Laitteen entiteettisivu Microsoft Defenderissä
Microsoft Defender -portaalin laiteentiteettisivun avulla voit tutkia laiteentiteettejä. Sivu sisältää kaikki tärkeät tiedot tietystä laiteentiteetistä. Jos ilmoitus tai tapaus ilmaisee, että laite käyttäytyy epäilyttävästi tai saattaa olla vaarantunut, tutki laitteen tietoja tunnistaaksesi muita hälytykseen tai tapahtumaan mahdollisesti liittyviä toimintoja ja selvittääksesi rikkomuksen mahdollisen laajuuden. Voit myös käyttää laitteen entiteettisivua yleisten suojaustehtävien suorittamiseen sekä joihinkin vastaustoimintoihin tietoturvauhkien lieventämiseksi tai korjaamiseksi.
Tärkeää
Laitteen entiteettisivulla näytettävä sisältöjoukko saattaa hieman vaihdella sen mukaan, onko laite rekisteröitynyt Microsoft Defender for Endpointiin ja Microsoft Defender for Identityen.
Jos organisaatiosi on perehdyttänyt Microsoft Sentinelin Defender-portaaliin, näkyviin tulee lisätietoja.
Microsoft Sentinelissä laiteentiteettejä kutsutaan myös isäntäentiteeteiksi. Lisätietoja.
Microsoft Sentinel on nyt yleisesti saatavilla Microsoft unified security operations -ympäristössä Microsoft Defender -portaalissa. Lisätietoja on Microsoft Sentinel -artikkelissa Microsoft Defender -portaalissa.
Laitteen entiteetit löytyvät seuraavilta alueilta:
- Laitteet-luettelo Assets-kohdassa
- Ilmoitusjono
- Yksittäiset hälytykset tai tapahtumat
- Yksittäisen käyttäjän entiteettisivu
- Yksittäisen tiedoston tietonäkymä
- Mikä tahansa IP-osoite tai toimialueen tietojen näkymä
- Toimintoloki
- Kehittyneet metsästyskyselyt
- Toimintokeskus
Voit avata laitteen entiteettisivun valitsemalla laitteet aina, kun näet ne portaalissa. Näin saat lisätietoja laitteesta. Voit esimerkiksi nähdä tapahtuman hälytyksissä lueteltujen laitteiden tiedot Microsoft Defender -portaalissa kohdassa Tapaukset, & hälytykset > Tapaukset >TapausResurssien>> laitteet.
Laitteen entiteettisivu näyttää tiedot sarkainmuodossa. Tässä artikkelissa määritetään kussakin välilehdessä käytettävissä olevat tietotyypit ja myös toiminnot, joita voit suorittaa tietyssä laitteessa.
Seuraavat välilehdet näkyvät laitteen entiteettisivulla:
- Yleiskatsaus
- Tapaukset ja hälytykset
- Aikajana
- Suojaussuositukset
- Varastot
- Havaitut haavoittuvuudet
- Puuttuvat kilotavuja
- Suojauksen perustasot
- Suojauskäytännöt
- Sentinel-tapahtumat
Entiteettisivun ylätunniste
Entiteettisivun ylin osa sisältää seuraavat tiedot:
- Entiteetin nimi
- Riskin vakavuus, kriittisyys ja laitteen arvoilmaisimet
- Tunnisteet , joiden mukaan laite voidaan luokitella. Defender voi lisätä sen päätepisteelle, Defender for Identitylle tai käyttäjät. Microsoft Defender for Identity -tunnisteita ei voi muokata.
- Vastaustoiminnot ovat myös tässä. Lue lisää niistä alta.
Yleiskatsaus-välilehti
Oletusvälilehti on Yleiskatsaus. Se tarjoaa nopean katsauksen laitteen tärkeimpiin suojaustietoihin. Yleiskatsaus-välilehti sisältää laitteen tietojen sivupalkin ja koontinäytön, jossa jotkin kortit näyttävät korkean tason tietoja.
