Oversikt over gjenkjenning og svar for endepunkt
Gjelder for:
Vil du oppleve Microsoft Defender for endepunkt? Registrer deg for en gratis prøveperiode.
Gjenkjennings- og responsfunksjoner for endepunkt i Defender for Endpoint gir avanserte angrepsgjenkjenninger som er nær sanntid og handlingsbare. Sikkerhetsanalytikere kan prioritere varsler effektivt, få innsyn i hele omfanget av et brudd og iverksette tiltak for å utbedre trusler.
Når en trussel oppdages, opprettes det varsler i systemet som en analytiker kan undersøke. Varsler med de samme angrepsteknikkene eller tilskrevet den samme angriperen aggregeres i en enhet som kalles en hendelse. Aggregering av varsler på denne måten gjør det enkelt for analytikere å kollektivt undersøke og reagere på trusler.
Obs!
Defender for endepunktgjenkjenning er ikke ment å være en overvåkings- eller loggingsløsning som registrerer hver operasjon eller aktivitet som skjer på et gitt endepunkt. Sensoren vår har en intern reguleringsmekanisme, slik at den høye frekvensen av gjentatte identiske hendelser ikke oversvømmer loggene.
Viktig
Defender for Endpoint Plan 1 og Microsoft Defender for bedrifter inkluderer bare følgende manuelle svarhandlinger:
- Kjør antivirusskanning
- Isolere enhet
- Stoppe og sette en fil i karantene
- Legge til en indikator for å blokkere eller tillate en fil
Inspirert av "anta brudd" tankegang, Defender for Endpoint samler kontinuerlig atferdsmessige cyber telemetri. Dette omfatter prosessinformasjon, nettverksaktiviteter, dyp optikk i kjernen og minnebehandlingen, brukerpåloggingsaktiviteter, endringer i register- og filsystemet og andre. Informasjonen lagres i seks måneder, slik at en analytiker kan reise tilbake i tid til starten av et angrep. Analytikeren kan deretter pivotere i ulike visninger og nærme seg en undersøkelse gjennom flere vektorer.
Svarfunksjonene gir deg muligheten til raskt å utbedre trusler ved å handle på de berørte enhetene.
Se også
Tips
Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.