Yleiskatsaus päätepisteiden tunnistamiseen ja vastaukseen
Koskee seuraavia:
Haluatko kokea Microsoft Defender for Endpointin? Rekisteröidy maksuttomaan kokeiluversioon.
Defender for Endpointin päätepisteiden tunnistus- ja vastaustoiminnot tarjoavat kehittyneitä hyökkäystunnistuksia, jotka ovat lähes reaaliaikaisia ja toiminnallisia. Suojausanalyytikot voivat priorisoida hälytyksiä tehokkaasti, saada näkyvyyttä murron koko laajuudesta ja ryhtyä toimiin uhkien korjaamiseksi.
Kun uhka havaitaan, järjestelmään luodaan hälytyksiä analyytikon tutkittavaksi. Ilmoitukset, joissa on samat hyökkäystekniikat tai jotka on määritetty samalle hyökkääjälle, koostetaan tapahtumaksi kutsuttuun entiteettiin. Koostamalla hälytyksiä näin analyytikot voivat yhdessä tutkia uhkia ja vastata niihin.
Huomautus
Defender for Endpoint -tunnistusta ei ole tarkoitettu valvonta- tai kirjausratkaisuksi, joka tallentaa kaikki tietyssä päätepisteessä tapahtuvat toiminnot. Anturillamme on sisäinen rajoitusmekanismi, joten identtisten toistuvien tapahtumien suuri määrä ei huku lokeihin.
Tärkeää
Defender for Endpoint Plan 1 ja Microsoft Defender for Business sisältävät vain seuraavat manuaaliset vastaustoiminnot:
- Suorita virustarkistus
- Eristä laite
- Pysäytä ja aseta tiedosto karanteeniin
- Lisää ilmaisin tiedoston estämiseksi tai sallimiseksi
"Oleta murros" -ajattelutavan innoittamana Defender for Endpoint kerää jatkuvasti käyttäytymiseen viittaavan kybertelemetrian. Tämä sisältää prosessitiedot, verkkotoiminnot, syväoptiikan ytimeen ja muistinhallintaan, käyttäjien kirjautumistoiminnot, rekisteri- ja tiedostojärjestelmän muutokset ja muut. Tiedot tallennetaan kuudeksi kuukaudeksi, joten analyytikko voi matkustaa ajassa taaksepäin hyökkäyksen alkuun. Analyytikko voi sitten pivotoida eri näkymissä ja lähestyä tutkimusta useiden vektoreiden kautta.
Vastaustoiminnot antavat sinulle mahdollisuuden korjata uhat nopeasti toimimalla niiden entiteettien mukaan, joihin ongelma vaikuttaa.
Tutustu myös seuraaviin ohjeartikkeleihin:
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.