Eszközök vizsgálata a Végponthoz készült Microsoft Defender Eszközök listában

Érintett szolgáltatás:

• Végponthoz készült Microsoft Defender 2. csomag
• Microsoft Defender XDR

Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra

Vizsgálja meg egy adott eszközön létrehozott riasztás részleteit, hogy azonosítsa a riasztással vagy a biztonsági incidens lehetséges hatókörével kapcsolatos egyéb viselkedéseket vagy eseményeket.

Megjegyzés:

A vizsgálati vagy válaszfolyamat részeként vizsgálati csomagot gyűjthet egy eszközről. Így gyűjthet vizsgálati csomagot az eszközökről.

Az érintett eszközökön bármikor kiválaszthatja azokat, amikor megjelenik a portálon, és részletes jelentést nyithat meg az adott eszközről. Az érintett eszközöket a következő területeken azonosítjuk:

• Eszközök listája
• Értesítések várakozási sora
• Bármely egyéni riasztás
• Minden egyes fájl részleteinek nézete
• Bármely IP-cím vagy tartomány részletei nézet

Egy adott eszköz vizsgálatakor a következőt látja:

• Eszközadatok
• Válaszműveletek
• Lapok (áttekintés, riasztások, idővonal, biztonsági javaslatok, szoftverleltár, felderített biztonsági rések, hiányzó KB-k)
• Kártyák (aktív riasztások, bejelentkezett felhasználók, biztonsági értékelés, eszközállapot)

Megjegyzés:

A termékkorlátok miatt az eszközprofil nem veszi figyelembe az összes számítógépes bizonyítékot a "Last Seen" időkeret meghatározásakor (ahogy az az eszközoldalon is látható). Az Eszköz lapon például az "Utolsó látható" érték régebbi időkeretet jeleníthet meg, annak ellenére, hogy a gép idővonalán újabb riasztások vagy adatok érhetők el.

Eszközadatok

Az eszköz részletei szakasz olyan információkat tartalmaz, mint az eszköz tartománya, operációs rendszere és állapota. Ha elérhető vizsgálati csomag az eszközön, megjelenik egy hivatkozás, amely lehetővé teszi a csomag letöltését.

Válaszműveletek

A válaszműveletek egy adott eszközoldal tetején futnak, és a következőket tartalmazzák:

• Megtekintés térképen
• Eszközérték
• Kritikusság beállítása
• Címkék kezelése
• Eszköz elkülönítése
• Alkalmazásvégrehajtás korlátozása
• Víruskereső futtatása
• Vizsgálati csomag összegyűjtése
• Élő válaszmunkamenet kezdeményezése
• Automatizált vizsgálat kezdeményezése
• Egy kiberfenyegetés-szakértő felkeresése
• Műveletközpont

A válaszműveleteket a Műveletközpontban, egy adott eszközlapon vagy egy adott fájllapon hajthatja végre.

További információ arról, hogy miként hajthat végre műveletet egy eszközön: Válaszművelet végrehajtása egy eszközön.

További információ: Felhasználói entitások vizsgálata.

Megjegyzés:

A térképen való megtekintés és a kritikusság beállítása a Microsoft Exposure Management funkciói, amely jelenleg nyilvános előzetes verzióban érhető el.

Tabs

A fülek az eszközhöz kapcsolódó biztonsági és fenyegetésmegelőzési információkat nyújtanak. Minden lapon testre szabhatja a megjelenő oszlopokat az oszlopfejlécek feletti sáv Oszlopok testreszabása elemének kiválasztásával.

Áttekintés

Az Áttekintés lapon megjelennek az aktív riasztások, a bejelentkezett felhasználók és a biztonsági értékelés kártyái .

Incidensek és riasztások

Az Incidensek és riasztások lap az eszközhöz társított incidensek és riasztások listáját tartalmazza. Ez a lista a Riasztások üzenetsor szűrt verziója, amely rövid leírást tartalmaz az incidensről, a riasztásról, a súlyosságról (magas, közepes, alacsony, tájékoztató), az üzenetsorban lévő állapotról (új, folyamatban, megoldva), besorolásról (nincs beállítva, hamis riasztás, valódi riasztás), vizsgálati állapotról, riasztás kategóriájáról, a riasztás címzettjének és az utolsó tevékenységről. A riasztásokat szűrheti is.

Ha egy riasztás ki van jelölve, megjelenik egy úszó panel. Ezen a panelen kezelheti a riasztást, és további részleteket tekinthet meg, például az incidens számát és a kapcsolódó eszközöket. Egyszerre több riasztás is kiválasztható.

A riasztás teljes oldalnézetének megtekintéséhez válassza ki a riasztás címét.

Idővonal

Az Idősor lap időrendben jeleníti meg az eszközön megfigyelt eseményeket és a kapcsolódó riasztásokat. Ez segíthet korrelálni az eszközhöz kapcsolódó eseményeket, fájlokat és IP-címeket.

