Microsoft Defender for Endpoint Laitteet-luettelon laitteiden tutkiminen

Koskee seuraavia:

• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Tutki tietyssä laitteessa annettujen hälytysten tietoja tunnistaaksesi muita toimintoja tai tapahtumia, jotka saattavat liittyä ilmoitukseen tai rikkomuksen mahdolliseen laajuuteen.

Huomautus

Osana tutkinta- tai vastausprosessia voit kerätä tutkimuspaketin laitteesta. Näin: Kerää tutkimuspaketti laitteista.

Voit valita haluamasi laitteet aina, kun näet ne portaalissa, avataksesi yksityiskohtaisen raportin laitteesta. Kyseiset laitteet tunnistetaan seuraavilla alueilla:

• Laiteluettelo
• Ilmoitusjono
• Mikä tahansa yksittäinen ilmoitus
• Yksittäisen tiedoston tietonäkymä
• Mikä tahansa IP-osoite tai toimialueen tietojen näkymä

Kun tutkit tiettyä laitetta, näet:

• Laitteen tiedot
• Vastaustoiminnot
• Välilehdet (yleiskatsaus, hälytykset, aikajana, suojaussuositukset, ohjelmistovarasto, havaitut haavoittuvuudet, puuttuvat kilotavut)
• Kortit (aktiiviset hälytykset, kirjautuneet käyttäjät, suojauksen arviointi, laitteen kuntotila)

Huomautus

Tuotteen rajoitusten vuoksi laiteprofiili ei ota huomioon kaikkia kybertodisteita määritettäessä "Viimeksi nähty" -aikarajaa (kuten myös laitteen sivulla). Esimerkiksi Laite-sivun Viimeksi nähty -arvo saattaa näyttää vanhemman aikarajan, vaikka viimeisimmät ilmoitukset tai tiedot ovat saatavilla koneen aikajanalla.

Laitteen tiedot

Laitteen tiedot -osiossa on tietoja, kuten laitteen toimialue, käyttöjärjestelmä ja kuntotila. Jos laitteessa on saatavilla tutkimuspaketti, näet linkin, jonka avulla voit ladata paketin.

Vastaustoiminnot

Vastaustoiminnot suoritetaan tietyn laitesivun yläosassa, ja ne sisältävät seuraavat:

• Näytä kartassa
• Laitteen arvo
• Määritä kriittisyys
• Tunnisteiden hallinta
• Eristä laite
• Rajoita sovelluksen suoritusta
• Suorita virustarkistus
• Kerää tutkimuspaketti
• Aloita reaaliaikainen vastausistunto
• Aloita automatisoitu tutkinta
• Ota yhteyttä uhka-asiantuntijaan
• Toimintokeskus

Voit suorittaa vastaustoimintoja toimintokeskuksessa, tietyn laitteen sivulla tai tietyllä tiedostosivulla.

Lisätietoja laitteessa toimintojen toteuttamisesta on kohdassa Vastauksen suorittaminen laitteessa.

Lisätietoja on kohdassa Käyttäjäentiteettien tutkiminen.

Huomautus

Näytä kartassa ja määritä kriittisyys ovat Microsoft Exposure Managementin ominaisuuksia, jotka ovat tällä hetkellä julkisessa esikatselussa.

Välilehdet

Välilehdet tarjoavat olennaisia laitteeseen liittyviä suojaus- ja uhkien estotietoja. Kussakin välilehdessä voit mukauttaa näytettyjä sarakkeita valitsemalla Mukauta sarakkeita sarakeotsikoiden yläpuolella olevasta palkista.

Yleiskatsaus

Yleiskatsaus-välilehdessä näkyvät aktiivisten hälytysten kortit, kirjautuneet käyttäjät ja suojauksen arviointi.

