Végponthoz készült Microsoft Defender eszköz idővonala
Érintett szolgáltatás:
Megjegyzés:
Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra
A Végponthoz készült Defender eszköz ütemterve segít gyorsabban kutatni és kivizsgálni az eszközökön a rendellenes viselkedést. Adott eseményeket és végpontokat vizsgálhat meg, hogy áttekintse a lehetséges támadásokat a szervezetben. Áttekintheti az egyes események adott időpontjait, jelölőket állíthat be a potenciálisan kapcsolódó események nyomon követéséhez, és adott dátumtartományokra szűrhet.
Egyéni időtartomány-választó:
Folyamatfa-élmény – eseményoldali panel:
Az összes MITRE-technika akkor jelenik meg, ha több kapcsolódó technika is létezik:
Az idősoresemények az új felhasználói oldalhoz vannak csatolva:
A definiált szűrők mostantól láthatók az ütemterv tetején:
Technikák az eszköz idővonalán
Egy adott eszközön történt események elemzésével további betekintést nyerhet a vizsgálatba. Először válassza ki a kívánt eszközt az Eszközök listából. Az eszközoldalon az Idősor fülre kattintva megtekintheti az eszközön történt összes eseményt.
Az idővonal technikáinak megismerése
Fontos
Bizonyos információk egy nyilvános előzetes verzióban elérhető, előzetes verziójú termékre vonatkoznak, amely a kereskedelmi forgalomba kerülés előtt jelentősen módosulhat. A Microsoft nem vállal semmilyen, kifejezett vagy vélelmezett jótállást az itt megadott információkra vonatkozóan.
A Végponthoz készült Microsoft Defenderben a technikák egy további adattípust jelentenek az esemény idővonalán. A technikák részletesebb betekintést nyújtanak a MITRE ATT&CK-technikákkal vagy -altechnológiákkal kapcsolatos tevékenységekbe.
Ez a funkció leegyszerűsíti a vizsgálati élményt azáltal, hogy segít az elemzőknek megérteni az eszközön megfigyelt tevékenységeket. Az elemzők ezután dönthetnek a további vizsgálat mellett.
Az előzetes verzióban a technikák alapértelmezés szerint elérhetők, és az eszköz idővonalának megtekintésekor megjelenő eseményekkel együtt jelennek meg.
A technikák félkövér szöveggel vannak kiemelve, és egy kék ikonnal jelennek meg a bal oldalon. A megfelelő MITRE ATT&CK-azonosító és -technika neve is címkékként jelenik meg a További információk területen.
A Keresési és exportálási lehetőségek a Technikák területen is elérhetők.
Vizsgálat az oldalsó panel használatával
Válasszon ki egy technikát a megfelelő oldalpanel megnyitásához. Itt további információkat és megállapításokat tekinthet meg, például a kapcsolódó ATT-&CK-technikákat, taktikákat és leírásokat.
Válassza ki az adott támadási technikát a kapcsolódó ATT&CK-technika oldal megnyitásához, ahol további információkat talál róla.
Az entitások adatait másolhatja, ha a jobb oldalon egy kék ikon látható. Egy kapcsolódó fájl SHA1 fájljának másolásához például válassza a kék oldal ikont.
Ugyanezt megteheti a parancssorok esetében is.
Kapcsolódó események vizsgálata
Ha speciális veszélyforrás-kereséssel szeretné megkeresni a kiválasztott technikához kapcsolódó eseményeket, válassza a Kapcsolódó események keresése lehetőséget. Ez a speciális veszélyforrás-keresés lapjára vezet egy lekérdezéssel, amely megkeresi a technikához kapcsolódó eseményeket.
Megjegyzés:
A Kapcsolódó események keresése gombbal végzett lekérdezés egy Technika oldalpanelen megjeleníti az azonosított technikához kapcsolódó összes eseményt, de nem tartalmazza magát a technikát a lekérdezés eredményei között.
EDR-ügyfél (MsSense.exe) Resource Manager
Ha egy eszközön az EDR-ügyfél kevés erőforrással rendelkezik, kritikus módba lép az eszköz normál működésének fenntartása érdekében. Az eszköz nem dolgozza fel az új eseményeket, amíg az EDR-ügyfél vissza nem tér normál állapotba. Az eszköz idővonalán megjelenik egy új esemény, amely azt jelzi, hogy az EDR-ügyfél kritikus módra váltott.
Amikor az EDR-ügyfél erőforrás-használata visszaáll a normál szintre, automatikusan visszatér a normál módba.
Az eszköz idővonalának testreszabása
Az eszköz ütemtervének jobb felső sarkában dátumtartományt választhat az események és technikák számának korlátozásához az ütemtervben.
Testre szabhatja, hogy mely oszlopokat tegye közzé. Szűrhet a megjelölt eseményekre adattípus vagy eseménycsoport szerint is.
A közzéteendő oszlopok kiválasztása
Az Oszlopok kiválasztása gombra kattintva kiválaszthatja, hogy mely oszlopokat tegye közzé az ütemtervben.
Itt kiválaszthatja, hogy mely információhalmazt szeretné belefoglalni.
Szűrés csak technikák vagy események megtekintéséhez
Ha csak az eseményeket vagy technikákat szeretné megtekinteni, válassza a Szűrők lehetőséget az eszköz idővonalán, és válassza ki a megtekinteni kívánt Adattípust.
Idősor eseményjelölői
A Végponthoz készült Defender eszköz ütemtervének eseményjelzői segítenek szűrni és rendszerezni az adott eseményeket a lehetséges támadások kivizsgálásakor.
A Végponthoz készült Defender eszköz idővonala időrendben jeleníti meg az eszközön megfigyelt eseményeket és a kapcsolódó riasztásokat. Ez az eseménylista teljes körű betekintést nyújt az eszközön megfigyelt eseményekbe, fájlokba és IP-címekbe. A lista néha hosszadalmas is lehet. Az eszköz idővonalának eseményjelzői segítenek a kapcsolódó események nyomon követésében.
Miután végighaladt az eszköz idővonalán, rendezheti, szűrheti és exportálhatja a megjelölt eseményeket.
Az eszköz idővonalán navigálva adott eseményekre kereshet és szűrhet. Az eseményjelölőket a következőkkel állíthatja be:
- A legfontosabb események kiemelése
- Részletes elemzést igénylő események megjelölése
- Tiszta szabálysértési ütemterv létrehozása
Esemény megjelölése
Keresse meg a megjelölni kívánt eseményt.
Válassza a jelölő ikont a Jelölő oszlopban.
Megjelölt események megtekintése
- Az idősor Szűrők szakaszában engedélyezze a megjelölt eseményeket.
- Válassza az Alkalmaz lehetőséget. Csak megjelölt események jelennek meg.
Az idősávra kattintva további szűrőket alkalmazhat. Ez csak a megjelölt esemény előtti eseményeket jeleníti meg.
Tipp
Szeretne többet megtudni? Vegye fel a kapcsolatot a Microsoft Security közösségével a technikai közösségünkben: Microsoft Defender for Endpoint Tech Community.