Jaa

Microsoft Defender for Endpoint -laitteen aikajana

  • Artikkeli

Koskee seuraavia:

Huomautus

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Defender for Endpoint -laitteen aikajanan avulla voit tutkia ja tutkia laitteiden poikkeavia toimintoja entistä nopeammin. Voit tutustua tiettyihin tapahtumiin ja päätepisteisiin ja tarkastella mahdollisia hyökkäyksiä organisaatiossasi. Voit tarkastella kunkin tapahtuman tiettyjä aikoja, määrittää merkintöjä mahdollisesti yhdistettyjen tapahtumien seurantaan ja suodattaa tiettyihin päivämääräalueisiin.

  • Mukautettu aika-alueen valitsin:

    Näyttökuva mukautetusta aika-alueesta.

  • Prosessipuukokemus – tapahtuman sivupaneeli:

    Näyttökuva tapahtuman sivupaneelista.

  • Kaikki MITRE-tekniikat näytetään, kun on olemassa useampi kuin yksi liittyvä tekniikka:

    Näyttökuva kaikista MITRE-tekniikoista.

  • Aikajanan tapahtumat on linkitetty uuteen käyttäjäsivuun:

    Näyttökuva uuteen käyttäjäsivuun linkitetyistä aikajanatapahtumista.

    Näyttökuva uuteen käyttäjäsivuun 2 linkitetyistä aikajanatapahtumista.

  • Määritetyt suodattimet näkyvät nyt aikajanan yläreunassa:

    Näyttökuva määritetyistä suodattimista.

Laitteen aikajanan tekniikat

Voit saada lisätietoja tutkimuksesta analysoimalla tapahtumia, jotka tapahtuivat tietyssä laitteessa. Valitse ensin haluamasi laite Laitteet-luettelosta. Laitteen sivulla voit valita Aikajana-välilehden ja tarkastella kaikkia laitteessa tapahtuneita tapahtumia.

Tutustu aikajanan tekniikoihin

Tärkeää

Jotkin tiedot liittyvät aiemman tuotteen ominaisuuteen julkisessa esikatselussa, jota voidaan muuttaa huomattavasti ennen sen kaupallista julkaisua. Microsoft ei anna nimenomaisia eikä oletettuja takuita tässä annetuista tiedoista.

Microsoft Defender for Endpointissa tekniikat ovat tapahtuman aikajanalla oleva toinen tietotyyppi. Tekniikat tarjoavat enemmän merkityksellisiä tietoja MITRE ATT&CK-tekniikoihin tai -alitoimintoihin liittyvistä toiminnoista.

Tämä ominaisuus yksinkertaistaa tutkimuskokemusta auttamalla analyytikoita ymmärtämään laitteessa havaittuja toimia. Analyytikot voivat sitten päättää tutkia asiaa tarkemmin.

Esikatselun aikana Tekniikat ovat oletusarvoisesti käytettävissä ja näytetään yhdessä tapahtumien kanssa, kun laitteen aikajanaa tarkastellaan.

Näyttökuva kaikista MITRE-tekniikoista.

Tekniikat on korostettu lihavoidulla tekstillä, ja ne näkyvät sinisenä kuvakkeena vasemmalla. Vastaava MITRE ATT&CK ID ja tekniikan nimi näkyvät myös tunnisteina Kohdassa Lisätietoja.

Haku- ja vientiasetukset ovat käytettävissä myös tekniikoille.

Tutki sivuruudun avulla

Valitse Tekniikka avataksesi sitä vastaavan sivuruudun. Tässä näet lisätietoja ja merkityksellisiä tietoja, kuten att-&CK-tekniikoita, taktiikoita ja kuvauksia.

Valitse tietty Hyökkäystekniikka avataksesi liittyvän ATT&CK-tekniikkasivun, josta löydät lisätietoja siitä.

Voit kopioida entiteetin tiedot, kun oikealla on sininen kuvake. Jos haluat esimerkiksi kopioida liittyvän tiedoston SHA1:n, valitse sinisen sivun kuvake.

Näyttökuva, jossa näkyvät entiteetin kopiointitiedot.

Näyttökuva, jossa näkyvät sivuruudun tiedot.

Voit tehdä saman komentoriveille.

Näyttökuva, jossa näkyy komentorivin kopiointivaihtoehto.

