שתף באמצעות

ציר זמן של Microsoft Defender עבור מכשיר נקודת קצה

  • מאמר

חל על:

הערה

רוצה לחוות את Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.

ציר הזמן של מכשיר Defender for Endpoint עוזר לך לחקור ולחקור התנהגות חריגה במכשירים שלך במהירות רבה יותר. באפשרותך לסייר באירועים ו נקודות קצה ספציפיים כדי לסקור התקפות פוטנציאליות בארגון שלך. באפשרותך לסקור זמנים ספציפיים של כל אירוע, להגדיר דגלים להמשך טיפול עבור אירועים שעשויים להיות מחוברים ולסנן לטווחי תאריכים ספציפיים.

  • בורר טווח זמן מותאם אישית:

    צילום מסך של טווח הזמן המותאם אישית.

  • חוויית עץ תהליך – לוח צידי של אירוע:

    צילום מסך של הלוח הצידי של האירוע.

  • כל טכניקות MITRE מוצגות כאשר יש יותר מטכניקה קשורה אחת:

    צילום מסך של כל טכניקות MITRE.

  • אירועי ציר זמן מקושרים לדף המשתמש החדש:

    צילום מסך של אירועי ציר זמן המקושרים לדף המשתמש החדש.

    צילום מסך של אירועי ציר זמן המקושרים לדף המשתמש החדש 2.

  • מסננים מוגדרים גלויים כעת בחלק העליון של ציר הזמן:

    צילום מסך של מסננים מוגדרים.

טכניקות בציר הזמן של המכשיר

באפשרותך לקבל תובנות נוספות בחקירה על-ידי ניתוח האירועים שבהם התרחשו במכשיר מסוים. תחילה, בחר את המכשיר שמעניינים אותך מהרשימה מכשירים. בדף המכשיר, באפשרותך לבחור את הכרטיסיה ציר זמן כדי להציג את כל האירועים שהתרחשו במכשיר.

הכרת טכניקות בציר הזמן

חשוב

חלק מהמידע מתייחס לתכונת מוצר שהופצה מראש בתצוגה המקדימה הציבורית, שעשויה להשתנה באופן משמעותי לפני ההפצה המסחרית שלה. Microsoft אינה מבטיחה דבר, באופן מפורש או משתמע, באשר למידע המסופק כאן.

ב- Microsoft Defender עבור נקודת קצה, Techniques הם סוג נתונים נוסף בציר הזמן של האירוע. טכניקות מספקות תובנות נוספות על פעילויות המשויכות ל- MITRE ATT&CK טכניקות או תת-טכניות.

תכונה זו מפשטת את חוויית החקירה בכך שעזרה לאנליסטים להבין את הפעילויות שנצפתו במכשיר. לאחר מכן, אנליסטים יכולים להחליט להמשיך ולחקור.

במהלך תצוגה מקדימה, טכניקות זמינות כברירת מחדל והן מוצגות יחד עם אירועים כאשר ציר זמן של מכשיר מוצג.

צילום מסך של כל טכניקות MITRE.

הטכניקות מסומנות בטקסט מודגש ומופיעות עם סמל כחול בצד ימין. מזהה הפונקציה MITRE ATT&CK ואת שם הטכניקה מופיעים גם כתגיות תחת מידע נוסף.

אפשרויות חיפוש וייצוא זמינות גם עבור Techniques.

בדוק באמצעות החלונית הצדדית

בחר שיטה כדי לפתוח את החלונית הצדדית המתאימה. כאן תוכל לראות מידע נוסף ותובנות כגון טכניקות, טקטיקות ותיאורים קשורים של ATT&CK.

בחר את טכניקת התקיפה הספציפית כדי לפתוח את דף הטכניקה הקשור של ATT&CK שבו תוכל למצוא מידע נוסף על כך.

באפשרותך להעתיק פרטי ישות כאשר אתה רואה סמל כחול בצד שמאל. לדוגמה, כדי להעתיק SHA1 של קובץ קשור, בחר את סמל העמוד הכחול.

צילום מסך שמראה את פרטי ישות ההעתקה.

צילום מסך שמראה את פרטי החלונית הצדדית.

באפשרותך לבצע את אותה פעולה עבור שורות פקודה.

צילום מסך שמראה את האפשרות להעתיק שורת פקודה.

