Undersøke enheter i listen over Microsoft Defender for endepunkt enheter

Gjelder for:

• Microsoft Defender for endepunkt plan 2
• Microsoft Defender XDR

Vil du oppleve Defender for endepunkt? Registrer deg for en gratis prøveperiode.

Undersøk detaljene i et varsel som utløses på en bestemt enhet, for å identifisere andre virkemåter eller hendelser som kan være relatert til varselet eller det potensielle omfanget av bruddet.

Obs!

Som en del av undersøkelses- eller responsprosessen kan du samle inn en undersøkelsespakke fra en enhet. Slik gjør du det: Samle inn undersøkelsespakke fra enheter.

Du kan velge på berørte enheter når du ser dem i portalen for å åpne en detaljert rapport om denne enheten. Berørte enheter identifiseres i følgende områder:

• Enhetsliste
• Varselkø
• Alle individuelle varsler
• Alle individuelle fildetaljer-visninger
• Visning av IP-adresser eller domenedetaljer

Når du undersøker en bestemt enhet, ser du:

• Enhetsdetaljer
• Svarhandlinger
• Faner (oversikt, varsler, tidslinje, sikkerhetsanbefalinger, programvarebeholdning, oppdagede sårbarheter, manglende KB-er)
• Kort (aktive varsler, påloggede brukere, sikkerhetsvurdering, enhetstilstandsstatus)

Obs!

På grunn av produktgrenser vurderer ikke enhetsprofilen alle cyberbevis når du fastslår tidsrammen «Sist sett» (som vist på enhetssiden også). Verdien «Sist sett» på Enhet-siden kan for eksempel vise en eldre tidsramme, selv om nyere varsler eller data er tilgjengelige på maskinens tidslinje.

Enhetsdetaljer

Delen om enhetsdetaljer inneholder informasjon som domenet, operativsystemet og tilstanden til enheten. Hvis en undersøkelsespakke er tilgjengelig på enheten, ser du en kobling som lar deg laste ned pakken.

Svarhandlinger

Svarhandlinger kjører øverst på en bestemt enhetsside og inkluderer:

• Vis i kart
• Enhetsverdi
• Angi kritiskhet
• Behandle koder
• Isolere enhet
• Begrens appkjøring
• Kjør antivirusskanning
• Samle inn undersøkelsespakke
• Start økt for direkte respons
• Start automatisert undersøkelse
• Kontakt en trusselekspert
• Handlingssenter

Du kan utføre svarhandlinger i handlingssenteret, på en bestemt enhetsside eller på en bestemt filside.

Hvis du vil ha mer informasjon om hvordan du utfører handlinger på en enhet, kan du se Utføre responshandling på en enhet.

Hvis du vil ha mer informasjon, kan du se Undersøke brukerenheter.

Obs!

Vis i kart og angi kritiskhet er funksjoner fra Microsoft Exposure Management, som for øyeblikket er i offentlig forhåndsversjon.

Kategoriene

Fanene gir relevant informasjon om sikkerhets- og trusselforhindring relatert til enheten. I hver fane kan du tilpasse kolonnene som vises, ved å velge Tilpass kolonner fra linjen over kolonneoverskriftene.

Oversikt

Oversikt-fanen viser kortene for aktive varsler, påloggede brukere og sikkerhetsvurdering.

Hendelser og varsler

Fanen Hendelser og varsler inneholder en liste over hendelser og varsler som er knyttet til enheten. Denne listen er en filtrert versjon av Varsler-køen, og viser en kort beskrivelse av hendelsen, varselet, alvorsgraden (høy, middels, lav, informasjonsmessig), status i køen (ny, pågående, løst), klassifisering (ikke angitt, falskt varsel, true alert), undersøkelsesstatus, varslingskategori, hvem som adresserer varselet og siste aktivitet. Du kan også filtrere varslene.

Når et varsel er valgt, vises en undermeny. Fra dette panelet kan du administrere varselet og vise flere detaljer, for eksempel hendelsesnummer og relaterte enheter. Du kan velge flere varsler om gangen.

Hvis du vil se en hel sidevisning av et varsel, velger du tittelen på varselet.

Tidslinjen

Tidslinje-fanen gir en kronologisk visning av hendelsene og tilknyttede varsler som er observert på enheten. Dette kan hjelpe deg med å koordinere alle hendelser, filer og IP-adresser i forhold til enheten.

