Megosztás a következőn keresztül:

Eszközentitás lap a Microsoft Defender

  • Cikk
  • A következőre érvényes::
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Az eszközentitások Microsoft Defender portálon található oldala segít az eszközentitások vizsgálatában. Az oldal az adott eszközentitásra vonatkozó összes fontos információt tartalmazza. Ha egy riasztás vagy incidens azt jelzi, hogy egy eszköz gyanúsan viselkedik, vagy feltörték, vizsgálja meg az eszköz részleteit, hogy azonosítsa a riasztással vagy incidenssel kapcsolatos egyéb viselkedéseket vagy eseményeket, és felderítse az incidens lehetséges hatókörét. Az eszközentitás oldalán gyakori biztonsági feladatokat, valamint a biztonsági fenyegetések mérséklésére vagy elhárítására szolgáló válaszműveleteket is végrehajthat.

Fontos

Az eszköz entitáslapján megjelenő tartalomkészlet kissé eltérhet attól függően, hogy az eszköz regisztrálva van-e Végponthoz készült Microsoft Defender és Microsoft Defender for Identity.

Ha a szervezete előkészítette a Microsoft Sentinelt a Defender portálra, további információk jelennek meg.

A Microsoft Sentinelben az eszközentitásokat gazdaentitásoknak is nevezik. További információ.

A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform nyilvános előzetes verziójának részeként érhető el a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Az eszközentitások a következő területeken találhatók:

  • Eszközök lista az Eszközök területen
  • Értesítések várakozási sora
  • Minden egyéni riasztás/incidens
  • Bármely egyéni felhasználói entitás oldala
  • Minden egyes fájl részleteinek nézete
  • Bármely IP-cím vagy tartomány részletei nézet
  • Tevékenységnapló
  • Speciális keresési lekérdezések
  • Műveletközpont

A portálon bármikor kiválaszthat eszközöket az eszköz entitásoldalának megnyitásához, amely további részleteket jelenít meg az eszközről. Az incidensek riasztásai között szereplő eszközök adatait például az Incidensek & > az Incidensek >incidenseszközök>> eszköz Microsoft Defender portálon tekintheti meg.

Képernyőkép egy incidens Felhasználók lapjáról a Microsoft Defender portálon.

Az eszközentitás lap lapja többlapos formában jeleníti meg az információkat. Ez a cikk az egyes lapokon elérhető információtípusokat, valamint az adott eszközön elvégezhető műveleteket ismerteti.

Az eszköz entitáslapján a következő fülek jelennek meg:

Entitás oldalfejléce

Az entitásoldal legfelső szakasza a következő részleteket tartalmazza:

  • Entitás neve
  • Kockázati súlyosság, kritikusság és eszközérték-mutatók
  • Címkék , amelyek alapján az eszköz besorolható. Hozzáadhatja a Végponthoz készült Defendert, az Identitáshoz készült Defendert vagy a felhasználókat. A Microsoft Defender for Identity címkéi nem szerkeszthetők.
  • Itt találhatók a válaszműveletek is. Ezekről az alábbiakban olvashat bővebben.

Áttekintés lap

Az alapértelmezett lap az Áttekintés. Gyors áttekintést nyújt az eszköz legfontosabb biztonsági adatairól. Az Áttekintés lap az eszközadatok oldalsávját és egy irányítópultot tartalmaz, amelyen néhány kártya magas szintű információkat jelenít meg.

Eszközadatok

Az oldalsáv az eszköz teljes nevét és expozíciós szintjét jeleníti meg. Emellett néhány fontos alapvető információt is tartalmaz kis alszakaszokban, amelyek kibonthatók vagy összecsukhatók, például:

Szakasz Tartalmazott információk
Virtuális gép részletei Gép- és tartománynevek és -azonosítók, állapot- és előkészítési állapotok, az első és utolsó látható időbélyegek, AZ IP-címek és egyebek
DLP-szabályzat szinkronizálásának részletei Ha releváns
Konfiguráció állapota A Végponthoz készült Microsoft Defender konfigurációval kapcsolatos részletek
Felhőbeli erőforrás részletei Felhőplatform, erőforrás-azonosító, előfizetési adatok és egyebek
Hardver és belső vezérlőprogram Virtuális gépekkel, processzorokkal és BIOS-okkal kapcsolatos információk és egyebek
Eszközkezelés Végponthoz készült Microsoft Defender regisztrációs állapotra és felügyeleti adatokra
Címtáradatok UAC-jelzők , egyszerű szolgáltatásnevek és csoporttagságok.