Az idősor lehetővé teszi az adott időszakon belül történt események szelektív lehatolását is. Megtekintheti az eszközön egy adott időszakban történt események időbeli sorrendjét. A nézet további szabályozásához szűrhet eseménycsoportok szerint, vagy testre szabhatja az oszlopokat.

Megjegyzés:

A tűzfalesemények megjelenítéséhez engedélyeznie kell a naplózási szabályzatot, lásd: Naplózási platform kapcsolata.

A tűzfal a következő eseményeket fedi le:

• 5025 – A tűzfalszolgáltatás leállt
• 5031 – Az alkalmazás blokkolta a bejövő kapcsolatok fogadását a hálózaton
• 5157 – blokkolt kapcsolat

Néhány funkció a következőket tartalmazza:

• Keresés adott eseményekhez
  • A keresősávon konkrét idősoreseményeket kereshet.
• Események szűrése egy adott dátumból
  • Válassza a naptár ikont a táblázat bal felső sarkában az elmúlt nap, hét, 30 nap vagy egyéni tartomány eseményeinek megjelenítéséhez. Alapértelmezés szerint az eszköz idővonala úgy van beállítva, hogy az elmúlt 30 nap eseményeit jelenítse meg.
  • Az idősor használatával a szakasz kiemelésével egy adott időpontra ugorhat. Az idővonalon lévő nyilak automatikus vizsgálatokat rögzítenek
• Részletes eszköz-idősoresemények exportálása
  • Exportálja az eszköz aktuális dátumának ütemtervét vagy egy megadott dátumtartományt legfeljebb hét napra.

Bizonyos eseményekről további információt a További információk szakaszban talál. Ezek a részletek az esemény típusától függően változnak, például:

• A Alkalmazásőr tartalmazza – a webböngésző eseményét egy elkülönített tároló korlátozta
• Aktív fenyegetés észlelve – a fenyegetés észlelése a fenyegetés futása közben történt
• A szervizelés sikertelen – az észlelt fenyegetés szervizelésére tett kísérlet meg lett hívva, de sikertelen volt
• A szervizelés sikeres volt – az észlelt fenyegetés le lett állítva és megtisztítva
• Felhasználó által kihagyott figyelmeztetés – a Windows Defender SmartScreen-figyelmeztetést egy felhasználó elutasította és felülírta
• Gyanús szkriptet észleltünk – egy potenciálisan rosszindulatú szkriptet észleltünk, amely fut
• A riasztási kategória – ha az esemény egy riasztás generálásához vezetett, a riasztási kategória (például oldalirányú mozgás) meg van adva

Esemény részletei

Válasszon ki egy eseményt az esemény releváns részleteinek megtekintéséhez. Megjelenik egy panel az általános eseményinformációk megjelenítéséhez. Ha alkalmazható, és rendelkezésre állnak adatok, a kapcsolódó entitásokat és azok kapcsolatait megjelenítő grafikon is megjelenik.

Az esemény és a kapcsolódó események további vizsgálatához gyorsan futtathat speciális veszélyforrás-keresési lekérdezést a Kapcsolódó események keresése keresés lehetőség kiválasztásával. A lekérdezés visszaadja a kiválasztott eseményt és az ugyanazon a végponton körülbelül egy időben történt egyéb események listáját.

Biztonsági javaslatok

A biztonsági javaslatok Végponthoz készült Microsoft Defender biztonságirés-kezelési képességéből jönnek létre. Ha kiválaszt egy javaslatot, megjelenik egy panel, ahol megtekintheti a vonatkozó részleteket, például a javaslat leírását és a nem életbe léptetéssel járó lehetséges kockázatokat. További részletekért lásd: Biztonsági javaslat .

Biztonsági házirendek

A Biztonsági szabályzatok lapon láthatók az eszközön alkalmazott végpontbiztonsági szabályzatok. Megjelenik a szabályzatok listája, a típus, az állapot és az utolsó bejelentkezés időpontja. A szabályzat nevének kiválasztásával a szabályzat részleteinek lapjára lép, ahol megtekintheti a szabályzatbeállítások állapotát, az alkalmazott eszközöket és a hozzárendelt csoportokat.

Szoftverkészlet

A Szoftverleltár lapon megtekintheti az eszközön található szoftvereket, valamint az esetleges gyengeségeket és fenyegetéseket. A szoftver nevének kiválasztásával megnyitja a szoftver részleteit tartalmazó oldalt, ahol megtekintheti a biztonsági javaslatokat, a felderített biztonsági réseket, a telepített eszközöket és a verzióterjesztést. Részletekért lásd: Szoftverleltár .

Felfedezett biztonsági rések

A Felderített biztonsági rések lapon látható az eszközön felderített biztonsági rések neve, súlyossága és fenyegetéselemzése. Ha kiválaszt egy adott biztonsági rést, megjelenik a leírás és a részletek.