Tapaukset ja hälytykset

Tapaukset ja hälytykset -välilehdessä on luettelo laitteeseen liittyvistä tapauksista ja hälytyksistä. Tämä luettelo on ilmoitusjonon suodatettu versio, ja se näyttää lyhyen kuvauksen tapahtumasta, ilmoituksesta, vakavuudesta (suuri, normaali, pieni, tiedottava), jonon tilasta (uusi, käynnissä, ratkaistu), luokituksesta (ei määritetty, väärä ilmoitus, tosi hälytys), tutkinnan tilasta, hälytysluokasta, joka vastaa ilmoituksesta, ja viimeisestä toiminnosta. Voit myös suodattaa hälytyksiä.

Kun ilmoitus on valittuna, näkyviin tulee pikaikkuna. Tässä paneelissa voit hallita ilmoitusta ja tarkastella lisätietoja, kuten tapausten numeroa ja liittyviä laitteita. Kerrallaan voidaan valita useita ilmoituksia.

Jos haluat nähdä ilmoituksen koko sivun näkymän, valitse ilmoituksen otsikko.

Aikajana

Aikajana-välilehdessä on kronologinen näkymä laitteessa havaituista tapahtumista ja niihin liittyvistä hälytyksistä. Tämä voi auttaa korreloimaan mitä tahansa tapahtumia, tiedostoja ja IP-osoitteita suhteessa laitteeseen.

Aikajanan avulla voit myös valikoivasti porautua tietyn ajanjakson aikana tapahtuneisiin tapahtumiin. Voit tarkastella laitteessa valitun ajanjakson aikana tapahtuneiden tapahtumien ajallista järjestystä. Voit hallita näkymää tarkemmin suodattamalla tapahtumaryhmien mukaan tai mukauttamalla sarakkeita.

Huomautus

Jotta palomuuritapahtumat tulevat näkyviin, sinun on otettava valvontakäytäntö käyttöön kohdassa Suodatuksen käyttöympäristön yhteys.

Palomuuri kattaa seuraavat tapahtumat:

• 5025 - palomuuripalvelu pysäytettiin
• 5031 – Sovellus on estänyt saapuvien yhteyksien hyväksymisen verkkoon
• 5157 - estetty yhteys

Toimintoja ovat esimerkiksi seuraavat:

• Haku tietyille tapahtumille
  • Etsi tiettyjä aikajanatapahtumia hakupalkin avulla.
• Suodata tapahtumia tietystä päivämäärästä
  • Valitse kalenterikuvake taulukon vasemmasta yläkulmasta, jos haluat näyttää edellisen päivän, viikon, 30 päivän tai mukautetun alueen tapahtumat. Laitteen aikajana on oletusarvoisesti määritetty näyttämään viimeisten 30 päivän tapahtumat.
  • Aikajanan avulla voit siirtyä tiettyyn hetkeen korostamalla osan. Aikajanan nuolet kiinnittävät automatisoituja tutkimuksia
• Yksityiskohtaisten laitteen aikajanatapahtumien vieminen
  • Vie laitteen aikajana nykyiselle päivämäärälle tai määritetylle päivämääräalueelle enintään seitsemän päivää.

Lisätietoja tietyistä tapahtumista on Lisätietoja-osiossa . Nämä tiedot vaihtelevat tapahtuman tyypin mukaan, esimerkiksi:

• Sovellussuoja sisältyy – eristetyn säilön rajoittama verkkoselaintapahtuma
• Aktiivinen uhka havaittu - uhkien havaitseminen tapahtui uhan ollessa käynnissä
• Korjaus epäonnistui - yritys korjata havaittu uhka käynnistettiin, mutta se epäonnistui
• Korjaus onnistui - havaittu uhka pysäytettiin ja puhdistettiin
• Käyttäjä ohitti varoituksen - Windows Defender käyttäjä hylkäsi SmartScreen-varoituksen ja ohitti sen
• Havaittiin epäilyttävä komentosarja - mahdollisesti haitallisia komentosarjoja löytyi käynnissä
• Hälytysluokka – jos tapahtuma johti hälytyksen luomiseen, hälytysluokka (esimerkiksi sivuttainen liike) annetaan

Tapahtuman tiedot

Valitse tapahtuma, jos haluat tarkastella tapahtuman olennaisia tietoja. Näyttöön avautuu paneeli, jossa näkyvät yleiset tapahtumatiedot. Kun käytettävissä ja tiedot ovat käytettävissä, näytetään myös kaavio, joka näyttää liittyvät entiteetit ja niiden suhteet.

