Enhetsside i Microsoft Defender
Enhetssiden for enheten i Microsoft Defender-portalen hjelper deg med å undersøke enhetsenheter. Siden inneholder all viktig informasjon om en gitt enhet. Hvis et varsel eller en hendelse indikerer at en enhet oppfører seg mistenkelig eller kan bli kompromittert, kan du undersøke detaljene for enheten for å identifisere annen atferd eller hendelser som kan være relatert til varselet eller hendelsen, og oppdage det potensielle omfanget av bruddet. Du kan også bruke enhetssiden for enheten til å utføre noen vanlige sikkerhetsoppgaver, samt noen svarhandlinger for å redusere eller utbedre sikkerhetstrusler.
Viktig
Innholdssettet som vises på enhetssiden for enheten, kan variere noe, avhengig av enhetens registrering i Microsoft Defender for endepunkt og Microsoft Defender for identitet.
Hvis organisasjonen pålastet Microsoft Sentinel til Defender-portalen, vises tilleggsinformasjon.
I Microsoft Sentinel er enhetsenheter også kjent som vertsenheter. Finn ut mer.
Microsoft Sentinel er generelt tilgjengelig i Microsofts plattform for enhetlige sikkerhetsoperasjoner i Microsoft Defender-portalen. For forhåndsvisning er Microsoft Sentinel tilgjengelig i Defender-portalen uten Microsoft Defender XDR eller en E5-lisens. Hvis du vil ha mer informasjon, kan du se Microsoft Sentinel i Microsoft Defender portalen.
Du finner enhetsenheter i følgende områder:
- Enhetsliste, under Aktiva
- Varselkø
- Alle individuelle varsler/hendelser
- Alle individuelle brukerenhetssider
- Alle individuelle fildetaljer-visninger
- Visning av IP-adresser eller domenedetaljer
- Aktivitetslogg
- Avanserte jaktspørringer
- Handlingssenter
Du kan velge enheter når du ser dem i portalen for å åpne enhetens enhetsside, som viser flere detaljer om enheten. Du kan for eksempel se detaljene for enheter som er oppført i varslene om en hendelse i Microsoft Defender-portalen på Hendelser & varsler hendelseshendelser>>> aktivaenheter>.
Enhetssiden for enheten presenterer informasjonen i et fanebasert format. Denne artikkelen beskriver informasjonstypene som er tilgjengelige i hver fane, og også handlingene du kan utføre på en gitt enhet.
Følgende faner vises på enhetssiden for enheten:
- Oversikt
- Hendelser og varsler
- Tidslinje
- Sikkerhetsanbefalinger
- Varelager
- Oppdaget sårbarheter
- Manglende KB-er
- Opprinnelige sikkerhetsgrunner
- Sikkerhetspolicyer
- Sentinel hendelser
Den øverste delen av enhetssiden inneholder følgende detaljer:
- Enhetsnavn
- Indikatorer for alvorlighetsgrad, kritiskhet og enhetsverdi
- Merker som enheten kan klassifiseres etter. Kan legges til av Defender for endepunkt, Defender for identitet eller av brukere. Merker fra Microsoft Defender for identitet kan ikke redigeres.
- Svarhandlinger er også plassert her. Les mer om dem nedenfor.
Standardfanen er Oversikt. Den gir en rask titt på de viktigste sikkerhetsfakta om enheten. Oversikt-fanen inneholder sidepanelet for enhetsdetaljer og et instrumentbord med noen kort som viser informasjon på høyt nivå.
Sidestolpen viser enhetens fulle navn og eksponeringsnivå. Den inneholder også viktig grunnleggende informasjon i små underseksjoner, som kan utvides eller skjules, for eksempel:
Seksjon | Inkludert informasjon |
---|---|
Vm-detaljer | Maskin- og domenenavn og ID-er, tilstands- og pålastingsstatuser, tidsstempler for fornavn og sist sett, IP-adresser og mer |
Detaljer for DLP-policysynkronisering | Hvis relevant |
Konfigurasjonsstatus | Detaljer om Microsoft Defender for endepunkt konfigurasjon |
Detaljer om skyressurs | Skyplattform, ressurs-ID, abonnementsinformasjon og mer |
Maskinvare og fastvare | Vm-, prosessor- og BIOS-informasjon og mer |
Enhetsbehandling | Microsoft Defender for endepunkt registreringsstatus og administrasjonsinformasjon |
Katalogdata | UAC-flagg , SPN-er og gruppemedlemskap. |
Hoveddelen av Oversikt-fanen viser flere visningskort for instrumentbordtype:
- Aktive varsler og risikonivå som involverer enheten i løpet av de siste seks månedene, gruppert etter alvorlighetsgrad
- Sikkerhetsvurderinger og eksponeringsnivå for enheten
- Påloggede brukere på enheten de siste 30 dagene
- Status for enhetstilstand og annen informasjon om de nyeste skanningene av enheten.
