Tidslinjen for Defender for Endpoint-enheten hjelper deg med å undersøke og undersøke uregelmessig atferd på enhetene dine raskere. Du kan utforske bestemte hendelser og endepunkter for å se gjennom potensielle angrep i organisasjonen. Du kan se gjennom bestemte tidspunkt for hver hendelse, angi flagg som skal følges opp for potensielt tilkoblede hendelser, og filtrere til bestemte datointervaller.
Egendefinert tidsområdevelger:
Prosesstreopplevelse – panel for hendelsesside:
Alle MITRE-teknikker vises når det er mer enn én relatert teknikk:
Tidslinjehendelser er koblet til den nye brukersiden:
Definerte filtre er nå synlige øverst på tidslinjen:
Teknikker på enhetens tidslinje
Du kan få mer innsikt i en undersøkelse ved å analysere hendelsene som skjedde på en bestemt enhet. Først velger du enheten av interesse fra Enheter-listen. På enhetssiden kan du velge Tidslinje-fanen for å vise alle hendelsene som oppstod på enheten.
Forstå teknikker på tidslinjen
Viktig
Noe informasjon er knyttet til en forhåndsutgitt produktfunksjon i offentlig forhåndsversjon som kan endres vesentlig før den utgis kommersielt. Microsoft gir ingen garantier, uttrykkelige eller underforståtte, med hensyn til informasjonen som er oppgitt her.
I Microsoft Defender for endepunkt er teknikker en ekstra datatype i hendelsestidslinjen. Teknikker gir mer innsikt i aktiviteter knyttet til MITRE ATT&CK-teknikker eller subtekniques.
Denne funksjonen forenkler undersøkelsesopplevelsen ved å hjelpe analytikere med å forstå aktivitetene som ble observert på en enhet. Analytikere kan deretter bestemme seg for å undersøke videre.
Under forhåndsvisningen er teknikker tilgjengelige som standard og vises sammen med hendelser når en enhets tidslinje vises.
Teknikker er uthevet i fet skrift og vises med et blått ikon til venstre. Tilsvarende MITRE ATT-&CK-ID og teknikknavn vises også som koder under Tilleggsinformasjon.
Søke- og eksportalternativer er også tilgjengelige for teknikker.
Undersøke ved hjelp av sideruten
Velg en teknikk for å åpne den tilsvarende sideruten. Her kan du se tilleggsinformasjon og innsikter som relaterte ATT-&CK-teknikker, taktikker og beskrivelser.
Velg den spesifikke angrepsteknikken for å åpne den relaterte ATT-&CK-teknikksiden der du kan finne mer informasjon om den.
Du kan kopiere detaljer for en enhet når du ser et blått ikon til høyre. Hvis du for eksempel vil kopiere SHA1 for en relatert fil, velger du det blå sideikonet.
Du kan gjøre det samme for kommandolinjer.
Undersøke relaterte hendelser
Hvis du vil bruke avansert jakt til å finne hendelser relatert til den valgte teknikken, velger du Jakt etter relaterte hendelser. Dette fører til den avanserte jaktsiden med en spørring for å finne hendelser relatert til teknikken.
Obs!
Spørring ved hjelp av knappen Søk etter relaterte hendelser fra sideruten Teknikk viser alle hendelser relatert til den identifiserte teknikken, men inkluderer ikke selve teknikken i spørringsresultatene.
Ressursbehandling for EDR-klient (MsSense.exe)
Når EDR-klienten på en enhet har lite ressurser, går den inn i kritisk modus for å opprettholde normal arbeidsdrift for enheten. Enheten behandler ikke nye hendelser før EDR-klienten returnerer til en normal tilstand. En ny hendelse vises på tidslinjen for denne enheten som angir at EDR-klienten byttet til kritisk modus.
Når EDR-klientens ressursbruk går tilbake til normale nivåer, vil den automatisk gå tilbake til normal modus.
Tilpasse enhetens tidslinje
Øverst til høyre på enhetens tidslinje kan du velge et datoområde for å begrense antall hendelser og teknikker på tidslinjen.
Du kan tilpasse hvilke kolonner som skal vises. Du kan også filtrere etter flaggede hendelser etter datatype eller etter hendelsesgruppe.
Velg kolonner som skal vises
Du kan velge hvilke kolonner som skal vises på tidslinjen, ved å velge Velg kolonner-knappen .
Derfra kan du velge hvilket informasjonssett som skal inkluderes.
Filtrer for å vise teknikker eller hendelser
Hvis du bare vil vise hendelser eller teknikker, velger du Filtre fra enhetens tidslinje og velger den foretrukne datatypen du vil vise.
Hendelsesflagg for tidslinje
Hendelsesflagg i tidslinjen for Defender for Endpoint-enheten hjelper deg med å filtrere og organisere bestemte hendelser når du undersøker potensielle angrep.
Tidslinjen for Defender for Endpoint-enheten gir en kronologisk visning av hendelsene og tilknyttede varsler som er observert på en enhet. Denne listen over hendelser gir full innsyn i alle hendelser, filer og IP-adresser som er observert på enheten. Listen kan noen ganger være lang. Hendelsesflagg for enhetstidslinje hjelper deg med å spore hendelser som kan være relatert.
Når du har gått gjennom en enhets tidslinje, kan du sortere, filtrere og eksportere de bestemte hendelsene du har flagget.
Når du navigerer på enhetens tidslinje, kan du søke etter og filtrere etter bestemte hendelser. Du kan angi hendelsesflagg ved å:
Utheve de viktigste hendelsene
Merke hendelser som krever dypdykk
Bygge en tidslinje for rent brudd
Flagge en hendelse
Finn hendelsen du vil flagge.
Velg flaggikonet i Flagg-kolonnen.
Vis flaggede hendelser
Aktiverflaggede hendelser i filterdelen for tidslinjen.
Velg Bruk. Bare flaggede hendelser vises.
Du kan bruke flere filtre ved å klikke på tidslinjen. Dette viser bare hendelser før den flaggede hendelsen.
Undersøk berørte enheter ved å se gjennom varsler, informasjon om nettverkstilkobling, legge til enhetskoder og grupper og kontrollere tjenestetilstanden.
Utfør svarhandlinger på en enhet, for eksempel å isolere enheter, samle inn en undersøkelsespakke, administrere koder, kjøre en antivirusskanning og begrense kjøringen av appen.