Jos haluat tarkastaa tapahtuman ja siihen liittyvät tapahtumat tarkemmin, voit suorittaa nopeasti kehittyneen metsästyskyselyn valitsemalla Etsi aiheeseen liittyviä tapahtumia. Kysely palauttaa valitun tapahtuman ja luettelon muista tapahtumista, jotka tapahtuivat samaan aikaan samassa päätepisteessä.

Suojaussuositukset

Suojaussuositukset luodaan Microsoft Defender for Endpoint Haavoittuvuuden hallinta -ominaisuudesta. Suosituksen valitseminen näyttää paneelin, jossa voit tarkastella olennaisia tietoja, kuten suosituksen kuvausta ja mahdollisia riskejä, jotka liittyvät sen toteuttamiseen. Lisätietoja on kohdassa Suojaussuositus .

Suojauskäytännöt

Suojauskäytännöt-välilehdessä näkyvät päätepisteen suojauskäytännöt, joita käytetään laitteessa. Näet luettelon käytännöistä, tyypistä, tilasta ja viimeisestä sisäänkirjautumisajasta. Käytännön nimen valitseminen vie sinut käytännön tietosivulle, jossa voit tarkastella käytäntöasetusten tilaa, käytössä olevia laitteita ja määritettyjä ryhmiä.

Ohjelmistoluettelo

Ohjelmistovarasto-välilehden avulla voit tarkastella laitteen ohjelmistoja sekä mahdollisia heikkouksia tai uhkia. Valitsemalla ohjelmiston nimen siirryt ohjelmiston tietosivulle, jossa voit tarkastella suojaussuosituksia, havaittuja haavoittuvuuksia, asennettuja laitteita ja versiojakelua. Lisätietoja on kohdassa Ohjelmistovarasto .

Havaitut haavoittuvuudet

Löydetyt haavoittuvuudet -välilehti näyttää laitteessa havaittujen haavoittuvuuksien nimen, vakavuuden ja uhkan. Jos valitset tietyn haavoittuvuuden, näet kuvauksen ja tiedot.

Puuttuvat kilotavuja

Puuttuvat suorituskykyilmaisimet -välilehdessä on luettelo laitteen puuttuvista tietoturvapäivityksistä.

Kortit

Aktiiviset ilmoitukset

Azure Advanced Threat Protection -kortti näyttää korkean tason yleiskatsauksen laitteeseen liittyvistä hälytyksistä ja niiden riskitasosta, jos käytät Microsoft Defender for Identity-ominaisuutta ja aktiivisia ilmoituksia on olemassa. Lisätietoja on kohdassa Hälytykset poraudu alaspäin.

Huomautus

Sinun on otettava integrointi käyttöön sekä Microsoft Defender for Identity että Defender for Endpointissa, jotta voit käyttää tätä ominaisuutta. Defender for Endpointissa voit ottaa tämän ominaisuuden käyttöön lisäominaisuuksissa. Lisätietoja kehittyneiden ominaisuuksien käyttöönotosta on artikkelissa Kehittyneiden ominaisuuksien ottaminen käyttöön.

Kirjautuneet käyttäjät

Kirjautuneet käyttäjät -kortissa näkyy, kuinka monta käyttäjää on kirjautunut sisään viimeisten 30 päivän aikana yhdessä useimmin ja useimmin käyneiden käyttäjien kanssa. Kun valitset Näytä kaikki käyttäjät -linkin, näkyviin tulee tietoruutu, jossa näkyvät tiedot, kuten käyttäjätyyppi, kirjautumistyyppi ja se, milloin käyttäjä nähtiin ensimmäisen ja edellisen kerran. Lisätietoja on kohdassa Käyttäjäentiteettien tutkiminen.

