Eszközentitás lap a Microsoft Defenderben
A Microsoft Defender portál eszközentitás-oldala segít az eszközentitások vizsgálatában. Az oldal az adott eszközentitásra vonatkozó összes fontos információt tartalmazza. Ha egy riasztás vagy incidens azt jelzi, hogy egy eszköz gyanúsan viselkedik, vagy feltörték, vizsgálja meg az eszköz részleteit, hogy azonosítsa a riasztással vagy incidenssel kapcsolatos egyéb viselkedéseket vagy eseményeket, és felderítse az incidens lehetséges hatókörét. Az eszközentitás oldalán gyakori biztonsági feladatokat, valamint a biztonsági fenyegetések mérséklésére vagy elhárítására szolgáló válaszműveleteket is végrehajthat.
Fontos
Az eszköz entitáslapján megjelenő tartalomkészlet kissé eltérhet attól függően, hogy az eszköz regisztrálva van-e a Végponthoz készült Microsoft Defenderben és a Microsoft Defender for Identityben.
Ha a szervezete előkészítette a Microsoft Sentinelt a Defender portálra, további információk jelennek meg.
A Microsoft Sentinelben az eszközentitásokat gazdaentitásoknak is nevezik. További információ.
A Microsoft Sentinel mostantól általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.
Az eszközentitások a következő területeken találhatók:
- Eszközök lista az Eszközök területen
- Értesítések várakozási sora
- Minden egyéni riasztás/incidens
- Bármely egyéni felhasználói entitás oldala
- Minden egyes fájl részleteinek nézete
- Bármely IP-cím vagy tartomány részletei nézet
- Tevékenységnapló
- Speciális keresési lekérdezések
- Műveletközpont
A portálon bármikor kiválaszthat eszközöket az eszköz entitásoldalának megnyitásához, amely további részleteket jelenít meg az eszközről. Az incidensek riasztásaiban szereplő eszközök adatait például a Microsoft Defender portál Incidensek & riasztások > Incidensek >incidenseszközök>> eszközei című szakaszában tekintheti meg.
Az eszközentitás lap lapja többlapos formában jeleníti meg az információkat. Ez a cikk az egyes lapokon elérhető információtípusokat, valamint az adott eszközön elvégezhető műveleteket ismerteti.
Az eszköz entitáslapján a következő fülek jelennek meg:
- Áttekintés
- Incidensek és riasztások
- Idővonal
- Biztonsági javaslatok
- Készletek
- Felfedezett biztonsági rések
- Hiányzó KB-k
- Biztonsági alapkonfigurációk
- Biztonsági házirendek
- Sentinel-események
Entitás oldalfejléce
Az entitásoldal legfelső szakasza a következő részleteket tartalmazza:
- Entitás neve
- Kockázati súlyosság, kritikusság és eszközérték-mutatók
- Címkék , amelyek alapján az eszköz besorolható. Hozzáadhatja a Végponthoz készült Defendert, az Identitáshoz készült Defendert vagy a felhasználókat. A Microsoft Defender for Identity címkéi nem szerkeszthetők.
- Itt találhatók a válaszműveletek is. Ezekről az alábbiakban olvashat bővebben.
Áttekintés lap
Az alapértelmezett lap az Áttekintés. Gyors áttekintést nyújt az eszköz legfontosabb biztonsági adatairól. Az Áttekintés lap az eszközadatok oldalsávját és egy irányítópultot tartalmaz, amelyen néhány kártya magas szintű információkat jelenít meg.