Tips
Eksponeringsnivået er knyttet til hvor mye enheten overholder sikkerhetsanbefalinger, mens risikonivået beregnes basert på en rekke faktorer, inkludert typene og alvorlighetsgraden av aktive varsler.
Hendelser og varsler-fanen inneholder en liste over hendelser som inneholder varsler som har blitt reist på enheten, fra en rekke Microsoft Defender gjenkjenningskilder, inkludert, hvis de er pålastet, Microsoft Sentinel. Denne listen er en filtrert versjon av hendelseskøen, og viser en kort beskrivelse av hendelsen eller varselet, alvorlighetsgraden (høy, middels, lav, informasjonsmessig), statusen i køen (ny, pågår, løst), klassifiseringen (ikke angitt, falsk varsling, true alert), undersøkelsestilstand, kategori, hvem som er tilordnet for å løse den, og siste aktivitet observert.
Du kan tilpasse hvilke kolonner som vises for hvert element. Du kan også filtrere varslene etter alvorsgrad, status eller andre kolonner i visningen.
Kolonnen for berørte enheter refererer til alle enheter og brukerenheter som det refereres til i hendelsen eller varselet.
Når en hendelse eller et varsel er valgt, vises en undermeny. Fra dette panelet kan du administrere hendelsen eller varselet og vise flere detaljer, for eksempel hendelse/varselnummer og relaterte enheter. Du kan velge flere varsler om gangen.
Hvis du vil se en hel sidevisning av en hendelse eller et varsel, velger du tittelen.
Tidslinje-fanen viser en kronologisk visning av alle hendelser som er observert på enheten. Dette kan hjelpe deg med å koordinere alle hendelser, filer og IP-adresser i forhold til enheten.
Valg av kolonner som vises i listen, kan begge tilpasses. Standardkolonnene viser hendelsestidspunktet, aktiv bruker, handlingstype, tilknyttede enheter (prosesser, filer, IP-adresser) og tilleggsinformasjon om hendelsen.
Du kan styre tidsperioden som hendelser vises for, ved å skyve kantlinjene til tidsperioden langs den generelle tidslinjegrafen øverst på siden. Du kan også velge en tidsperiode fra rullegardinlisten øverst på listen (standarden er 30 dager). Hvis du vil kontrollere visningen ytterligere, kan du filtrere etter hendelsesgrupper eller tilpasse kolonnene.
Du kan eksportere hendelser opptil sju dager til en CSV-fil for nedlasting.
Drill ned i detaljene for individuelle hendelser ved å velge og hendelse og vise detaljene i det resulterende undermenyen. Se hendelsesdetaljer nedenfor.
Obs!
Hvis du vil at brannmurhendelser skal vises, må du aktivere overvåkingspolicyen, se tilkoblingen til overvåkingsfiltreringsplattformen.
Brannmuren dekker følgende hendelser:
Velg en hendelse for å vise relevante detaljer om denne hendelsen. Et undermenypanel vises for å vise mye mer informasjon om hendelsen. Informasjonstypene som vises, avhenger av hendelsestypen. Når det er aktuelt og data er tilgjengelig, kan det hende du ser en graf som viser relaterte enheter og deres relasjoner, for eksempel en kjede av filer eller prosesser. Du kan også se en sammendragsbeskrivelse av MITRE ATT&CK-taktikk og -teknikker som gjelder for hendelsen.
Hvis du vil undersøke hendelsen og relaterte hendelser ytterligere, kan du raskt kjøre en avansert jaktspørring ved å velge Hunt for relaterte hendelser. Spørringen returnerer den valgte hendelsen og listen over andre hendelser som oppstod omtrent samtidig på samme endepunkt.
Fanen Sikkerhetsanbefalinger viser handlinger du kan utføre for å beskytte enheten. Hvis du velger et element i denne listen, åpnes en undermeny der du kan få instruksjoner om hvordan du bruker anbefalingen.