Huomautus

Yleisin-käyttäjäarvo lasketaan vain sen perusteella, onko käyttäjä kirjautunut onnistuneesti sisään vuorovaikutteisesti. Kaikki käyttäjät -sivuruutu laskee kuitenkin kaikenlaisia käyttäjän kirjautumisia, joten sivuruudussa odotetaan esiintyvän useammin käyttäjiä, koska nämä käyttäjät eivät ehkä ole vuorovaikutteisia.

Suojausarvioinnit

Suojausarvioinnit-kortti näyttää yleisen altistumistason, suojaussuositukset, asennetut ohjelmistot ja havaitut haavoittuvuudet. Laitteen altistustaso määräytyy sen odottavien suojaussuositusten kumulatiivisen vaikutuksen perusteella.

Laitteen kuntotila

Laitteen kunto -kortti näyttää yhteenvedon kyseisen laitteen kuntoraportista. Yksi seuraavista viesteistä näkyy kortin yläreunassa laitteen yleisen tilan ilmaisemiseksi (lueteltu suurimmasta pienimpään prioriteettiin):

• Defenderin virustentorjunta ei ole aktiivinen
• Suojaustiedot eivät ole ajan tasalla
• Moduuli ei ole ajan tasalla
• Pikatarkistus epäonnistui
• Täysi tarkistus epäonnistui
• Käyttöympäristö ei ole ajan tasalla
• Suojaustietojen päivityksen tila on tuntematon
• Moduulin päivityksen tila on tuntematon
• Pikatarkistustila on tuntematon
• Täyden tarkistuksen tila on tuntematon
• Käyttöympäristön päivityksen tila on tuntematon
• Laite on ajan tasalla
• Tila ei ole käytettävissä macOS & Linuxissa

Muita tietoja kortissa ovat: viimeinen täysi tarkistus, viimeisin pikatarkistus, tietoturvatietojen päivitysversio, moduulin päivitysversio, käyttöympäristön päivitysversio ja Defenderin virustentorjuntatila.

Harmaa ympyrä ilmaisee, että tiedot ovat tuntemattomia.

Huomautus

MacOS- ja Linux-laitteiden yleinen tilasanoma näkyy tällä hetkellä tilana Ei käytettävissä macOS & Linuxissa. Tällä hetkellä tilan yhteenveto on käytettävissä vain Windows-laitteissa. Kaikki muut taulukossa olevat tiedot ovat ajan tasalla ja näyttävät kunkin laitteen kuntosignaalin yksittäiset tilat kaikissa tuetuissa ympäristöissä.

Jos haluat tarkastella laitteen kuntoraporttia tarkemmin, siirry kohtaan Raportit > Laitteiden kunto. Lisätietoja on artikkelissa Laitteen kunto- ja yhteensopivuusraportti Microsoft Defender for Endpoint.

Huomautus

Defenderin virustentorjuntatilan päivämäärä ja kellonaika eivät ole tällä hetkellä käytettävissä.

Aiheeseen liittyviä artikkeleita

• Microsoft Defender for Endpoint ilmoitusjonon tarkasteleminen ja järjestäminen
• Microsoft Defender for Endpoint ilmoitusten hallinta
• Microsoft Defender for Endpoint ilmoitusten tutkiminen
• Defender for Endpoint -hälytykseen liittyvän tiedoston tutkiminen
• Defender for Endpoint -hälytykseen liittyvän IP-osoitteen tutkiminen
• Defender for Endpoint -hälytykseen liittyvän toimialueen tutkiminen
• Käyttäjätilin tutkiminen Defender for Endpointissa
• Suojaussuositus
• Ohjelmistoluettelo

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.