Jos haluat käyttää kehittynyttä metsästystä valittuun tekniikkaan liittyvien tapahtumien löytämiseksi, valitse Metsästä liittyviä tapahtumia. Tämä johtaa kehittyneelle metsästyssivulle, jossa on kysely Tekniikkaan liittyvien tapahtumien löytämiseksi.

Näyttökuva, jossa näkyy Liittyvien tapahtumien metsästys -vaihtoehto.

Huomautus

Kyselyt Tekniikka-puolen ruudun Etsi aiheeseen liittyviä tapahtumia - painikkeella näyttää kaikki tunnistettuun tekniikkaan liittyvät tapahtumat, mutta itse tekniikka ei sisälly kyselyn tuloksiin.

EDR-asiakasohjelman (MsSense.exe) Resource Manager

Kun laitteen EDR-asiakasohjelmassa resurssit ovat vähissä, se siirtyy kriittiseen tilaan laitteen normaalin toimintatavan ylläpitämiseksi. Laite ei käsittele uusia tapahtumia, ennen kuin EDR-asiakas palaa normaaliin tilaan. Laitteen aikajanaan tulee näkyviin uusi tapahtuma, joka ilmaisee, että EDR-asiakas siirtyi kriittiseen tilaan.

Kun EDR-asiakkaan resurssien käyttö palautuu normaalille tasolle, se palautuu automaattisesti normaaliin tilaan.

Laitteen aikajanan mukauttaminen

Laitteen aikajanan oikeassa yläkulmassa voit valita päivämääräalueen, joka rajoittaa aikajanan tapahtumien ja tekniikoiden määrää.

Voit mukauttaa, mitkä sarakkeet palstalla. Voit myös suodattaa merkityt tapahtumat tietotyypin tai tapahtumaryhmän mukaan.

Valitse palstat

Voit valita, mitkä sarakkeet näkyvät aikajanalla, valitsemalla Valitse sarakkeet -painikkeen.

Näyttökuva, jossa näkyy ruutu, jossa voit mukauttaa sarakkeita.

Sieltä voit valita sisällytettävät tiedot.

Suodata vain tarkastelemaan tekniikoita tai tapahtumia

Jos haluat tarkastella vain tapahtumia tai tekniikoita, valitse Suodattimet laitteen aikajanalta ja valitse haluamasi tietotyyppi tarkasteltavaksi.

Näyttökuva, jossa näkyy Suodattimet-ruutu.

Aikajanan tapahtumamerkinnät

Tapahtumamerkinnät Defender for Endpoint -laitteen aikajanalla auttavat suodattamaan ja organisoimaan tiettyjä tapahtumia, kun tutkit mahdollisia hyökkäyksiä.

Defender for Endpoint -laitteen aikajana tarjoaa aikajärjestyksessä näkymän laitteessa havaituista tapahtumista ja niihin liittyvistä hälytyksistä. Tämä tapahtumaluettelo antaa täyden näkyvyyden laitteessa havaittuihin tapahtumiin, tiedostoihin ja IP-osoitteisiin. Luettelo voi joskus olla pitkä. Laitteen aikajanan tapahtumamerkinnät auttavat seuraamaan tapahtumia, jotka voivat liittyä toisiinsa.

Kun olet käynyt laitteen aikajanan läpi, voit lajitella, suodattaa ja viedä tietyt tapahtumat, jotka merkitsit.

Kun siirryt laitteen aikajanalla, voit hakea ja suodattaa tiettyjä tapahtumia. Voit määrittää tapahtumamerkinnät:

  • Tärkeimpien tapahtumien korostaminen
  • Syväsukellusta vaativia merkintätapahtumia
  • Puhtaan rikkomuksen aikajanan luominen

Merkitse tapahtuma

  1. Etsi tapahtuma, jonka haluat merkitä.

  2. Valitse merkintäkuvake Merkintä-sarakkeesta.

Laitteen aikajanamerkintä

Näytä merkityt tapahtumat

  1. Ota aikajanan Suodattimet-osiossakäyttöön Merkityt tapahtumat.
  2. Valitse Käytä. Vain merkityt tapahtumat näytetään.

Voit käyttää lisää suodattimia napsauttamalla aikariviä. Tämä näyttää vain tapahtumat, jotka olivat ennen merkittyä tapahtumaa.

Näyttökuva, jossa näkyy laitteen aikajanamerkintä, jossa suodatin on käytössä.

Vihje

Haluatko tietää lisää? Ole yhteydessä Microsoft Security -yhteisöön teknologiayhteisössämme: Microsoft Defender for Endpoint Tech -yhteisössä.