkyvät hälytykset sekä ne, jotka Microsoft Sentinel on luonut kolmannen osapuolen tietolähteistä, muista kuin Microsoftin tietolähteistä.

Tämä aikajana näyttää myös kirjanmerkityt metsästykset muista tutkimuksista, jotka viittaavat tähän käyttäjäentiteettiin, ulkoisten tietolähteiden käyttäjän toimintatapahtumiin ja Microsoft Sentinelin poikkeamasääntöjen havaitsemiin epätavallisiin käyttäytymisiin.

Oivalluksia

Entiteetin merkitykselliset tiedot ovat Microsoftin suojaustutkijoiden määrittämiä kyselyjä, joiden avulla voit tutkia asiaa tehokkaammin ja tehokkaammin. Nämä merkitykselliset tiedot esittävät automaattisesti suuria kysymyksiä laitteen entiteetistä ja tarjoavat arvokkaita suojaustietoja taulukkomuotoisten tietojen ja kaavioiden muodossa. Merkitykselliset tiedot sisältävät kirjautumisia, ryhmien lisäyksiä, prosessin suorituksia, poikkeavia tapahtumia ja paljon muuta koskevia tietoja sekä kehittyneitä koneoppimisalgoritmeja poikkeavan käyttäytymisen havaitsemiseksi.

Seuraavassa on joitakin näytettyjä merkityksellisiä tietoja:

  • Näyttökuva isännästä.
  • Microsoft havaitsi prosesseja, joita Microsoft ei ole allekirjoittanut.
  • Windowsin prosessin suoritustiedot.
  • Windowsin kirjautumistoiminta.
  • Tilien toiminnot.
  • Tapahtumalokit tyhjennys isännässä.
  • Ryhmän lisäykset.
  • Isäntien, käyttäjien ja isäntien ryhmien luettelointi.
  • Microsoft Defenderin sovellusohjausobjekti.
  • Käsittele harvinaisuus entropy-laskutoimituksen avulla.
  • Suojaustapahtuman poikkeavan suuri määrä.
  • Katseluluettelon merkitykselliset tiedot (esikatselu).
  • Windows Defenderin virustentorjuntatapahtumat.

Merkitykselliset tiedot perustuvat seuraaviin tietolähteisiin:

  • Syslog (Linux)
  • SecurityEvent (Windows)
  • AuditLogs (Microsoft Entra -tunnus)
  • SigninLogs (Microsoft Entra -tunnus)
  • OfficeActivity (Office 365)
  • BehaviorAnalytics (Microsoft Sentinel UEBA)
  • Syke (Azure Monitor -agentti)
  • CommonSecurityLog (Microsoft Sentinel)

Näyttökuva Sentinel-tapahtumien välilehdestä käyttäjän entiteettisivulla.

Jos haluat tutustua tarkemmin johonkin tämän paneelin merkityksellisiin tietoihin, valitse merkityksellisiä tietoja sisältävä linkki. Linkki vie sinut Kehittyneen metsästyksen sivulle, jossa se näyttää kyselyn merkityksellisten tietojen pohjana sekä sen raakatulokset. Voit muokata kyselyä tai porautua tuloksiin laajentaaksesi tutkimustasi tai vain tyydyttääksesi uteliaisuutesi.

Näyttökuva Kehittyneen metsästyksen näytöstä, jossa on merkityksellisten tietojen kysely.

Vastaustoiminnot

Vastaustoiminnot tarjoavat pikakuvakkeita uhkien analysointiin, tutkimiseen ja suojaamiseen.

Näyttökuva laitteen entiteettisivun toimintopalkista Microsoft Defender -portaalissa.

Tärkeää

  • Vastaustoiminnot ovat käytettävissä vain, jos laite on rekisteröity Microsoft Defender for Endpointiin.
  • Microsoft Defender for Endpointiin rekisteröidyissä laitteissa voi näkyä eri määrä vastaustoimintoja laitteen käyttöjärjestelmän ja versionumeron perusteella.

Vastaustoiminnot suoritetaan tietyn laitesivun yläosassa, ja ne sisältävät seuraavat:

Toiminta Kuvaus
Laitteen arvo
Määritä kriittisyys
Tunnisteiden hallinta Päivittää mukautetut tunnisteet, joita olet käyttänyt tässä laitteessa.
Raporttilaitteen epätarkkuus
Suorita virustentorjuntatarkistus Päivittää Microsoft Defenderin virustentorjuntaohjelman määritykset ja suorittaa heti virustentorjuntatarkistuksen. Valitse pikatarkistus- tai Täysi tarkistus -vaihtoehdon välillä.
Tutkimuspaketin kerääminen Kerää tietoja laitteesta. Kun tutkimus on valmis, voit ladata sen.
Rajoita sovelluksen suoritusta Estää Microsoftin allekirjoittamia sovelluksia suorittamasta.
Aloita automatisoitu tutkinta Tutkii ja korjaa uhat automaattisesti. Vaikka voit manuaalisesti käynnistää automaattisia tutkimuksia, jotka suoritetaan tältä sivulta, tietyt ilmoituskäytännöt käynnistävät automaattiset tutkimukset itse.
Aloita reaaliaikainen vastausistunto Lataa laitteelle etäliittymän perusteellista suojaustutkimusta varten.
Eristä laite Eristää laitteen organisaatiosi verkosta ja pitää sen yhteydessä Microsoft Defenderiin. Voit sallia Outlookin, Teamsin ja Skype for Businessin suorittamisen, kun laite on eristetty, viestintätarkoituksiin.
Kysy Defenderin asiantuntijoilta
Toimintokeskus Näyttää parhaillaan käynnissä olevien vastaustoimintojen tiedot. Käytettävissä vain, jos toinen toiminto on jo valittu.
Lataa pakotetun julkaisun eristyskomentosarjasta
Sulkea pois
Mene metsästämään
Ota vianmääritystila käyttöön
Käytännön synkronointi

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.