Laitteen tiedot
Sivupalkissa on lueteltu laitteen koko nimi ja altistustaso. Se tarjoaa myös joitakin tärkeitä perustietoja pienissä alakohdissa, joita voidaan laajentaa tai kutistaa, kuten:
Osa | Sisällytetyt tiedot |
---|---|
Näennäiskoneen tiedot | Koneiden ja toimialueiden nimet ja tunnukset, kunto- ja perehdytystilat, ensimmäisen ja viimeisen näkemän aikaleimat, IP-osoitteet ja paljon muuta |
DLP-käytännön synkronointitiedot | Tarvittaessa |
Määrityksen tila | Microsoft Defender for Endpoint -määrityksiä koskevat tiedot |
Pilviresurssin tiedot | Pilviympäristö, resurssitunnus, tilaustiedot ja paljon muuta |
Laitteisto ja laiteohjelmisto | Näennäiskoneen, suorittimen ja BIOSin tiedot ja paljon muuta |
Laitehallinta | Microsoft Defender for Endpoint -rekisteröinnin tila ja hallintatiedot |
Hakemistotiedot | UAC-merkinnät , palvelun päänimet ja ryhmän jäsenyydet. |
Koontinäyttö
Yleiskatsaus-välilehden pääosassa on useita koontinäytön tyyppisiä näyttökortteja:
- Laitteeseen liittyvät aktiiviset hälytykset ja riskitaso viimeisten kuuden kuukauden aikana vakavuuden mukaan ryhmiteltynä
- Suojausarvioinnit ja laitteen altistumistaso
- Kirjautuneet käyttäjät laitteessa viimeisten 30 päivän aikana
- Laitteen kuntotila ja muita tietoja laitteen uusimmista tarkistuksista.
Vihje
Altistustaso liittyy siihen, kuinka paljon laite noudattaa suojaussuosituksia, kun taas riskitaso lasketaan useiden tekijöiden perusteella, mukaan lukien aktiivisten hälytysten tyypit ja vakavuus.
Tapaukset ja hälytykset -välilehti
Tapaukset ja hälytykset -välilehti sisältää luettelon tapauksista, jotka sisältävät laitteessa annettuja hälytyksiä mistä tahansa useista Microsoft Defenderin tunnistuslähteistä, mukaan lukien, jos ne on otettu käyttöön, Microsoft Sentinelistä. Tämä luettelo on tapahtumajonon suodatettu versio, ja se näyttää lyhyen kuvauksen tapahtumasta tai hälytyksestä, sen vakavuudesta (suuri, normaali, pieni, tiedottava), sen tilasta jonossa (uusi, käynnissä, ratkaistu), sen luokituksesta (ei määritetty, väärä ilmoitus, tosi hälytys), tutkintatilasta, luokasta, joka on määritetty käsittelemään sitä, ja viimeisestä havaitusta toiminnasta.
Voit mukauttaa kullekin kohteelle näytettävät sarakkeet. Voit myös suodattaa hälytykset vakavuuden, tilan tai minkä tahansa muun näytön sarakkeen mukaan.
Entiteettisarake, johon vaikutus vaikuttaa, viittaa kaikkiin laitteen ja käyttäjän entiteetteihin, joihin tapahtumassa tai hälytyksessä viitattiin.
Kun tapaus tai hälytys on valittuna, esiin tulee pikaikkuna. Tässä paneelissa voit hallita tapausta tai ilmoitusta ja tarkastella lisätietoja, kuten tapausten/hälytysten numeroa ja liittyviä laitteita. Kerrallaan voidaan valita useita ilmoituksia.
Jos haluat nähdä koko sivun näkymän tapahtumasta tai ilmoituksesta, valitse sen otsikko.
Aikajana-välilehti
Aikajana-välilehdessä näkyy kronologinen näkymä kaikista tapahtumista, jotka on havaittu laitteessa. Tämä voi auttaa korreloimaan mitä tahansa tapahtumia, tiedostoja ja IP-osoitteita suhteessa laitteeseen.
Luettelossa näkyvien sarakkeiden valintaa voidaan mukauttaa. Oletussarakkeet sisältävät tapahtuman ajan, aktiivisen käyttäjän, toimintotyypin, liittyvät entiteetit (prosessit, tiedostot, IP-osoitteet) ja lisätietoja tapahtumasta.
Voit hallita ajanjaksoa, jonka tapahtumat näytetään liu'uttamalla ajanjakson reunoja sivun yläreunassa olevan yleisen aikajanakaavion mukaisesti. Voit myös valita ajanjakson luettelon yläosassa olevasta avattavasta valikosta (oletusarvo on 30 päivää). Voit hallita näkymää tarkemmin suodattamalla tapahtumaryhmien mukaan tai mukauttamalla sarakkeita.
Voit viedä enintään seitsemän päivän tapahtumat CSV-tiedostoon ladattavaksi.
