Megosztás a következőn keresztül:

Végponthoz készült Microsoft Defender eszköz idővonala

  • Cikk

Érintett szolgáltatás:

Megjegyzés:

Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra

A Végponthoz készült Defender eszköz ütemterve segít gyorsabban kutatni és kivizsgálni az eszközökön a rendellenes viselkedést. Adott eseményeket és végpontokat vizsgálhat meg, hogy áttekintse a lehetséges támadásokat a szervezetben. Áttekintheti az egyes események adott időpontjait, jelölőket állíthat be a potenciálisan kapcsolódó események nyomon követéséhez, és adott dátumtartományokra szűrhet.

  • Egyéni időtartomány-választó:

    Képernyőkép az egyéni időtartományról.

  • Folyamatfa-élmény – eseményoldali panel:

    Képernyőkép az eseményoldali panelről.

  • Az összes MITRE-technika akkor jelenik meg, ha több kapcsolódó technika is létezik:

    Képernyőkép az összes MITRE technikáról.

  • Az idősoresemények az új felhasználói oldalhoz vannak csatolva:

    Képernyőkép az új felhasználói oldalhoz kapcsolódó idősoreseményekről.

    Képernyőkép az új felhasználóhoz csatolt idősoresemények 2. oldaláról.

  • A definiált szűrők mostantól láthatók az ütemterv tetején:

    A definiált szűrők képernyőképe.

Technikák az eszköz idővonalán

Egy adott eszközön történt események elemzésével további betekintést nyerhet a vizsgálatba. Először válassza ki a kívánt eszközt az Eszközök listából. Az eszközoldalon az Idősor fülre kattintva megtekintheti az eszközön történt összes eseményt.

Az idővonal technikáinak megismerése

Fontos

Bizonyos információk egy nyilvános előzetes verzióban elérhető, előzetes verziójú termékre vonatkoznak, amely a kereskedelmi forgalomba kerülés előtt jelentősen módosulhat. A Microsoft nem vállal semmilyen, kifejezett vagy vélelmezett jótállást az itt megadott információkra vonatkozóan.

A Végponthoz készült Microsoft Defenderben a technikák egy további adattípust jelentenek az esemény idővonalán. A technikák részletesebb betekintést nyújtanak a MITRE ATT&CK-technikákkal vagy -altechnológiákkal kapcsolatos tevékenységekbe.

Ez a funkció leegyszerűsíti a vizsgálati élményt azáltal, hogy segít az elemzőknek megérteni az eszközön megfigyelt tevékenységeket. Az elemzők ezután dönthetnek a további vizsgálat mellett.

Az előzetes verzióban a technikák alapértelmezés szerint elérhetők, és az eszköz idővonalának megtekintésekor megjelenő eseményekkel együtt jelennek meg.

Képernyőkép az összes MITRE technikáról.

A technikák félkövér szöveggel vannak kiemelve, és egy kék ikonnal jelennek meg a bal oldalon. A megfelelő MITRE ATT&CK-azonosító és -technika neve is címkékként jelenik meg a További információk területen.

A Keresési és exportálási lehetőségek a Technikák területen is elérhetők.

Vizsgálat az oldalsó panel használatával

Válasszon ki egy technikát a megfelelő oldalpanel megnyitásához. Itt további információkat és megállapításokat tekinthet meg, például a kapcsolódó ATT-&CK-technikákat, taktikákat és leírásokat.

Válassza ki az adott támadási technikát a kapcsolódó ATT&CK-technika oldal megnyitásához, ahol további információkat talál róla.

Az entitások adatait másolhatja, ha a jobb oldalon egy kék ikon látható. Egy kapcsolódó fájl SHA1 fájljának másolásához például válassza a kék oldal ikont.

Képernyőkép az entitások másolásának részleteiről.

Képernyőkép az oldalsó panel részleteiről.

Ugyanezt megteheti a parancssorok esetében is.

Képernyőkép a parancssor másolásának lehetőségéről.