Eszközadatok
Az oldalsáv az eszköz teljes nevét és expozíciós szintjét jeleníti meg. Emellett néhány fontos alapvető információt is tartalmaz kis alszakaszokban, amelyek kibonthatók vagy összecsukhatók, például:
Szakasz | Tartalmazott információk |
---|---|
Virtuális gép részletei | Gép- és tartománynevek és -azonosítók, állapot- és előkészítési állapotok, az első és utolsó látható időbélyegek, AZ IP-címek és egyebek |
DLP-szabályzat szinkronizálásának részletei | Ha releváns |
Konfiguráció állapota | A Végponthoz készült Microsoft Defender konfigurációjának részletei |
Felhőbeli erőforrás részletei | Felhőplatform, erőforrás-azonosító, előfizetési adatok és egyebek |
Hardver és belső vezérlőprogram | Virtuális gépekkel, processzorokkal és BIOS-okkal kapcsolatos információk és egyebek |
Eszközkezelés | Végponthoz készült Microsoft Defender regisztrációjának állapota és felügyeleti adatai |
Címtáradatok | UAC-jelzők , egyszerű szolgáltatásnevek és csoporttagságok. |
Irányítópult
Az Áttekintés lap fő része több irányítópult típusú megjelenítési kártyát jelenít meg:
- Az eszközt érintő aktív riasztások és kockázati szint az elmúlt hat hónapban, súlyosság szerint csoportosítva
- Az eszköz biztonsági értékelései és expozíciós szintje
- Bejelentkezett felhasználók az eszközön az elmúlt 30 napban
- Az eszköz állapotával és az eszköz legutóbbi vizsgálatával kapcsolatos egyéb információk.
Tipp
Az expozíciós szint azt határozza meg, hogy az eszköz mennyire felel meg a biztonsági javaslatoknak, míg a kockázati szint kiszámítása számos tényező alapján történik, beleértve az aktív riasztások típusait és súlyosságát.
Incidensek és riasztások lap
Az Incidensek és riasztások lap az eszközön kiváltott riasztásokat tartalmazó incidensek listáját tartalmazza, amely a Microsoft Defender számos észlelési forrásból származik, beleértve a Microsoft Sentinelt is, ha előkészítették. Ez a lista az incidensek várólistájának szűrt verziója, és megjeleníti az incidens vagy riasztás rövid leírását, súlyosságát (magas, közepes, alacsony, tájékoztató), állapotát az üzenetsorban (új, folyamatban, feloldva), besorolását (nincs beállítva, hamis riasztás, valódi riasztás), vizsgálati állapotot, kategóriát, a címzetthez rendelt kategóriát és a legutóbbi megfigyelt tevékenységet.
Testre szabhatja, hogy mely oszlopok jelenjenek meg az egyes elemekhez. A riasztásokat súlyosság, állapot vagy a megjelenítés bármely más oszlopa alapján is szűrheti.
Az érintett entitások oszlop az incidensben vagy riasztásban hivatkozott összes eszköz- és felhasználói entitásra vonatkozik.
Incidens vagy riasztás kiválasztásakor egy úszó panel jelenik meg. Ezen a panelen kezelheti az incidenst vagy riasztást, és további részleteket tekinthet meg, például az incidensek/riasztások számát és a kapcsolódó eszközöket. Egyszerre több riasztás is kiválasztható.
Egy incidens vagy riasztás teljes oldalnézetének megtekintéséhez válassza ki a címét.
Ütemterv lap
Az Idősor lap az eszközön megfigyelt összes esemény időrendi nézetét jeleníti meg. Ez segíthet korrelálni az eszközhöz kapcsolódó eseményeket, fájlokat és IP-címeket.
A listában megjelenő oszlopok közül mindkettő testre szabható. Az alapértelmezett oszlopok az esemény időpontját, az aktív felhasználót, a művelet típusát, a társított entitásokat (folyamatokat, fájlokat, IP-címeket) és az esemény további információit sorolják fel.
Az események megjelenítésének időtartamát úgy szabályozhatja, hogy az időszak határait az oldal tetején található teljes idősor-diagramon csúsztatjuk. A lista tetején található legördülő listából is választhat egy időszakot (az alapértelmezett érték 30 nap). A nézet további szabályozásához szűrhet eseménycsoportok szerint, vagy testre szabhatja az oszlopokat.
Akár hét napnyi eseményt is exportálhat egy CSV-fájlba letöltésre.
Az egyes események részleteinek részletezését úgy végezheti el, hogy kiválasztja és megtekinti az esemény részleteit az eredményül kapott úszó panelen. Lásd alább az esemény részleteit .