Poraudu alaspäin yksittäisten tapahtumien tietoihin valitsemalla ja tapahtuma ja tarkastelemalla sen tietoja tuloksena saatavassa pikaikkunapaneelissa. Katso tapahtuman tiedot alta.
Huomautus
Jotta palomuuritapahtumat tulevat näkyviin, sinun on otettava valvontakäytäntö käyttöön kohdassa Suodatuksen käyttöympäristön yhteys.
Palomuuri kattaa seuraavat tapahtumat:
Tapahtuman tiedot
Valitse tapahtuma, jos haluat tarkastella tapahtuman olennaisia tietoja. Näyttöön avautuu pikaikkuna, jossa näkyy paljon lisätietoja tapahtumasta. Näytettävien tietojen tyypit riippuvat tapahtuman tyypistä. Kun käytettävissä ja tiedot ovat käytettävissä, saatat nähdä kaavion, joka näyttää liittyvät entiteetit ja niiden suhteet, kuten tiedostoketjun tai prosessit. Saatat myös nähdä yhteenvedon kuvauksen MITRE ATT&CK-taktiikoista ja -tekniikoista, jotka soveltuvat tapahtumaan.
Jos haluat tarkastaa tapahtuman ja siihen liittyvät tapahtumat tarkemmin, voit suorittaa nopeasti kehittyneen metsästyskyselyn valitsemalla Etsi aiheeseen liittyviä tapahtumia. Kysely palauttaa valitun tapahtuman ja luettelon muista tapahtumista, jotka tapahtuivat samaan aikaan samassa päätepisteessä.
Suojaussuositukset-välilehti
Suojaussuositukset-välilehdessä luetellaan toiminnot, jotka voit suorittaa laitteen suojaamiseksi. Tämän luettelon kohteen valitseminen avaa pikaikkunan, josta saat ohjeet suosituksen soveltamiseen.
Kuten edellisissäkin välilehdissä, näytettävien sarakkeiden valintaa voidaan mukauttaa.
Oletusnäkymä sisältää sarakkeita, jotka sisältävät yksityiskohtaiset tiedot käsiteltyistä suojauspuutteista, niihin liittyvästä uhasta, liittyvästä komponentista tai ohjelmistosta, johon uhka vaikuttaa, ja paljon muuta. Kohteet voidaan suodattaa suosituksen tilan mukaan.
Lue lisätietoja suojaussuosituksista.
Varastot-välilehti
Tässä välilehdessä näytetään neljän komponenttityypin varastot: ohjelmistot, haavoittuvat osat, selainlaajennukset ja varmenteet.
Ohjelmistoluettelo
Tässä kortissa luetellaan laitteeseen asennetut ohjelmistot.
Oletusnäkymä näyttää ohjelmistotoimittajan, asennetun versionumeron, tunnettujen ohjelmistojen heikkouksien määrän, uhkatiedot, tuotekoodin ja tunnisteet. Näytettävien kohteiden määrä ja näytettävät sarakkeet voidaan mukauttaa.
Kohteen valitseminen tästä luettelosta avaa pikaikkunan, joka sisältää lisätietoja valitusta ohjelmistosta sekä polun ja aikaleiman, kun ohjelmistoa viimeksi löydettiin.
Tämä luettelo voidaan suodattaa tuotekoodin, heikkouksien ja uhkien esiintymisen mukaan.
Haavoittuvat osat
Tässä kortissa on luettelo ohjelmisto-osista, jotka sisältävät haavoittuvuuksia.
Oletusnäkymä- ja suodatusasetukset ovat samat kuin ohjelmistossa.
Valitse kohde, jos haluat näyttää lisätietoja pikaikkunassa.
Selainlaajennukset
Tässä kortissa näkyvät laitteeseen asennetut selainlaajennukset. Näytetyt oletuskentät ovat laajennuksen nimi, selain, johon se on asennettu, versio, käyttöoikeusriski (laajennuksen pyytämien laitteiden tai sivustojen käyttöoikeuksien tyypin perusteella) ja tila. Vaihtoehtoisesti myös toimittaja voidaan näyttää.
Valitse kohde, jos haluat näyttää lisätietoja pikaikkunassa.
Todistukset
Tämä kortti näyttää kaikki laitteeseen asennetut varmenteet.
Oletusarvoisesti näytettävät kentät ovat varmenteen nimi, myöntämispäivämäärä, vanhentumispäivämäärä, avaimen koko, myöntäjä, allekirjoitusalgoritmi, avaimen käyttö ja esiintymien määrä.