Irányítópult

Az Áttekintés lap fő része több irányítópult típusú megjelenítési kártyát jelenít meg:

  • Az eszközt érintő aktív riasztások és kockázati szint az elmúlt hat hónapban, súlyosság szerint csoportosítva
  • Az eszköz biztonsági értékelései és expozíciós szintje
  • Bejelentkezett felhasználók az eszközön az elmúlt 30 napban
  • Az eszköz állapotával és az eszköz legutóbbi vizsgálatával kapcsolatos egyéb információk.

Tipp

Az expozíciós szint azt határozza meg, hogy az eszköz mennyire felel meg a biztonsági javaslatoknak, míg a kockázati szint kiszámítása számos tényező alapján történik, beleértve az aktív riasztások típusait és súlyosságát.

Képernyőkép az eszköz entitáslapjának Áttekintés lapjáról a Microsoft Defender portálon.

Incidensek és riasztások lap

Az Incidensek és riasztások lap az eszközön kiváltott riasztásokat tartalmazó incidensek listáját tartalmazza, amelyek számos Microsoft Defender észlelési forrásból származnak, beleértve a Microsoft Sentinelt is, ha előkészítették. Ez a lista az incidensek várólistájának szűrt verziója, és megjeleníti az incidens vagy riasztás rövid leírását, súlyosságát (magas, közepes, alacsony, tájékoztató), állapotát az üzenetsorban (új, folyamatban, feloldva), besorolását (nincs beállítva, hamis riasztás, valódi riasztás), vizsgálati állapotot, kategóriát, a címzetthez rendelt kategóriát és a legutóbbi megfigyelt tevékenységet.

Testre szabhatja, hogy mely oszlopok jelenjenek meg az egyes elemekhez. A riasztásokat súlyosság, állapot vagy a megjelenítés bármely más oszlopa alapján is szűrheti.

Az érintett entitások oszlop az incidensben vagy riasztásban hivatkozott összes eszköz- és felhasználói entitásra vonatkozik.

Incidens vagy riasztás kiválasztásakor egy úszó panel jelenik meg. Ezen a panelen kezelheti az incidenst vagy riasztást, és további részleteket tekinthet meg, például az incidensek/riasztások számát és a kapcsolódó eszközöket. Egyszerre több riasztás is kiválasztható.

Egy incidens vagy riasztás teljes oldalnézetének megtekintéséhez válassza ki a címét.

Képernyőkép az eszköz entitáslapjának Incidensek és riasztások lapjáról a Microsoft Defender portálon.

Ütemterv lap

Az Idősor lap az eszközön megfigyelt összes esemény időrendi nézetét jeleníti meg. Ez segíthet korrelálni az eszközhöz kapcsolódó eseményeket, fájlokat és IP-címeket.

A listában megjelenő oszlopok közül mindkettő testre szabható. Az alapértelmezett oszlopok az esemény időpontját, az aktív felhasználót, a művelet típusát, a társított entitásokat (folyamatokat, fájlokat, IP-címeket) és az esemény további információit sorolják fel.

Az események megjelenítésének időtartamát úgy szabályozhatja, hogy az időszak határait az oldal tetején található teljes idősor-diagramon csúsztatjuk. A lista tetején található legördülő listából is választhat egy időszakot (az alapértelmezett érték 30 nap). A nézet további szabályozásához szűrhet eseménycsoportok szerint, vagy testre szabhatja az oszlopokat.

Akár hét napnyi eseményt is exportálhat egy CSV-fájlba letöltésre.

Az egyes események részleteinek részletezését úgy végezheti el, hogy kiválasztja és megtekinti az esemény részleteit az eredményül kapott úszó panelen. Lásd alább az esemény részleteit .