Hiányzó KB-k

A Hiányzó adatbázisok lap az eszköz hiányzó biztonsági frissítéseit sorolja fel.

Kártyák

Aktív riasztások

Az Azure Advanced Threat Protection kártya magas szintű áttekintést nyújt az eszközhöz kapcsolódó riasztásokról és azok kockázati szintjéről, ha a Microsoft Defender for Identity funkciót használja, és vannak aktív riasztások. További információt a Riasztások részletezés című témakörben talál.

Megjegyzés:

A funkció használatához engedélyeznie kell az integrációt a Microsoft Defender for Identity és a Végponthoz készült Defenderen is. A Végponthoz készült Defenderben ezt a funkciót speciális funkciókban engedélyezheti. A speciális szolgáltatások engedélyezéséről további információt a Speciális szolgáltatások bekapcsolása című témakörben talál.

Bejelentkezett felhasználók

A Bejelentkezett felhasználók kártya megmutatja, hogy hány felhasználó jelentkezett be az elmúlt 30 napban, valamint a leggyakoribb és legkevésbé gyakori felhasználókat. A Minden felhasználó megtekintése hivatkozásra kattintva megnyílik a részletek panel, amely olyan információkat jelenít meg, mint a felhasználó típusa, a bejelentkezési típus, valamint a felhasználó első és utolsó megtekintése. További információ: Felhasználói entitások vizsgálata.

Megjegyzés:

A "Leggyakoribb" felhasználói érték kiszámítása csak azon felhasználók bizonyítéka alapján történik, akik sikeresen bejelentkeztek az interaktívan. A Minden felhasználó oldalpanel azonban mindenféle felhasználói bejelentkezést kiszámít, így várhatóan gyakrabban fognak megjelenni a felhasználók az oldalpanelen, mivel előfordulhat, hogy ezek a felhasználók nem interaktívak.

Biztonsági értékelések

A Biztonsági értékelések kártya a teljes expozíciós szintet, a biztonsági javaslatokat, a telepített szoftvereket és a felderített biztonsági réseket jeleníti meg. Az eszköz expozíciós szintjét a függőben lévő biztonsági javaslatok halmozott hatása határozza meg.

Eszközállapot

Az Eszközállapot kártya az adott eszköz összesített állapotjelentését jeleníti meg. Az alábbi üzenetek egyike jelenik meg a kártya tetején az eszköz általános állapotának jelzéséhez (a legmagasabbtól a legalacsonyabb prioritásig):

• A Defender víruskereső nem aktív
• A biztonsági intelligencia nem naprakész
• A motor nem naprakész
• A gyorsvizsgálat nem sikerült
• A teljes vizsgálat nem sikerült
• A platform nem naprakész
• A biztonsági intelligencia frissítési állapota ismeretlen
• A motorfrissítés állapota ismeretlen
• A gyorsvizsgálat állapota ismeretlen
• A teljes vizsgálat állapota ismeretlen
• A platformfrissítés állapota ismeretlen
• Az eszköz naprakész
• Az állapot nem érhető el macOS & Linux rendszeren

A kártyán található további információk közé tartozik a legutóbbi teljes vizsgálat, a legutóbbi gyorsvizsgálat, a biztonságiintelligencia-frissítés verziója, a motorfrissítés verziója, a platformfrissítés verziója és a Defender víruskereső mód.

A szürke kör azt jelzi, hogy az adatok ismeretlenek.

Megjegyzés:

A macOS- és Linux-eszközök általános állapotüzenete jelenleg "Az állapot nem érhető el macOS & Linux rendszeren" üzenet jelenik meg. Az állapotösszegzés jelenleg csak Windows-eszközök esetén érhető el. A táblázatban szereplő összes többi információ naprakész, hogy az egyes eszközállapot-jelzéseket az összes támogatott platformon megjelenítse.

Az eszközállapot-jelentés részletes megtekintéséhez lépjen a Jelentések > Eszközök állapota területre. További információ: Eszközállapot- és megfelelőségi jelentés Végponthoz készült Microsoft Defender.

Megjegyzés:

A Defender víruskereső mód dátuma és ideje jelenleg nem érhető el.

Kapcsolódó cikkek

• A Végponthoz készült Microsoft Defender-riasztások üzenetsorának megtekintése és rendszerezése
• Végponthoz készült Microsoft Defender-riasztások kezelése
• Végponthoz készült Microsoft Defender-riasztások vizsgálata
• Végponthoz készült Defender-riasztáshoz társított fájl vizsgálata
• Végponthoz készült Defender-riasztáshoz társított IP-cím vizsgálata
• Végponthoz készült Defender-riasztáshoz társított tartomány vizsgálata
• Felhasználói fiók vizsgálata a Végponthoz készült Defenderben
• Biztonsági javaslat
• Szoftverkészlet

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.