Luettelo voidaan suodattaa tilan, itse allekirjoitetun tai ei, avaimen koon, allekirjoituksen hajautuksen ja avaimen käytön mukaan.
Valitse varmenne, jos haluat näyttää lisätietoja pikaikkunassa.
Havaitut haavoittuvuudet -välilehti
Tässä välilehdessä luetellaan kaikki yleiset haavoittuvuudet ja hyödynnykset, jotka voivat vaikuttaa laitteeseen.
Oletusnäkymässä luetellaan CVE:n vakavuus, CVE:hen liittyvä Common Vulnerability Score (CVSS), CVE:hen liittyvä ohjelmisto, kun CVE julkaistiin, kun CVE havaittiin ensimmäisen kerran ja päivitettiin viimeksi, sekä CVE:hen liittyvät uhat.
Kuten edellisissäkin välilehdissä, näytettävien sarakkeiden valintaa voidaan mukauttaa. Luettelo voidaan suodattaa vakavuuden, uhkatilan, laitteen altistumisen ja tunnisteiden mukaan.
Kohteen valitseminen tästä luettelosta avaa pikaikkunan, joka kuvaa CVE:ta.
KBS-välilehti puuttuu
Puuttuvat suorituskykyilmaisimet -välilehdessä on luettelo Kaikista Microsoft-päivityksistä, joita ei ole vielä otettu käyttöön laitteessa. Kyseiset "KB:t" ovat Knowledge Base -artikkeleita, joissa näitä päivityksiä kuvataan. esimerkiksi KB4551762.
Oletusnäkymässä on luettelo tietoturvatiedotteesta, joka sisältää päivitykset, käyttöjärjestelmän version, KB-tunnusnumeron, tuotteet, joihin tämä vaikuttaa, osoitetut CV:t ja tunnisteet.
Näytettävien sarakkeiden valintaa voidaan mukauttaa.
Kohteen valitseminen avaa pikaikkunan, joka linkittää päivitykseen.
Sentinel-tapahtumat-välilehti
Jos organisaatiosi on liittänyt Microsoft Sentinelin Defender-portaaliin, tämä lisävälilehti on laitteen entiteettisivulla. Tämä välilehti tuo Isäntä-entiteettisivun Microsoft Sentinelistä.
Sentinel-aikajana
Tällä aikajanalla näkyvät laitteen entiteettiin liittyvät hälytykset, jotka tunnetaan Microsoft Sentinelissä isäntäentiteettinä. Näitä ilmoituksia ovat esimerkiksi Tapaukset ja hälytykset -välilehdellä näkyvät hälytykset sekä ne, jotka Microsoft Sentinel on luonut kolmannen osapuolen tietolähteistä, muista kuin Microsoftin tietolähteistä.
Tämä aikajana näyttää myös kirjanmerkityt metsästykset muista tutkimuksista, jotka viittaavat tähän käyttäjäentiteettiin, ulkoisten tietolähteiden käyttäjän toimintatapahtumiin ja Microsoft Sentinelin poikkeamasääntöjen havaitsemiin epätavallisiin käyttäytymisiin.
Oivalluksia
Entiteetin merkitykselliset tiedot ovat Microsoftin suojaustutkijoiden määrittämiä kyselyjä, joiden avulla voit tutkia asiaa tehokkaammin ja tehokkaammin. Nämä merkitykselliset tiedot esittävät automaattisesti suuria kysymyksiä laitteen entiteetistä ja tarjoavat arvokkaita suojaustietoja taulukkomuotoisten tietojen ja kaavioiden muodossa. Merkitykselliset tiedot sisältävät kirjautumisia, ryhmien lisäyksiä, prosessin suorituksia, poikkeavia tapahtumia ja paljon muuta koskevia tietoja sekä kehittyneitä koneoppimisalgoritmeja poikkeavan käyttäytymisen havaitsemiseksi.
Seuraavassa on joitakin näytettyjä merkityksellisiä tietoja:
- Näyttökuva isännästä.
- Microsoft havaitsi prosesseja, joita Microsoft ei ole allekirjoittanut.
- Windowsin prosessin suoritustiedot.
- Windowsin kirjautumistoiminta.
- Tilien toiminnot.
- Tapahtumalokit tyhjennys isännässä.
- Ryhmän lisäykset.