Megjegyzés:

A tűzfalesemények megjelenítéséhez engedélyeznie kell a naplózási szabályzatot, lásd: Naplózási platform kapcsolata.

A tűzfal a következő eseményeket fedi le:

  • 5025 – A tűzfalszolgáltatás leállt
  • 5031 – Az alkalmazás blokkolta a bejövő kapcsolatok fogadását a hálózaton
  • 5157 – blokkolt kapcsolat

Képernyőkép az eszköz entitáslapjának Idővonal lapjáról a Microsoft Defender portálon.

Esemény részletei

Válasszon ki egy eseményt az esemény releváns részleteinek megtekintéséhez. Megjelenik egy úszó panel, amely sokkal több információt jelenít meg az eseményről. A megjelenített információtípusok az esemény típusától függenek. Ha alkalmazható, és rendelkezésre állnak adatok, megjelenhet egy grafikon, amely a kapcsolódó entitásokat és azok kapcsolatait, például egy fájl- vagy folyamatláncot ábrázol. Az eseményre vonatkozó MITRE ATT&CK-taktikák és technikák összefoglaló leírása is megjelenhet.

Az esemény és a kapcsolódó események további vizsgálatához gyorsan futtathat speciális veszélyforrás-keresési lekérdezést a Kapcsolódó események keresése keresés lehetőség kiválasztásával. A lekérdezés visszaadja a kiválasztott eseményt és az ugyanazon a végponton körülbelül egy időben történt egyéb események listáját.

Képernyőkép az esemény részleteit tartalmazó panelről.

Biztonsági javaslatok lap

A Biztonsági javaslatok lapon az eszköz védelme érdekében elvégezhető műveletek találhatók. Ha kiválaszt egy elemet a listában, megjelenik egy úszó panel, ahol útmutatást kaphat a javaslat alkalmazásához.

Az előző lapokhoz hasonlóan a megjelenített oszlopok kiválasztása is testre szabható.

Az alapértelmezett nézet olyan oszlopokat tartalmaz, amelyek részletesen ismertetik a javított biztonsági hiányosságokat, a kapcsolódó fenyegetést, a fenyegetés által érintett kapcsolódó összetevőt vagy szoftvert stb. Az elemek a javaslat állapota alapján szűrhetők.

További információ a biztonsági javaslatokról.

Képernyőkép az eszköz entitáslapjának Biztonsági javaslatok lapjáról.

Leltárak lap

Ez a lap négy összetevőtípus leltárait jeleníti meg: szoftverek, sebezhető összetevők, böngészőbővítmények és tanúsítványok.

Szoftverkészlet

Ez a kártya felsorolja az eszközön telepített szoftvereket.

Az alapértelmezett nézet megjeleníti a szoftver gyártóját, a telepített verziószámot, az ismert szoftvergyengeségeket, a fenyegetéselemzéseket, a termékkódot és a címkéket. A megjelenített elemek száma és a megjelenített oszlopok száma is testre szabható.

Ha kiválaszt egy elemet a listából, megnyílik egy úszó panel, amely további részleteket tartalmaz a kiválasztott szoftverről, valamint a szoftver legutóbbi megtalálási időpontjának elérési útját és időbélyegét.

Ez a lista termékkód, gyengeségek és fenyegetések jelenléte alapján szűrhető.

Képernyőkép az eszközprofil Szoftverleltár lapjáról a Microsoft Defender portálon

Sebezhető összetevők

Ez a kártya felsorolja a biztonsági réseket tartalmazó szoftverösszetevőket.

Az alapértelmezett nézet és szűrési beállítások ugyanazok, mint a szoftverek esetében.

Jelöljön ki egy elemet, hogy további információkat jelenítsen meg egy úszó panelen.

Böngészőbővítmények

Ezen a kártyán az eszközön telepített böngészőbővítmények láthatók. Az alapértelmezett mezők a bővítmény neve, a böngésző, amelyre telepítve van, a verzió, az engedélykockázat (a bővítmény által kért eszközökhöz vagy webhelyekhez való hozzáférés típusa alapján) és az állapot. Igény szerint a szállító is megjeleníthető.

Jelöljön ki egy elemet, hogy további információkat jelenítsen meg egy úszó panelen.