Som med de forrige fanene kan valget av viste kolonner tilpasses.
Standardvisningen inneholder kolonner som beskriver sikkerhetssvakhetene som er adressert, den tilknyttede trusselen, den relaterte komponenten eller programvaren som påvirkes av trusselen, og mer. Elementer kan filtreres etter anbefalingens status.
Mer informasjon om sikkerhetsanbefalinger.
Denne fanen viser lagerbeholdninger av fire typer komponenter: Programvare, sårbare komponenter, nettleserutvidelser og sertifikater.
Dette kortet viser programvare som er installert på enheten.
Standardvisningen viser programvareleverandøren, installert versjonsnummer, antall kjente programvaresvakheter, trusselinnsikt, produktkode og koder. Antall elementer som vises, og hvilke kolonner som vises, kan begge tilpasses.
Hvis du velger et element fra denne listen, åpnes en undermeny som inneholder flere detaljer om den valgte programvaren, og banen og tidsstempelet for siste gang programvaren ble funnet.
Denne listen kan filtreres etter produktkode, svakheter og tilstedeværelse av trusler.
Dette kortet viser programvarekomponenter som inneholder sikkerhetsproblemer.
Standardalternativene for visning og filtrering er de samme som for programvare.
Velg et element for å vise mer informasjon i en undermeny.
Dette kortet viser nettleserutvidelsene som er installert på enheten. Standardfeltene som vises, er navnet på filtypen, nettleseren den er installert for, versjonen, tillatelsesrisikoen (basert på typen tilgang til enheter eller nettsteder som er forespurt av utvidelsen) og statusen. Eventuelt kan leverandøren også vises.
Velg et element for å vise mer informasjon i en undermeny.
Dette kortet viser alle sertifikatene som er installert på enheten.
Feltene som vises som standard, er sertifikatnavn, utstedelsesdato, utløpsdato, nøkkelstørrelse, utsteder, signaturalgoritme, nøkkelbruk og antall forekomster.
Listen kan filtreres etter status, selvsignert eller ikke, nøkkelstørrelse, signatur-hash og nøkkelbruk.
Velg et sertifikat for å vise mer informasjon i en undermeny.
Denne fanen viser eventuelle vanlige sikkerhetsproblemer og utnyttelser (CVE-er) som kan påvirke enheten.
Standardvisningen viser alvorlighetsgraden av CVE, Common Vulnerability Score (CVSS), programvaren som er relatert til CVE, når CVE ble publisert, når CVE først ble oppdaget og sist oppdatert, og trusler knyttet til CVE.
I likhet med de forrige fanene kan du tilpasse valget av kolonner som skal vises. Listen kan filtreres etter alvorlighetsgrad, trusselstatus, enhetseksponering og merker.
Hvis du velger et element fra denne listen, åpnes en undermeny som beskriver CVE.
Fanen Manglende KB viser alle Microsoft-Oppdateringer som ennå ikke er brukt på enheten. De aktuelle KB-ene er Knowledge Base-artikler som beskriver disse oppdateringene. for eksempel KB4551762.
Standardvisningen viser bulletinen som inneholder oppdateringene, OS-versjonen, KB-ID-nummeret, berørte produkter, CVE-adresser og koder.
Valget av kolonner som skal vises, kan tilpasses.
Hvis du velger et element, åpnes en undermeny som kobler til oppdateringen.
Hvis organisasjonen pålastet Microsoft Sentinel til Defender-portalen, er denne ekstra fanen på enhetssiden for enheten. Denne fanen importerer vertsenhetssiden fra Microsoft Sentinel.
Denne tidslinjen viser varsler som er knyttet til enhetsenheten, kjent i Microsoft Sentinel som vertsenheten. Disse varslene inkluderer de som vises på hendelser og varsler-fanen, og de som er opprettet av Microsoft Sentinel fra tredjeparts, ikke-Microsoft-datakilder.
Denne tidslinjen viser også bokmerkede jakter fra andre undersøkelser som refererer til denne brukerenheten, brukeraktivitetshendelser fra eksterne datakilder og uvanlig atferd som oppdages av avviksreglene for Microsoft Sentinel.
