Microsoft Defender for Endpoint -laitteen aikajana
Koskee seuraavia:
Huomautus
Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.
Defender for Endpoint -laitteen aikajanan avulla voit tutkia ja tutkia laitteiden poikkeavia toimintoja entistä nopeammin. Voit tutustua tiettyihin tapahtumiin ja päätepisteisiin ja tarkastella mahdollisia hyökkäyksiä organisaatiossasi. Voit tarkastella kunkin tapahtuman tiettyjä aikoja, määrittää merkintöjä mahdollisesti yhdistettyjen tapahtumien seurantaan ja suodattaa tiettyihin päivämääräalueisiin.
Mukautettu aika-alueen valitsin:
Prosessipuukokemus – tapahtuman sivupaneeli:
Kaikki MITRE-tekniikat näytetään, kun on olemassa useampi kuin yksi liittyvä tekniikka:
Aikajanan tapahtumat on linkitetty uuteen käyttäjäsivuun:
Määritetyt suodattimet näkyvät nyt aikajanan yläreunassa:
Laitteen aikajanan tekniikat
Voit saada lisätietoja tutkimuksesta analysoimalla tapahtumia, jotka tapahtuivat tietyssä laitteessa. Valitse ensin haluamasi laite Laitteet-luettelosta. Laitteen sivulla voit valita Aikajana-välilehden ja tarkastella kaikkia laitteessa tapahtuneita tapahtumia.
Tutustu aikajanan tekniikoihin
Tärkeää
Jotkin tiedot liittyvät aiemman tuotteen ominaisuuteen julkisessa esikatselussa, jota voidaan muuttaa huomattavasti ennen sen kaupallista julkaisua. Microsoft ei anna nimenomaisia eikä oletettuja takuita tässä annetuista tiedoista.
Microsoft Defender for Endpointissa tekniikat ovat tapahtuman aikajanalla oleva toinen tietotyyppi. Tekniikat tarjoavat enemmän merkityksellisiä tietoja MITRE ATT&CK-tekniikoihin tai -alitoimintoihin liittyvistä toiminnoista.
Tämä ominaisuus yksinkertaistaa tutkimuskokemusta auttamalla analyytikoita ymmärtämään laitteessa havaittuja toimia. Analyytikot voivat sitten päättää tutkia asiaa tarkemmin.
Esikatselun aikana Tekniikat ovat oletusarvoisesti käytettävissä ja näytetään yhdessä tapahtumien kanssa, kun laitteen aikajanaa tarkastellaan.
Tekniikat on korostettu lihavoidulla tekstillä, ja ne näkyvät sinisenä kuvakkeena vasemmalla. Vastaava MITRE ATT&CK ID ja tekniikan nimi näkyvät myös tunnisteina Kohdassa Lisätietoja.
Haku- ja vientiasetukset ovat käytettävissä myös tekniikoille.
Tutki sivuruudun avulla
Valitse Tekniikka avataksesi sitä vastaavan sivuruudun. Tässä näet lisätietoja ja merkityksellisiä tietoja, kuten att-&CK-tekniikoita, taktiikoita ja kuvauksia.
Valitse tietty Hyökkäystekniikka avataksesi liittyvän ATT&CK-tekniikkasivun, josta löydät lisätietoja siitä.
Voit kopioida entiteetin tiedot, kun oikealla on sininen kuvake. Jos haluat esimerkiksi kopioida liittyvän tiedoston SHA1:n, valitse sinisen sivun kuvake.
Voit tehdä saman komentoriveille.
Liittyvien tapahtumien tutkiminen
Jos haluat käyttää kehittynyttä metsästystä valittuun tekniikkaan liittyvien tapahtumien löytämiseksi, valitse Metsästä liittyviä tapahtumia. Tämä johtaa kehittyneelle metsästyssivulle, jossa on kysely Tekniikkaan liittyvien tapahtumien löytämiseksi.
Huomautus
Kyselyt Tekniikka-puolen ruudun Etsi aiheeseen liittyviä tapahtumia - painikkeella näyttää kaikki tunnistettuun tekniikkaan liittyvät tapahtumat, mutta itse tekniikka ei sisälly kyselyn tuloksiin.
EDR-asiakasohjelman (MsSense.exe) Resource Manager
Kun laitteen EDR-asiakasohjelmassa resurssit ovat vähissä, se siirtyy kriittiseen tilaan laitteen normaalin toimintatavan ylläpitämiseksi. Laite ei käsittele uusia tapahtumia, ennen kuin EDR-asiakas palaa normaaliin tilaan. Laitteen aikajanaan tulee näkyviin uusi tapahtuma, joka ilmaisee, että EDR-asiakas siirtyi kriittiseen tilaan.
Kun EDR-asiakkaan resurssien käyttö palautuu normaalille tasolle, se palautuu automaattisesti normaaliin tilaan.
Laitteen aikajanan mukauttaminen
Laitteen aikajanan oikeassa yläkulmassa voit valita päivämääräalueen, joka rajoittaa aikajanan tapahtumien ja tekniikoiden määrää.
Voit mukauttaa, mitkä sarakkeet palstalla. Voit myös suodattaa merkityt tapahtumat tietotyypin tai tapahtumaryhmän mukaan.
Valitse palstat
Voit valita, mitkä sarakkeet näkyvät aikajanalla, valitsemalla Valitse sarakkeet -painikkeen.
Sieltä voit valita sisällytettävät tiedot.
Suodata vain tarkastelemaan tekniikoita tai tapahtumia
Jos haluat tarkastella vain tapahtumia tai tekniikoita, valitse Suodattimet laitteen aikajanalta ja valitse haluamasi tietotyyppi tarkasteltavaksi.
Aikajanan tapahtumamerkinnät
Tapahtumamerkinnät Defender for Endpoint -laitteen aikajanalla auttavat suodattamaan ja organisoimaan tiettyjä tapahtumia, kun tutkit mahdollisia hyökkäyksiä.
Defender for Endpoint -laitteen aikajana tarjoaa aikajärjestyksessä näkymän laitteessa havaituista tapahtumista ja niihin liittyvistä hälytyksistä. Tämä tapahtumaluettelo antaa täyden näkyvyyden laitteessa havaittuihin tapahtumiin, tiedostoihin ja IP-osoitteisiin. Luettelo voi joskus olla pitkä. Laitteen aikajanan tapahtumamerkinnät auttavat seuraamaan tapahtumia, jotka voivat liittyä toisiinsa.
Kun olet käynyt laitteen aikajanan läpi, voit lajitella, suodattaa ja viedä tietyt tapahtumat, jotka merkitsit.
Kun siirryt laitteen aikajanalla, voit hakea ja suodattaa tiettyjä tapahtumia. Voit määrittää tapahtumamerkinnät:
- Tärkeimpien tapahtumien korostaminen
- Syväsukellusta vaativia merkintätapahtumia
- Puhtaan rikkomuksen aikajanan luominen
Merkitse tapahtuma
Etsi tapahtuma, jonka haluat merkitä.
Valitse merkintäkuvake Merkintä-sarakkeesta.
Näytä merkityt tapahtumat
- Ota aikajanan Suodattimet-osiossakäyttöön Merkityt tapahtumat.
- Valitse Käytä. Vain merkityt tapahtumat näytetään.
Voit käyttää lisää suodattimia napsauttamalla aikariviä. Tämä näyttää vain tapahtumat, jotka olivat ennen merkittyä tapahtumaa.
Vihje
Haluatko tietää lisää? Ole yhteydessä Microsoft Security -yhteisöön teknologiayhteisössämme: Microsoft Defender for Endpoint Tech -yhteisössä.