Tanúsítványok

Ez a kártya megjeleníti az eszközön telepített összes tanúsítványt.

Az alapértelmezés szerint megjelenített mezők a tanúsítvány neve, a kibocsátás dátuma, a lejárat dátuma, a kulcs mérete, a kiállító, az aláírási algoritmus, a kulcshasználat és a példányok száma.

A lista szűrhető állapot, önaláírt vagy nem, kulcsméret, aláíráskivonat és kulcshasználat alapján.

Válasszon ki egy tanúsítványt, hogy további információkat jelenítsen meg egy úszó panelen.

Felderített biztonsági rések lap

Ez a lap felsorolja az eszközt esetlegesen érintő gyakori biztonsági réseket és biztonsági réseket (CVE-ket).

Az alapértelmezett nézet felsorolja a CVE súlyosságát, a közös biztonságirés-pontszámot (CVSS), a CVE-hez kapcsolódó szoftvert, a CVE közzétételét, a CVE első észlelésének és utolsó frissítésének, valamint a CVE-hez kapcsolódó fenyegetéseket.

Az előző lapokhoz hasonlóan a megjelenítendő oszlopok kiválasztása is testre szabható. A lista súlyosság, fenyegetésállapot, eszközexpozíció és címkék alapján szűrhető.

Ha kiválaszt egy elemet a listából, megnyílik a CVE-t leíró úszó panel.

Képernyőkép az eszközprofil Felderített biztonsági rések lapjáról a Microsoft Defender portálon

Hiányzó KBs lap

A Hiányzó adatbázisok lapon minden olyan Microsoft-Frissítések szerepel, amelyet még nem kell alkalmazni az eszközre. A szóban forgó tudásbáziscikkek olyan tudásbáziscikkek, amelyek ismertetik ezeket a frissítéseket; például KB4551762.

Az alapértelmezett nézet felsorolja a frissítéseket, az operációs rendszer verzióját, a TUDÁSBÁZIS-azonosító számát, az érintett termékeket, a címzett CVES-eket és a címkéket tartalmazó közleményt.

A megjelenítendő oszlopok kiválasztása testre szabható.

Ha kijelöl egy elemet, megnyílik egy úszó panel, amely a frissítésre hivatkozik.

Sentinel-események lap

Ha a szervezete előkészítette a Microsoft Sentinelt a Defender portálra, ez a további lap az eszköz entitáslapján található. Ez a lap importálja a Gazdagép entitáslapot a Microsoft Sentinelből.

Sentinel idővonala

Ez az idővonal az eszközentitáshoz társított riasztásokat jeleníti meg, amely a Microsoft Sentinelben gazdagépentitásként ismert. Ezek a riasztások közé tartoznak az Incidensek és riasztások lapon, valamint a Microsoft Sentinel által külső, nem Microsoft-adatforrásokból létrehozott riasztások.

Ez az idősor a felhasználói entitásra hivatkozó más vizsgálatok könyvjelzővel rendelkező vadászatait , a külső adatforrásokból származó felhasználói tevékenységeseményeket és a Microsoft Sentinel anomáliaszabályai által észlelt szokatlan viselkedéseket is megjeleníti.

Betekintést

Az entitáselemzések a Microsoft biztonsági kutatói által definiált lekérdezések, amelyek segítenek a hatékonyabb és hatékonyabb vizsgálatban. Ezek az elemzések automatikusan felteszik az eszköz entitásával kapcsolatos fontos kérdéseket, és táblázatos adatok és diagramok formájában nyújtanak értékes biztonsági információkat. Az elemzések többek között a bejelentkezésekkel, csoporthozzáadásokkal, folyamatvégrehajtásokkal, rendellenes eseményekkel és egyebekkel kapcsolatos adatokat, valamint fejlett gépi tanulási algoritmusokat tartalmaznak a rendellenes viselkedés észleléséhez.

