Megosztás a következőn keresztül:

Incidensek vizsgálata a Végponthoz készült Microsoft Defender

  • Cikk

Érintett szolgáltatás:

Vizsgálja meg a hálózatot érintő incidenseket, értse meg, mit jelentenek, és a megoldásukhoz összegyűjtse a bizonyítékokat.

Az incidens kivizsgálásakor a következőt fogja látni:

  • Incidens részletei
  • Incidensekkel kapcsolatos megjegyzések és műveletek
  • Lapok (riasztások, eszközök, vizsgálatok, bizonyítékok, grafikon)

Incidens részleteinek elemzése

Tipp

2024 januárjában korlátozott ideig, amikor felkeresi az Incidensek oldalt, megjelenik a Defender Boxed. A Defender Boxed kiemeli a szervezet 2023-ban elért biztonsági sikereit, fejlesztéseit és válaszműveleteit. A Defender Boxed újbóli megnyitásához az Microsoft Defender portálon lépjen az Incidensek elemre, majd válassza a Saját Defender Dobozos lehetőséget.

Kattintson egy incidensre az Incidens panel megjelenítéséhez. Válassza az Incidensoldal megnyitása lehetőséget az incidens részleteinek és a kapcsolódó információk (riasztások, eszközök, vizsgálatok, bizonyítékok, grafikon) megtekintéséhez.

Az incidens részletei

Riasztások

Megvizsgálhatja a riasztásokat, és megtekintheti, hogyan lettek összekapcsolva egy incidensben. A riasztások incidensekbe vannak csoportosítva a következő okok alapján:

  • Automatizált vizsgálat – Az automatikus vizsgálat aktiválta a csatolt riasztást az eredeti riasztás vizsgálata során
  • Fájljellemzők – A riasztáshoz társított fájlok hasonló jellemzőkkel rendelkeznek
  • Manuális társítás – Egy felhasználó manuálisan kapcsolta össze a riasztásokat
  • Proxyidő – A riasztások ugyanazon az eszközön aktiválódtak egy bizonyos időkereten belül
  • Ugyanaz a fájl – A riasztáshoz társított fájlok pontosan megegyeznek
  • Azonos URL-cím – A riasztást kiváltó URL-cím pontosan ugyanaz

A Riasztások lap az incidens részleteinek oldalával, amelyen az látható, hogy a riasztások miért voltak összekapcsolva az adott incidensben

Riasztásokat is kezelhet, és megtekintheti a riasztások metaadatait, valamint egyéb információkat. További információ: Riasztások vizsgálata.

Eszközök

Megvizsgálhatja azokat az eszközöket is, amelyek egy adott incidens részei, vagy amelyek egy adott incidenshez kapcsolódnak. További információ: Eszközök vizsgálata.

Az Eszközök lap az incidens részleteinek lapján

Vizsgálatok

Válassza a Vizsgálatok lehetőséget a rendszer által az incidensriasztásokra válaszul indított összes automatikus vizsgálat megtekintéséhez.

A Vizsgálatok lap az incidens részleteinek oldalán

A bizonyítékokat átnézve

Végponthoz készült Microsoft Defender automatikusan megvizsgálja az incidensek által támogatott eseményeket és a riasztásokban szereplő gyanús entitásokat, és automatikusan válaszol, valamint információt nyújt a fontos fájlokról, folyamatokról, szolgáltatásokról és egyebekről.

Az elemzett entitások mindegyike fertőzöttként, szervizeltként vagy gyanúsként lesz megjelölve.

A Bizonyítékok lap az incidens részleteinek oldalán

Kapcsolódó kiberbiztonsági fenyegetések megjelenítése

Végponthoz készült Microsoft Defender összesíti a fenyegetésekkel kapcsolatos információkat egy incidensben, így láthatja a különböző adatpontokból származó mintákat és korrelációkat. Az ilyen korrelációt az incidensgráfon keresztül tekintheti meg.

Incidensgrafikon

A gráf a kiberbiztonsági támadás történetét meséli el. Például megmutatja, hogy mi volt a belépési pont, melyik eszközön figyelték meg a biztonsági rést vagy tevékenységet. Stb.

Az incidens grafikonja

Az incidensgrafikonon lévő körökre kattintva megtekintheti a kártékony fájlok részleteit, a kapcsolódó fájlészleléseket, azt, hogy hány példány volt világszerte, megfigyelték-e a szervezetében, ha igen, hány példányt.

Az incidens részleteinek oldala

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.