Tidslinjen gjør det også mulig å selektivt drille ned i hendelser som oppstod innenfor en gitt tidsperiode. Du kan vise den tidsmessige sekvensen av hendelser som oppstod på en enhet over en valgt tidsperiode. Hvis du vil kontrollere visningen ytterligere, kan du filtrere etter hendelsesgrupper eller tilpasse kolonnene.

Obs!

Hvis du vil at brannmurhendelser skal vises, må du aktivere overvåkingspolicyen, se tilkoblingen til overvåkingsfiltreringsplattformen.

Brannmuren dekker følgende hendelser:

• 5025 – brannmurtjenesten stoppet
• 5031 – programmet er blokkert fra å godta innkommende tilkoblinger på nettverket
• 5157 – blokkert tilkobling

Noe av funksjonaliteten omfatter:

• Søk for bestemte hendelser
  • Bruk søkefeltet til å se etter bestemte tidslinjehendelser.
• Filtrere hendelser fra en bestemt dato
  • Velg kalenderikonet øverst til venstre i tabellen for å vise hendelser i løpet av den siste dagen, uken, 30 dager eller det egendefinerte området. Som standard er enhetens tidslinje satt til å vise hendelsene fra de siste 30 dagene.
  • Bruk tidslinjen til å hoppe til et bestemt tidspunkt ved å utheve inndelingen. Pilene på tidslinjen viser automatiserte undersøkelser
• Eksporter detaljerte hendelser for enhetstidslinje
  • Eksporter enhetens tidslinje for gjeldende dato eller et angitt datoområde opptil sju dager.

Du finner mer informasjon om bestemte hendelser i delen Tilleggsinformasjon . Disse detaljene varierer avhengig av hendelsestypen, for eksempel:

• Inneholdt av Application Guard – nettleserhendelsen ble begrenset av en isolert beholder
• Aktiv trussel oppdaget - trusseldeteksjonen oppstod mens trusselen kjørte
• Utbedring mislyktes - et forsøk på å utbedre den oppdagede trusselen ble påkalt, men mislyktes
• Utbedring vellykket - den oppdagede trusselen ble stoppet og rengjort
• Advarsel omgått av brukeren – Windows Defender SmartScreen-advarsel ble avvist og overstyrt av en bruker
• Mistenkelig skript oppdaget - et potensielt skadelig skript ble funnet kjører
• Varslingskategorien – hvis hendelsen førte til generering av et varsel, gis varselkategorien (for eksempel sidebevegelse)

Hendelsesdetaljer

Velg en hendelse for å vise relevante detaljer om denne hendelsen. Et panel vises for å vise generell hendelsesinformasjon. Når gjeldende data er tilgjengelig, vises også en graf som viser relaterte enheter og deres relasjoner.

Hvis du vil undersøke hendelsen og relaterte hendelser ytterligere, kan du raskt kjøre en avansert jaktspørring ved å velge Hunt for relaterte hendelser. Spørringen returnerer den valgte hendelsen og listen over andre hendelser som oppstod omtrent samtidig på samme endepunkt.

Sikkerhetsanbefalinger

Sikkerhetsanbefalinger genereres fra Microsoft Defender for endepunkt sikkerhetsproblembehandlingsfunksjonalitet. Hvis du velger en anbefaling, vises et panel der du kan vise relevante detaljer, for eksempel beskrivelse av anbefalingen og potensielle risikoer knyttet til ikke å vedta den. Se Sikkerhetsanbefalinger for mer informasjon.

Sikkerhetspolicyer

Sikkerhetspolicyer-fanen viser sikkerhetspolicyene for endepunktet som brukes på enheten. Du ser en liste over policyer, type, status og siste innsjekkingstidspunkt. Hvis du velger navnet på en policy, kommer du til siden for policydetaljer der du kan se statusen for policyinnstillinger, brukte enheter og tilordnede grupper.

Programvarebeholdning

Med programvarelagerfanen kan du vise programvare på enheten, sammen med eventuelle svakheter eller trusler. Hvis du velger navnet på programvaren, kommer du til siden med programvaredetaljer der du kan vise sikkerhetsanbefalinger, oppdagede sårbarheter, installerte enheter og versjonsdistribusjon. Se programvarebeholdningen for mer informasjon.

Oppdaget sårbarheter

Fanen Oppdagede sårbarheter viser navnet, alvorsgraden og trusselinnsikten til oppdagede sårbarheter på enheten. Hvis du velger et bestemt sikkerhetsproblem, ser du en beskrivelse og detaljer.

