Tidslinje for Microsoft Defender for Endpoint-enhet

Gjelder for:

Obs!

Vil du oppleve Defender for endepunkt? Registrer deg for en gratis prøveperiode.

Tidslinjen for Defender for Endpoint-enheten hjelper deg med å undersøke og undersøke uregelmessig atferd på enhetene dine raskere. Du kan utforske bestemte hendelser og endepunkter for å se gjennom potensielle angrep i organisasjonen. Du kan se gjennom bestemte tidspunkt for hver hendelse, angi flagg som skal følges opp for potensielt tilkoblede hendelser, og filtrere til bestemte datointervaller.

  • Egendefinert tidsområdevelger:

    Skjermbilde av det egendefinerte tidsintervallet.

  • Prosesstreopplevelse – panel for hendelsesside:

    Skjermbilde av panelet for hendelsessiden.

  • Alle MITRE-teknikker vises når det er mer enn én relatert teknikk:

    Skjermbilde av alle MITRE-teknikker.

  • Tidslinjehendelser er koblet til den nye brukersiden:

    Skjermbilde av tidslinjehendelser som er koblet til den nye brukersiden.

    Skjermbilde av tidslinjehendelser som er koblet til den nye brukersiden 2.

  • Definerte filtre er nå synlige øverst på tidslinjen:

    Skjermbilde av definerte filtre.

Teknikker på enhetens tidslinje

Du kan få mer innsikt i en undersøkelse ved å analysere hendelsene som skjedde på en bestemt enhet. Først velger du enheten av interesse fra Enheter-listen. På enhetssiden kan du velge Tidslinje-fanen for å vise alle hendelsene som oppstod på enheten.

Forstå teknikker på tidslinjen

Viktig

Noe informasjon er knyttet til en forhåndsutgitt produktfunksjon i offentlig forhåndsversjon som kan endres vesentlig før den utgis kommersielt. Microsoft gir ingen garantier, uttrykkelige eller underforståtte, med hensyn til informasjonen som er oppgitt her.

I Microsoft Defender for endepunkt er teknikker en ekstra datatype i hendelsestidslinjen. Teknikker gir mer innsikt i aktiviteter knyttet til MITRE ATT&CK-teknikker eller subtekniques.

Denne funksjonen forenkler undersøkelsesopplevelsen ved å hjelpe analytikere med å forstå aktivitetene som ble observert på en enhet. Analytikere kan deretter bestemme seg for å undersøke videre.

Under forhåndsvisningen er teknikker tilgjengelige som standard og vises sammen med hendelser når en enhets tidslinje vises.

Skjermbilde av alle MITRE-teknikker.

Teknikker er uthevet i fet skrift og vises med et blått ikon til venstre. Tilsvarende MITRE ATT-&CK-ID og teknikknavn vises også som koder under Tilleggsinformasjon.

Søke- og eksportalternativer er også tilgjengelige for teknikker.

Undersøke ved hjelp av sideruten

Velg en teknikk for å åpne den tilsvarende sideruten. Her kan du se tilleggsinformasjon og innsikter som relaterte ATT-&CK-teknikker, taktikker og beskrivelser.

Velg den spesifikke angrepsteknikken for å åpne den relaterte ATT-&CK-teknikksiden der du kan finne mer informasjon om den.

Du kan kopiere detaljer for en enhet når du ser et blått ikon til høyre. Hvis du for eksempel vil kopiere SHA1 for en relatert fil, velger du det blå sideikonet.

Skjermbilde som viser informasjon om kopienheten.

Skjermbilde som viser siderutedetaljene.

Du kan gjøre det samme for kommandolinjer.

Skjermbilde som viser alternativet for å kopiere kommandolinjen.

Hvis du vil bruke avansert jakt til å finne hendelser relatert til den valgte teknikken, velger du Jakt etter relaterte hendelser. Dette fører til den avanserte jaktsiden med en spørring for å finne hendelser relatert til teknikken.

Skjermbilde som viser alternativet Jakt etter relaterte hendelser.

Obs!

Spørring ved hjelp av knappen Søk etter relaterte hendelser fra sideruten Teknikk viser alle hendelser relatert til den identifiserte teknikken, men inkluderer ikke selve teknikken i spørringsresultatene.

Ressursbehandling for EDR-klient (MsSense.exe)

Når EDR-klienten på en enhet har lite ressurser, går den inn i kritisk modus for å opprettholde normal arbeidsdrift for enheten. Enheten behandler ikke nye hendelser før EDR-klienten returnerer til en normal tilstand. En ny hendelse vises på tidslinjen for denne enheten som angir at EDR-klienten byttet til kritisk modus.

Når EDR-klientens ressursbruk går tilbake til normale nivåer, vil den automatisk gå tilbake til normal modus.

Tilpasse enhetens tidslinje

Øverst til høyre på enhetens tidslinje kan du velge et datoområde for å begrense antall hendelser og teknikker på tidslinjen.

Du kan tilpasse hvilke kolonner som skal vises. Du kan også filtrere etter flaggede hendelser etter datatype eller etter hendelsesgruppe.

Velg kolonner som skal vises

Du kan velge hvilke kolonner som skal vises på tidslinjen, ved å velge Velg kolonner-knappen .

Skjermbilde som viser ruten der du kan tilpasse kolonner.

Derfra kan du velge hvilket informasjonssett som skal inkluderes.

Filtrer for å vise teknikker eller hendelser

Hvis du bare vil vise hendelser eller teknikker, velger du Filtre fra enhetens tidslinje og velger den foretrukne datatypen du vil vise.

Skjermbilde som viser Filtre-ruten.

Hendelsesflagg for tidslinje

Hendelsesflagg i tidslinjen for Defender for Endpoint-enheten hjelper deg med å filtrere og organisere bestemte hendelser når du undersøker potensielle angrep.

Tidslinjen for Defender for Endpoint-enheten gir en kronologisk visning av hendelsene og tilknyttede varsler som er observert på en enhet. Denne listen over hendelser gir full innsyn i alle hendelser, filer og IP-adresser som er observert på enheten. Listen kan noen ganger være lang. Hendelsesflagg for enhetstidslinje hjelper deg med å spore hendelser som kan være relatert.

Når du har gått gjennom en enhets tidslinje, kan du sortere, filtrere og eksportere de bestemte hendelsene du har flagget.

Når du navigerer på enhetens tidslinje, kan du søke etter og filtrere etter bestemte hendelser. Du kan angi hendelsesflagg ved å:

  • Utheve de viktigste hendelsene
  • Merke hendelser som krever dypdykk
  • Bygge en tidslinje for rent brudd

Flagge en hendelse

  1. Finn hendelsen du vil flagge.

  2. Velg flaggikonet i Flagg-kolonnen.

Enhetstidslinjeflagget

Vis flaggede hendelser

  1. Aktiverflaggede hendelser i filterdelen for tidslinjen.
  2. Velg Bruk. Bare flaggede hendelser vises.

Du kan bruke flere filtre ved å klikke på tidslinjen. Dette viser bare hendelser før den flaggede hendelsen.

Skjermbilde som viser enhetstidslinjeflagget med filteret slått på.

Tips

Vil du lære mer? Engasjer deg med Microsoft Security-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender for Endpoint Tech Community.