Megjegyzés:
A tűzfalesemények megjelenítéséhez engedélyeznie kell a naplózási szabályzatot, lásd: Naplózási platform kapcsolata.
A tűzfal a következő eseményeket fedi le:
Esemény részletei
Válasszon ki egy eseményt az esemény releváns részleteinek megtekintéséhez. Megjelenik egy úszó panel, amely sokkal több információt jelenít meg az eseményről. A megjelenített információtípusok az esemény típusától függenek. Ha alkalmazható, és rendelkezésre állnak adatok, megjelenhet egy grafikon, amely a kapcsolódó entitásokat és azok kapcsolatait, például egy fájl- vagy folyamatláncot ábrázol. Az eseményre vonatkozó MITRE ATT&CK-taktikák és technikák összefoglaló leírása is megjelenhet.
Az esemény és a kapcsolódó események további vizsgálatához gyorsan futtathat speciális veszélyforrás-keresési lekérdezést a Kapcsolódó események keresése keresés lehetőség kiválasztásával. A lekérdezés visszaadja a kiválasztott eseményt és az ugyanazon a végponton körülbelül egy időben történt egyéb események listáját.
Biztonsági javaslatok lap
A Biztonsági javaslatok lapon az eszköz védelme érdekében elvégezhető műveletek találhatók. Ha kiválaszt egy elemet a listában, megjelenik egy úszó panel, ahol útmutatást kaphat a javaslat alkalmazásához.
Az előző lapokhoz hasonlóan a megjelenített oszlopok kiválasztása is testre szabható.
Az alapértelmezett nézet olyan oszlopokat tartalmaz, amelyek részletesen ismertetik a javított biztonsági hiányosságokat, a kapcsolódó fenyegetést, a fenyegetés által érintett kapcsolódó összetevőt vagy szoftvert stb. Az elemek a javaslat állapota alapján szűrhetők.
További információ a biztonsági javaslatokról.
Leltárak lap
Ez a lap négy összetevőtípus leltárait jeleníti meg: szoftverek, sebezhető összetevők, böngészőbővítmények és tanúsítványok.
Szoftverkészlet
Ez a kártya felsorolja az eszközön telepített szoftvereket.
Az alapértelmezett nézet megjeleníti a szoftver gyártóját, a telepített verziószámot, az ismert szoftvergyengeségeket, a fenyegetéselemzéseket, a termékkódot és a címkéket. A megjelenített elemek száma és a megjelenített oszlopok száma is testre szabható.
Ha kiválaszt egy elemet a listából, megnyílik egy úszó panel, amely további részleteket tartalmaz a kiválasztott szoftverről, valamint a szoftver legutóbbi megtalálási időpontjának elérési útját és időbélyegét.
Ez a lista termékkód, gyengeségek és fenyegetések jelenléte alapján szűrhető.
Sebezhető összetevők
Ez a kártya felsorolja a biztonsági réseket tartalmazó szoftverösszetevőket.
Az alapértelmezett nézet és szűrési beállítások ugyanazok, mint a szoftverek esetében.
Jelöljön ki egy elemet, hogy további információkat jelenítsen meg egy úszó panelen.
Böngészőbővítmények
Ezen a kártyán az eszközön telepített böngészőbővítmények láthatók. Az alapértelmezett mezők a bővítmény neve, a böngésző, amelyre telepítve van, a verzió, az engedélykockázat (a bővítmény által kért eszközökhöz vagy webhelyekhez való hozzáférés típusa alapján) és az állapot. Igény szerint a szállító is megjeleníthető.
Jelöljön ki egy elemet, hogy további információkat jelenítsen meg egy úszó panelen.
Tanúsítványok
Ez a kártya megjeleníti az eszközön telepített összes tanúsítványt.
Az alapértelmezés szerint megjelenített mezők a tanúsítvány neve, a kibocsátás dátuma, a lejárat dátuma, a kulcs mérete, a kiállító, az aláírási algoritmus, a kulcshasználat és a példányok száma.