כדי להשתמש בחיפוש מתקדם לאיתור אירועים הקשורים לטכניקה שנבחרה, בחר חפש אירועים קשורים. פעולה זו מובילה לדף הציד המתקדם עם שאילתה כדי למצוא אירועים הקשורים לטכניקה.

צילום מסך שמראה את האפשרות 'חפש אירועים קשורים'.

הערה

ביצוע שאילתה באמצעות לחצן חפש אירועים קשורים מתוך חלונית צדדית של טכניקה מציג את כל האירועים הקשורים לטכניקה שזוהתה, אך אינו כולל את הטכניקה עצמה בתוצאות השאילתה.

מנהל משאבים של לקוח EDR (MsSense.exe)

כאשר לקוח ה- EDR במכשיר או נמוך מהמשאבים, הוא נכנס למצב קריטי כדי לשמור על פעולת העבודה הרגילה של המכשיר. המכשיר לא יעבד אירועים חדשים עד שללקוח EDR יחזור למצב רגיל. אירוע חדש מופיע בציר הזמן עבור מכשיר זה המציין שללקוח EDR עבר למצב קריטי .

כאשר השימוש במשאבים של לקוח EDR חוזר לרמות רגילות, הוא יחזור באופן אוטומטי למצב רגיל.

התאמה אישית של ציר הזמן של המכשיר שלך

בצד השמאלי העליון של ציר הזמן של המכשיר, באפשרותך לבחור טווח תאריכים כדי להגביל את מספר האירועים והטכניקות בציר הזמן.

באפשרותך להתאים אישית את העמודות לחשוף. באפשרותך גם לסנן אירועים המסומנים בדגל לפי סוג נתונים או לפי קבוצת אירועים.

בחר עמודות לחשוף

באפשרותך לבחור אילו עמודות לחשוף בציר הזמן על-ידי בחירה בלחצן בחר עמודות .

צילום מסך שמראה את החלונית שבה ניתן להתאים אישית עמודות.

משם תוכל לבחור איזו ערכת מידע לכלול.

סינון כדי להציג טכניקות או אירועים בלבד

כדי להציג רק אירועים או טכניקות, בחר מסננים מציר הזמן של המכשיר ובחר את סוג הנתונים המועדף עליך כדי להציג.

צילום מסך שמראה את החלונית 'מסננים'.

דגלי אירוע של ציר זמן

דגלי אירועים בציר הזמן של מכשיר Defender for Endpoint עוזרים לך לסנן ולארגן אירועים ספציפיים כאשר אתה חוקר התקפות פוטנציאליות.

ציר הזמן של מכשיר Defender for Endpoint מספק תצוגה כרונולוגית של האירועים והתראות משויכת שנצפתו במכשיר. רשימת אירועים זו מספקת ניראות מלאה של כל האירועים, הקבצים וכתובות ה- IP שנצפתו במכשיר. הרשימה עשויה לעתים להיות מאורך. דגלי אירוע בציר הזמן של המכשיר עוזרים לך לעקוב אחר אירועים שעשויים להיות קשורים.

לאחר שתעיין בציר זמן של מכשיר, תוכל למיין, לסנן ולייצא את האירועים הספציפיים שסומנו בדגל.

בעת ניווט בציר הזמן של המכשיר, באפשרותך לחפש ולסנן אירועים ספציפיים. באפשרותך להגדיר דגלי אירוע לפי:

  • סימון האירועים החשובים ביותר
  • סימון אירועים הדורשים צלילה עמוקה
  • בניית ציר זמן של הפרה נקייה

סימון אירוע בדגל

  1. אתר את האירוע שברצונך לסמן בדגל.

  2. בחר את סמל הדגל בעמודה דגל.

דגל ציר הזמן של המכשיר

הצגת אירועים מסומנים בדגל

  1. במקטע מסנני ציר זמן , הפוך אירועים מסומנים בדגל לזמינים.
  2. בחר החל. רק אירועים מסומנים בדגל מוצגים.

באפשרותך להחיל מסננים נוספים על-ידי לחיצה על סרגל הזמן. פעולה זו תציג רק אירועים לפני האירוע המסומן בדגל.

צילום מסך שמראה את דגל ציר הזמן של המכשיר כאשר המסנן מופעל.

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילה הטכנית שלנו: Microsoft Defender for Endpoint Tech Community.