A végpontészlelés és -válasz áttekintése

  • Cikk

Érintett szolgáltatás:

Szeretné megismerni a Végponthoz készült Microsoft Defendert? Regisztráció az ingyenes próbaverzióra

A Végponthoz készült Defender végpontészlelési és válaszképességei fejlett támadásészlelést biztosítanak, amelyek közel valós idejűek és végrehajthatók. A biztonsági elemzők hatékonyan rangsorolhatják a riasztásokat, betekintést nyerhetnek a biztonsági incidensek teljes hatókörébe, és reagálhatnak a fenyegetések elhárítására.

Ha fenyegetést észlel, riasztások jönnek létre a rendszerben, hogy egy elemző kivizsgálhassa. Az azonos támadási technikákkal rendelkező vagy ugyanahhoz a támadóhoz társított riasztások egy incidensnek nevezett entitásba vannak összesítve. A riasztások ilyen módon történő összesítése megkönnyíti az elemzők számára a fenyegetések közös kivizsgálását és az azokra való reagálást.

Megjegyzés:

A Végponthoz készült Defender észlelése nem olyan naplózási vagy naplózási megoldás, amely egy adott végponton végrehajtott összes műveletet vagy tevékenységet rögzíti. Az érzékelő belső szabályozási mechanizmussal rendelkezik, így az ismétlődő azonos események nagy száma nem árasztja el a naplókat.

Fontos

A Végponthoz készült Defender 1. csomagja és Microsoft Defender Vállalati verzió csak a következő manuális válaszműveleteket tartalmazzák:

  • Víruskereső futtatása
  • Eszköz elkülönítése
  • Fájl leállítása és karanténba helyezése
  • Mutató hozzáadása egy fájl letiltásához vagy engedélyezéséhez

A "biztonsági incidens feltételezése" szemlélet által ihletett Végponthoz készült Defender folyamatosan gyűjti a viselkedési cyber telemetriát. Ide tartoznak a folyamatinformációk, a hálózati tevékenységek, a kernel és a memóriakezelő mély optika, a felhasználói bejelentkezési tevékenységek, a beállításjegyzék és a fájlrendszer változásai és egyebek. Az információk tárolása hat hónapig történik, így az elemzők időben visszatérnek a támadás kezdetéhez. Az elemző ezután különböző nézetekben forgathat, és több vektoron keresztül közelítheti meg a vizsgálatot.

A válaszképességek lehetővé teszik a fenyegetések azonnali elhárítását az érintett entitásokon való működéssel.

Lásd még

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.