A lista szűrhető állapot, önaláírt vagy nem, kulcsméret, aláíráskivonat és kulcshasználat alapján.
Válasszon ki egy tanúsítványt, hogy további információkat jelenítsen meg egy úszó panelen.
Felderített biztonsági rések lap
Ez a lap felsorolja az eszközt esetlegesen érintő gyakori biztonsági réseket és biztonsági réseket (CVE-ket).
Az alapértelmezett nézet felsorolja a CVE súlyosságát, a közös biztonságirés-pontszámot (CVSS), a CVE-hez kapcsolódó szoftvert, a CVE közzétételét, a CVE első észlelésének és utolsó frissítésének, valamint a CVE-hez kapcsolódó fenyegetéseket.
Az előző lapokhoz hasonlóan a megjelenítendő oszlopok kiválasztása is testre szabható. A lista súlyosság, fenyegetésállapot, eszközexpozíció és címkék alapján szűrhető.
Ha kiválaszt egy elemet a listából, megnyílik a CVE-t leíró úszó panel.
Hiányzó KBs lap
A Missing KBs (Hiányzó kbs ) lap felsorolja az összes olyan Microsoft-frissítést, amelyet még nem kell alkalmazni az eszközre. A szóban forgó tudásbáziscikkek olyan tudásbáziscikkek, amelyek ismertetik ezeket a frissítéseket; például KB4551762.
Az alapértelmezett nézet felsorolja a frissítéseket, az operációs rendszer verzióját, a TUDÁSBÁZIS-azonosító számát, az érintett termékeket, a címzett CVES-eket és a címkéket tartalmazó közleményt.
A megjelenítendő oszlopok kiválasztása testre szabható.
Ha kijelöl egy elemet, megnyílik egy úszó panel, amely a frissítésre hivatkozik.
Sentinel-események lap
Ha a szervezete előkészítette a Microsoft Sentinelt a Defender portálra, ez a további lap az eszköz entitáslapján található. Ez a lap importálja a Gazdagép entitáslapot a Microsoft Sentinelből.
Sentinel idővonala
Ez az idővonal az eszközentitáshoz társított riasztásokat jeleníti meg, amely a Microsoft Sentinelben gazdagépentitásként ismert. Ezek a riasztások közé tartoznak az Incidensek és riasztások lapon, valamint a Microsoft Sentinel által külső, nem Microsoft-adatforrásokból létrehozott riasztások.
Ez az idősor a felhasználói entitásra hivatkozó más vizsgálatok könyvjelzővel rendelkező vadászatait , a külső adatforrásokból származó felhasználói tevékenységeseményeket és a Microsoft Sentinel anomáliaszabályai által észlelt szokatlan viselkedéseket is megjeleníti.
Betekintést
Az entitáselemzések a Microsoft biztonsági kutatói által definiált lekérdezések, amelyek segítenek a hatékonyabb és hatékonyabb vizsgálatban. Ezek az elemzések automatikusan felteszik az eszköz entitásával kapcsolatos fontos kérdéseket, és táblázatos adatok és diagramok formájában nyújtanak értékes biztonsági információkat. Az elemzések többek között a bejelentkezésekkel, csoporthozzáadásokkal, folyamatvégrehajtásokkal, rendellenes eseményekkel és egyebekkel kapcsolatos adatokat, valamint fejlett gépi tanulási algoritmusokat tartalmaznak a rendellenes viselkedés észleléséhez.
Az alábbiakban néhány megállapítás látható:
- Képernyőkép a gazdagépről.
- A Microsoft által aláíratlan folyamatok észlelhetők.
- A Windows folyamatvégrehajtási adatai.
- Windows bejelentkezési tevékenység.
- Műveletek a fiókokon.
- A gazdagépen törölt eseménynaplók.
- Csoportbeadások.
- Gazdagépek, felhasználók és csoportok számbavétele a gazdagépen.
- Microsoft Defender alkalmazásvezérlő.
- Folyamat ritkasága entrópiaszámítással.
- Rendellenesen magas számú biztonsági esemény.