- Isäntien, käyttäjien ja isäntien ryhmien luettelointi.
- Microsoft Defenderin sovellusohjausobjekti.
- Käsittele harvinaisuus entropy-laskutoimituksen avulla.
- Suojaustapahtuman poikkeavan suuri määrä.
- Katseluluettelon merkitykselliset tiedot (esikatselu).
- Windows Defenderin virustentorjuntatapahtumat.
Merkitykselliset tiedot perustuvat seuraaviin tietolähteisiin:
- Syslog (Linux)
- SecurityEvent (Windows)
- AuditLogs (Microsoft Entra -tunnus)
- SigninLogs (Microsoft Entra -tunnus)
- OfficeActivity (Office 365)
- BehaviorAnalytics (Microsoft Sentinel UEBA)
- Syke (Azure Monitor -agentti)
- CommonSecurityLog (Microsoft Sentinel)
Jos haluat tutustua tarkemmin johonkin tämän paneelin merkityksellisiin tietoihin, valitse merkityksellisiä tietoja sisältävä linkki. Linkki vie sinut Kehittyneen metsästyksen sivulle, jossa se näyttää kyselyn merkityksellisten tietojen pohjana sekä sen raakatulokset. Voit muokata kyselyä tai porautua tuloksiin laajentaaksesi tutkimustasi tai vain tyydyttääksesi uteliaisuutesi.
Vastaustoiminnot
Vastaustoiminnot tarjoavat pikakuvakkeita uhkien analysointiin, tutkimiseen ja suojaamiseen.
Tärkeää
- Vastaustoiminnot ovat käytettävissä vain, jos laite on rekisteröity Microsoft Defender for Endpointiin.
- Microsoft Defender for Endpointiin rekisteröidyissä laitteissa voi näkyä eri määrä vastaustoimintoja laitteen käyttöjärjestelmän ja versionumeron perusteella.
Vastaustoiminnot suoritetaan tietyn laitesivun yläosassa, ja ne sisältävät seuraavat:
Toiminta | Kuvaus |
---|---|
Laitteen arvo | |
Määritä kriittisyys | |
Tunnisteiden hallinta | Päivittää mukautetut tunnisteet, joita olet käyttänyt tässä laitteessa. |
Raporttilaitteen epätarkkuus | |
Suorita virustentorjuntatarkistus | Päivittää Microsoft Defenderin virustentorjuntaohjelman määritykset ja suorittaa heti virustentorjuntatarkistuksen. Valitse pikatarkistus- tai Täysi tarkistus -vaihtoehdon välillä. |
Tutkimuspaketin kerääminen | Kerää tietoja laitteesta. Kun tutkimus on valmis, voit ladata sen. |
Rajoita sovelluksen suoritusta | Estää Microsoftin allekirjoittamia sovelluksia suorittamasta. |
Aloita automatisoitu tutkinta | Tutkii ja korjaa uhat automaattisesti. Vaikka voit manuaalisesti käynnistää automaattisia tutkimuksia, jotka suoritetaan tältä sivulta, tietyt ilmoituskäytännöt käynnistävät automaattiset tutkimukset itse. |
Aloita reaaliaikainen vastausistunto | Lataa laitteelle etäliittymän perusteellista suojaustutkimusta varten. |
Eristä laite | Eristää laitteen organisaatiosi verkosta ja pitää sen yhteydessä Microsoft Defenderiin. Voit sallia Outlookin, Teamsin ja Skype for Businessin suorittamisen, kun laite on eristetty, viestintätarkoituksiin. |
Kysy Defenderin asiantuntijoilta | |
Toimintokeskus | Näyttää parhaillaan käynnissä olevien vastaustoimintojen tiedot. Käytettävissä vain, jos toinen toiminto on jo valittu. |
Lataa pakotetun julkaisun eristyskomentosarjasta | |
Sulkea pois | |
Mene metsästämään | |
Ota vianmääritystila käyttöön | |
Käytännön synkronointi |
Aiheeseen liittyvät artikkelit
- Microsoft Defenderin XDR-yleiskatsaus
- Ota käyttöön Microsoft Defender XDR
- Käyttäjän entiteettisivu Microsoft Defenderissä
- IP-osoite-entiteettisivu Microsoft Defenderissä
- Microsoft Defender XDR -integrointi Microsoft Sentinelin kanssa
- Yhdistä Microsoft Sentinel Microsoft Defender XDR:ään
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.