Ha speciális veszélyforrás-kereséssel szeretné megkeresni a kiválasztott technikához kapcsolódó eseményeket, válassza a Kapcsolódó események keresése lehetőséget. Ez a speciális veszélyforrás-keresés lapjára vezet egy lekérdezéssel, amely megkeresi a technikához kapcsolódó eseményeket.

Képernyőkép a Kapcsolódó események keresése lehetőségről.

Megjegyzés:

A Kapcsolódó események keresése gombbal végzett lekérdezés egy Technika oldalpanelen megjeleníti az azonosított technikához kapcsolódó összes eseményt, de nem tartalmazza magát a technikát a lekérdezés eredményei között.

EDR-ügyfél (MsSense.exe) Resource Manager

Ha egy eszközön az EDR-ügyfél kevés erőforrással rendelkezik, kritikus módba lép az eszköz normál működésének fenntartása érdekében. Az eszköz nem dolgozza fel az új eseményeket, amíg az EDR-ügyfél vissza nem tér normál állapotba. Az eszköz idővonalán megjelenik egy új esemény, amely azt jelzi, hogy az EDR-ügyfél kritikus módra váltott.

Amikor az EDR-ügyfél erőforrás-használata visszaáll a normál szintre, automatikusan visszatér a normál módba.

Az eszköz idővonalának testreszabása

Az eszköz ütemtervének jobb felső sarkában dátumtartományt választhat az események és technikák számának korlátozásához az ütemtervben.

Testre szabhatja, hogy mely oszlopokat tegye közzé. Szűrhet a megjelölt eseményekre adattípus vagy eseménycsoport szerint is.

A közzéteendő oszlopok kiválasztása

Az Oszlopok kiválasztása gombra kattintva kiválaszthatja, hogy mely oszlopokat tegye közzé az ütemtervben.

Képernyőkép az oszlopok testreszabására szolgáló panelről.

Itt kiválaszthatja, hogy mely információhalmazt szeretné belefoglalni.

Szűrés csak technikák vagy események megtekintéséhez

Ha csak az eseményeket vagy technikákat szeretné megtekinteni, válassza a Szűrők lehetőséget az eszköz idővonalán, és válassza ki a megtekinteni kívánt Adattípust.

Képernyőkép a Szűrők panelről.

Idősor eseményjelölői

A Végponthoz készült Defender eszköz ütemtervének eseményjelzői segítenek szűrni és rendszerezni az adott eseményeket a lehetséges támadások kivizsgálásakor.

A Végponthoz készült Defender eszköz idővonala időrendben jeleníti meg az eszközön megfigyelt eseményeket és a kapcsolódó riasztásokat. Ez az eseménylista teljes körű betekintést nyújt az eszközön megfigyelt eseményekbe, fájlokba és IP-címekbe. A lista néha hosszadalmas is lehet. Az eszköz idővonalának eseményjelzői segítenek a kapcsolódó események nyomon követésében.

Miután végighaladt az eszköz idővonalán, rendezheti, szűrheti és exportálhatja a megjelölt eseményeket.

Az eszköz idővonalán navigálva adott eseményekre kereshet és szűrhet. Az eseményjelölőket a következőkkel állíthatja be:

  • A legfontosabb események kiemelése
  • Részletes elemzést igénylő események megjelölése
  • Tiszta szabálysértési ütemterv létrehozása

Esemény megjelölése

  1. Keresse meg a megjelölni kívánt eseményt.

  2. Válassza a jelölő ikont a Jelölő oszlopban.

Az eszköz idővonal-jelzője

Megjelölt események megtekintése

  1. Az idősor Szűrők szakaszában engedélyezze a megjelölt eseményeket.
  2. Válassza az Alkalmaz lehetőséget. Csak megjelölt események jelennek meg.

Az idősávra kattintva további szűrőket alkalmazhat. Ez csak a megjelölt esemény előtti eseményeket jeleníti meg.

Az eszköz idővonal-jelzőjének képernyőképe, amelyen a szűrő be van kapcsolva.

Tipp

Szeretne többet megtudni? Vegye fel a kapcsolatot a Microsoft Security közösségével a technikai közösségünkben: Microsoft Defender for Endpoint Tech Community.