Az alábbiakban néhány megállapítás látható:

  • Képernyőkép a gazdagépről.
  • A Microsoft által aláíratlan folyamatok észlelhetők.
  • A Windows folyamatvégrehajtási adatai.
  • Windows bejelentkezési tevékenység.
  • Műveletek a fiókokon.
  • A gazdagépen törölt eseménynaplók.
  • Csoportbeadások.
  • Gazdagépek, felhasználók és csoportok számbavétele a gazdagépen.
  • Microsoft Defender alkalmazásvezérlést.
  • Folyamat ritkasága entrópiaszámítással.
  • Rendellenesen magas számú biztonsági esemény.
  • Figyelőlista-elemzések (előzetes verzió).
  • Windows Defender víruskereső eseményeket.

Az elemzések a következő adatforrásokon alapulnak:

  • Syslog (Linux)
  • SecurityEvent (Windows)
  • Naplók (Microsoft Entra ID)
  • Bejelentkezési naplók (Microsoft Entra ID)
  • OfficeActivity (Office 365)
  • BehaviorAnalytics (Microsoft Sentinel UEBA)
  • Szívverés (Azure Monitor-ügynök)
  • CommonSecurityLog (Microsoft Sentinel)

Képernyőkép a Sentinel-események lapról a felhasználói entitás oldalán.

Ha további elemzéseket szeretne végezni ezen a panelen, válassza az elemzéshez tartozó hivatkozást. A hivatkozás a Speciális veszélyforrás-keresés oldalra irányítja, ahol megjeleníti a megállapítás alapjául szolgáló lekérdezést és annak nyers eredményeit. Módosíthatja a lekérdezést, vagy részletezheti az eredményeket a vizsgálat kibontásához, vagy csak kielégítheti a kíváncsiságát.

Képernyőkép a Speciális veszélyforrás-keresés képernyőről elemzési lekérdezéssel.

Válaszműveletek

A válaszműveletek billentyűparancsokat kínálnak a fenyegetések elemzéséhez, kivizsgálásához és elleni védekezéshez.

Képernyőkép az eszköz entitáslapjának Műveletsávjáról a Microsoft Defender portálon.

Fontos

  • A válaszműveletek csak akkor érhetők el, ha az eszköz regisztrálva van Végponthoz készült Microsoft Defender.
  • A Végponthoz készült Microsoft Defender regisztrált eszközök különböző számú válaszműveletet jeleníthetnek meg az eszköz operációs rendszere és verziószáma alapján.

A válaszműveletek egy adott eszközoldal tetején futnak, és a következőket tartalmazzák:

Művelet Leírás
Eszközérték
Kritikusság beállítása
Címkék kezelése Frissítések eszközre alkalmazott egyéni címkéket.
Eszköz pontatlanságának jelentése
Víruskereső vizsgálatának futtatása Frissítések Microsoft Defender víruskereső definícióit, és azonnal futtat egy víruskereső-vizsgálatot. Válasszon a Gyorsvizsgálat vagy a Teljes vizsgálat lehetőség közül.
Vizsgálati csomag összegyűjtése Információkat gyűjt az eszközről. A vizsgálat befejezése után letöltheti.
Alkalmazásvégrehajtás korlátozása Megakadályozza, hogy a Microsoft által aláírt alkalmazások fussanak.
Automatizált vizsgálat kezdeményezése A fenyegetések automatikus vizsgálata és elhárítása. Bár ezen az oldalon manuálisan is indíthat automatizált vizsgálatokat, bizonyos riasztási szabályzatok önállóan indítják el az automatikus vizsgálatokat.
Élő válaszmunkamenet kezdeményezése Betölt egy távoli rendszerhéjat az eszközön a részletes biztonsági vizsgálatokhoz.
Eszköz elkülönítése Elkülöníti az eszközt a szervezet hálózatától, miközben az Microsoft Defender csatlakozik. A kommunikáció érdekében engedélyezheti, hogy az Outlook, a Teams és a Skype Vállalati verzió az eszköz elkülönítése közben fusson.
Kérdés feltevése Defender-szakértőknek
Műveletközpont Az aktuálisan futó válaszműveletekkel kapcsolatos információkat jeleníti meg. Csak akkor érhető el, ha már ki van jelölve egy másik művelet.
Kényszerített kiadás letöltése elkülönítési szkriptből
Kizárása
Go hunt
Hibaelhárítási mód bekapcsolása
Szabályzatszinkronizálás

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.