Enhetsinnsikt er spørringer definert av Microsofts sikkerhetsforskere for å hjelpe deg med å undersøke mer effektivt og mer effektivt. Denne innsikten stiller automatisk de store spørsmålene om enhetsenheten, og gir verdifull sikkerhetsinformasjon i form av tabelldata og diagrammer. Innsikten omfatter data om pålogginger, gruppetillegg, prosesskjøringer, uregelmessige hendelser og mer, og inkluderer avanserte maskinlæringsalgoritmer for å oppdage uregelmessig atferd.
Følgende er noen av innsiktene som vises:
- Skjermbilde tatt på verten.
- Oppdaget prosesser som ikke er signert av Microsoft.
- Informasjon om kjøring av Windows-prosess.
- Påloggingsaktivitet for Windows.
- Handlinger på kontoer.
- Hendelseslogger er fjernet på verten.
- Gruppetillegg.
- Opplisting av verter, brukere, grupper på verten.
- Microsoft Defender programkontroll.
- Behandle sjeldenhet via entropy-beregning.
- Uregelmessig høyt antall sikkerhetshendelser.
- Visningslisteinnsikt (forhåndsvisning).
- Windows Defender Antivirus-hendelser.
Innsiktene er basert på følgende datakilder:
- Syslog (Linux)
- SecurityEvent (Windows)
- AuditLogs (Microsoft Entra ID)
- SigninLogs (Microsoft Entra ID)
- OfficeActivity (Office 365)
- BehaviorAnalytics (Microsoft Sentinel UEBA)
- Heartbeat (Azure Monitor Agent)
- CommonSecurityLog (Microsoft Sentinel)
Hvis du vil utforske noen av innsiktene i dette panelet ytterligere, velger du koblingen som følger med innsikten. Koblingen tar deg til avansert jakt-siden , der den viser spørringen som ligger under innsikten, sammen med de rå resultatene. Du kan endre spørringen eller drille ned i resultatene for å utvide undersøkelsen eller bare tilfredsstille nysgjerrigheten din.
Responshandlinger tilbyr snarveier for å analysere, undersøke og forsvare seg mot trusler.
Viktig
- Svarhandlinger er bare tilgjengelige hvis enheten er registrert i Microsoft Defender for endepunkt.
- Enheter som er registrert i Microsoft Defender for endepunkt, kan vise ulike antall svarhandlinger, basert på enhetens operativsystem og versjonsnummer.
Svarhandlinger kjører øverst på en bestemt enhetsside og inkluderer:
Handling | Beskrivelse |
---|---|
Enhetsverdi | |
Angi kritiskhet | |
Behandle koder | Oppdateringer egendefinerte koder du har brukt på denne enheten. |
Rapportenhets unøyaktighet | |
Kjør antivirusskanning | Oppdateringer Microsoft Defender Antivirus-definisjoner og kjører umiddelbart en antivirusskanning. Velg mellom hurtigskanning eller Fullstendig skanning. |
Samle inn undersøkelsespakke | Samler inn informasjon om enheten. Når undersøkelsen er fullført, kan du laste den ned. |
Begrens appkjøring | Hindrer programmer som ikke er signert av Microsoft, fra å kjøre. |
Start automatisert undersøkelse | Undersøker og remediates trusler automatisk. Selv om du manuelt kan utløse automatiserte undersøkelser som skal kjøres fra denne siden, utløser visse varslingspolicyer automatiske undersøkelser på egen hånd. |
Start økt for direkte respons | Laster inn et eksternt skall på enheten for detaljerte sikkerhetsundersøkelser. |
Isolere enhet | Isolerer enheten fra organisasjonens nettverk samtidig som den er koblet til Microsoft Defender. Du kan velge å tillate at Outlook, Teams og Skype for Business kjøre mens enheten er isolert, for kommunikasjonsformål. |
Spør Defender-eksperter | |
Handlingssenter | Viser informasjon om eventuelle svarhandlinger som kjører. Bare tilgjengelig hvis en annen handling allerede er valgt. |
Last ned tvungen utgivelse fra isolasjonsskript | |
Utelukke | |
Gå på jakt | |
Slå på feilsøkingsmodus | |
Policysynkronisering |
- Microsoft Defender XDR oversikt
- Slå på Microsoft Defender XDR
- Brukerenhetsside i Microsoft Defender
- Enhetsside for IP-adresse i Microsoft Defender
- Microsoft Defender XDR integrering med Microsoft Sentinel
- Koble Microsoft Sentinel til Microsoft Defender XDR
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.