Manglende KB-er

Manglende KB-fane viser de manglende sikkerhetsoppdateringene for enheten.

Kort

Aktive varsler

Azure Advanced Threat Protection-kortet viser en overordnet oversikt over varsler relatert til enheten og deres risikonivå, hvis du bruker Microsoft Defender for identitet-funksjonen, og det finnes noen aktive varsler. Mer informasjon er tilgjengelig i drille ned for varsler .

Obs!

Du må aktivere integreringen på både Microsoft Defender for identitet og Defender for endepunkt for å bruke denne funksjonen. I Defender for endepunkt kan du aktivere denne funksjonen i avanserte funksjoner. Hvis du vil ha mer informasjon om hvordan du aktiverer avanserte funksjoner, kan du se Slå på avanserte funksjoner.

Påloggede brukere

Påloggede brukere-kortet viser hvor mange brukere som har logget seg på de siste 30 dagene, sammen med de hyppigste og hyppigste brukerne. Hvis du velger koblingen Se alle brukere , åpnes detaljruten, som viser informasjon som brukertype, påloggingstype og når brukeren først og sist ble sett. Hvis du vil ha mer informasjon, kan du se Undersøke brukerenheter.

Obs!

Den hyppigste brukerverdien beregnes bare basert på bevis på brukere som har logget seg på interaktivt. Alle brukere-sideruten beregner imidlertid alle typer brukerpålogginger, slik at det forventes å se hyppigere brukere i sideruten, gitt at disse brukerne kanskje ikke er interaktive.

Sikkerhetsvurderinger

Sikkerhetsvurderingskortet viser det generelle eksponeringsnivået, sikkerhetsanbefalinger, installert programvare og oppdagede sårbarheter. Eksponeringsnivået for en enhet bestemmes av den kumulative virkningen av de ventende sikkerhetsanbefalingene.

Status for enhetstilstand

Statuskortet for enhetstilstand viser en oppsummert tilstandsrapport for den bestemte enheten. En av følgende meldinger vises øverst på kortet for å angi den generelle statusen for enheten (oppført i rekkefølge etter høyeste til laveste prioritet):

• Defender Antivirus er ikke aktiv
• Sikkerhetsintelligens er ikke oppdatert
• Motoren er ikke oppdatert
• Hurtigskanning mislyktes
• Fullstendig skanning mislyktes
• Plattformen er ikke oppdatert
• Status for oppdatering av sikkerhetsintelligens er ukjent
• Status for motoroppdatering er ukjent
• Status for hurtigskanning er ukjent
• Fullstendig skannestatus er ukjent
• Oppdateringsstatus for plattform er ukjent
• Enheten er oppdatert
• Status er ikke tilgjengelig for macOS & Linux

Annen informasjon i kortet inkluderer: siste fullstendige skanning, siste raske skanning, oppdateringsversjon for sikkerhetsintelligens, versjon av motoroppdatering, versjon av plattformoppdatering og Defender Antivirus-modus.

En grå sirkel angir at dataene er ukjente.

Obs!

Den generelle statusmeldingen for macOS- og Linux-enheter vises for øyeblikket som «Status er ikke tilgjengelig for macOS & Linux». Statussammendraget er for øyeblikket bare tilgjengelig for Windows-enheter. All annen informasjon i tabellen er oppdatert for å vise de enkelte tilstandene til hver enhetstilstandssignal for alle støttede plattformer.

Hvis du vil ha en grundig oversikt over tilstandsrapporten for enheten, kan du gå til Tilstand for rapporter-enheter>. Hvis du vil ha mer informasjon, kan du se rapporten om enhetstilstand og samsvar i Microsoft Defender for endepunkt.

Obs!

Datoen og klokkeslettet for Defender Antivirus-modus er for øyeblikket ikke tilgjengelig.

Relaterte artikler

• Vise og organisere Microsoft Defender for endepunkt Varsler-køen
• Behandle Microsoft Defender for endepunkt varsler
• Undersøke Microsoft Defender for endepunkt varsler
• Undersøke en fil som er knyttet til et Defender for Endpoint-varsel
• Undersøke en IP-adresse som er knyttet til et Defender for Endpoint-varsel
• Undersøke et domene som er knyttet til et Defender for Endpoint-varsel
• Undersøke en brukerkonto i Defender for endepunkt
• Sikkerhetsanbefaling
• Programvarebeholdning

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.