- Figyelőlista-elemzések (előzetes verzió).
- Windows Defender víruskereső események.
Az elemzések a következő adatforrásokon alapulnak:
- Syslog (Linux)
- SecurityEvent (Windows)
- AuditLogs (Microsoft Entra ID)
- SigninLogs (Microsoft Entra ID)
- OfficeActivity (Office 365)
- BehaviorAnalytics (Microsoft Sentinel UEBA)
- Szívverés (Azure Monitor-ügynök)
- CommonSecurityLog (Microsoft Sentinel)
Ha további elemzéseket szeretne végezni ezen a panelen, válassza az elemzéshez tartozó hivatkozást. A hivatkozás a Speciális veszélyforrás-keresés oldalra irányítja, ahol megjeleníti a megállapítás alapjául szolgáló lekérdezést és annak nyers eredményeit. Módosíthatja a lekérdezést, vagy részletezheti az eredményeket a vizsgálat kibontásához, vagy csak kielégítheti a kíváncsiságát.
Válaszműveletek
A válaszműveletek billentyűparancsokat kínálnak a fenyegetések elemzéséhez, kivizsgálásához és elleni védekezéshez.
Fontos
- A válaszműveletek csak akkor érhetők el, ha az eszköz regisztrálva van a Végponthoz készült Microsoft Defenderben.
- A Végponthoz készült Microsoft Defenderben regisztrált eszközök különböző számú válaszműveletet jeleníthetnek meg az eszköz operációs rendszere és verziószáma alapján.
A válaszműveletek egy adott eszközoldal tetején futnak, és a következőket tartalmazzák:
Művelet | Leírás |
---|---|
Eszközérték | |
Kritikusság beállítása | |
Címkék kezelése | Frissíti az eszközön alkalmazott egyéni címkéket. |
Eszköz pontatlanságának jelentése | |
Víruskereső vizsgálatának futtatása | Frissíti a Microsoft Defender víruskereső definícióit, és azonnal futtat egy víruskereső-vizsgálatot. Válasszon a Gyorsvizsgálat vagy a Teljes vizsgálat lehetőség közül. |
Vizsgálati csomag összegyűjtése | Információkat gyűjt az eszközről. A vizsgálat befejezése után letöltheti. |
Alkalmazásvégrehajtás korlátozása | Megakadályozza, hogy a Microsoft által aláírt alkalmazások fussanak. |
Automatizált vizsgálat kezdeményezése | A fenyegetések automatikus vizsgálata és elhárítása. Bár ezen az oldalon manuálisan is indíthat automatizált vizsgálatokat, bizonyos riasztási szabályzatok önállóan indítják el az automatikus vizsgálatokat. |
Élő válaszmunkamenet kezdeményezése | Betölt egy távoli rendszerhéjat az eszközön a részletes biztonsági vizsgálatokhoz. |
Eszköz elkülönítése | Elkülöníti az eszközt a szervezet hálózatától, miközben a Microsoft Defenderhez csatlakozik. Dönthet úgy, hogy engedélyezi az Outlook, a Teams és a Skype Vállalati verzió futtatását, miközben az eszköz el van különítve kommunikációs célokra. |
Kérdés feltevése Defender-szakértőknek | |
Műveletközpont | Az aktuálisan futó válaszműveletekkel kapcsolatos információkat jeleníti meg. Csak akkor érhető el, ha már ki van jelölve egy másik művelet. |
Kényszerített kiadás letöltése elkülönítési szkriptből | |
Kizár | |
Go hunt | |
Hibaelhárítási mód bekapcsolása | |
Szabályzatszinkronizálás |
Kapcsolódó témakörök
- A Microsoft Defender XDR áttekintése
- A Microsoft Defender XDR bekapcsolása
- Felhasználói entitás lap a Microsoft Defenderben
- IP-cím entitáslapja a Microsoft Defenderben
- A Microsoft Defender XDR és a Microsoft Sentinel integrációja
- A Microsoft Sentinel csatlakoztatása Microsoft Defender XDR-hez
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.