Delen via

Tijdlijn van Microsoft Defender voor Eindpunt-apparaat

  • Artikel

Van toepassing op:

Opmerking

Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Met de apparaattijdlijn van Defender voor Eindpunt kunt u afwijkend gedrag op uw apparaten sneller onderzoeken en onderzoeken. U kunt specifieke gebeurtenissen en eindpunten verkennen om mogelijke aanvallen in uw organisatie te bekijken. U kunt specifieke tijden van elke gebeurtenis bekijken, markeringen instellen voor het opvolgen van mogelijk verbonden gebeurtenissen en filteren op specifieke datumbereiken.

  • Aangepaste tijdsbereikkiezer:

    Schermopname van het aangepaste tijdsbereik.

  • Ervaring met processtructuur - deelvenster aan de gebeurteniszijde:

    Schermopname van het deelvenster aan de gebeurteniszijde.

  • Alle MITRE-technieken worden weergegeven wanneer er meer dan één gerelateerde techniek is:

    Schermopname van alle MITRE-technieken.

  • Tijdlijn-gebeurtenissen worden gekoppeld aan de nieuwe gebruikerspagina:

    Schermopname van tijdlijnen die zijn gekoppeld aan de nieuwe gebruikerspagina.

    Schermopname van tijdlijn-gebeurtenissen die zijn gekoppeld aan de nieuwe gebruiker pagina 2.

  • Gedefinieerde filters zijn nu zichtbaar boven aan de tijdlijn:

    Schermopname van gedefinieerde filters.

Technieken in de tijdlijn van het apparaat

U kunt meer inzicht krijgen in een onderzoek door de gebeurtenissen te analyseren die zich op een specifiek apparaat hebben voorgedaan. Selecteer eerst het gewenste apparaat in de lijst Apparaten. Op de apparaatpagina kunt u het tabblad Tijdlijn selecteren om alle gebeurtenissen weer te geven die zich op het apparaat hebben voorgedaan.

Inzicht in technieken in de tijdlijn

Belangrijk

Sommige informatie heeft betrekking op een vooraf uitgebrachte productfunctie in openbare preview die aanzienlijk kan worden gewijzigd voordat deze commercieel wordt uitgebracht. Microsoft geeft geen garantie, uitdrukkelijk of impliciet, met betrekking tot de informatie die hier wordt beschreven.

In Microsoft Defender voor Eindpunt zijn technieken een extra gegevenstype in de gebeurtenistijdlijn. Technieken bieden meer inzicht in activiteiten die verband houden met MITRE ATT&CK-technieken of subtechnieken.

Deze functie vereenvoudigt de onderzoekservaring door analisten inzicht te bieden in de activiteiten die op een apparaat zijn waargenomen. Analisten kunnen dan besluiten verder te onderzoeken.

Tijdens de preview zijn technieken standaard beschikbaar en worden deze samen met gebeurtenissen weergegeven wanneer de tijdlijn van een apparaat wordt weergegeven.

Schermopname van alle MITRE-technieken.

Technieken worden gemarkeerd in vetgedrukte tekst en worden weergegeven met een blauw pictogram aan de linkerkant. De bijbehorende MITRE ATT&CK-id en technieknaam worden ook als tags weergegeven onder Aanvullende informatie.

Zoek- en exportopties zijn ook beschikbaar voor Technieken.

Onderzoeken met behulp van het zijvenster

Selecteer een techniek om het bijbehorende zijvenster te openen. Hier ziet u aanvullende informatie en inzichten, zoals gerelateerde ATT-&CK-technieken, tactieken en beschrijvingen.

Selecteer de specifieke aanvalstechniek om de gerelateerde pagina ATT&CK-techniek te openen, waar u meer informatie kunt vinden.

U kunt de details van een entiteit kopiëren wanneer u aan de rechterkant een blauw pictogram ziet. Als u bijvoorbeeld de SHA1 van een gerelateerd bestand wilt kopiëren, selecteert u het blauwe paginapictogram.

Schermopname met de details van de kopieerentiteit.

Schermopname van de details van het zijvenster.

U kunt hetzelfde doen voor opdrachtregels.

Schermopname van de optie voor het kopiëren van de opdrachtregel.

Als u geavanceerde opsporing wilt gebruiken om gebeurtenissen te vinden die betrekking hebben op de geselecteerde techniek, selecteert u Zoeken naar gerelateerde gebeurtenissen. Dit leidt naar de geavanceerde opsporingspagina met een query om gebeurtenissen te vinden die betrekking hebben op de techniek.

Schermopname van de optie Zoeken naar gerelateerde gebeurtenissen.

Opmerking

Als u een query uitvoert met de knop Zoeken naar gerelateerde gebeurtenissen in het deelvenster Techniek, worden alle gebeurtenissen weergegeven die betrekking hebben op de geïdentificeerde techniek, maar niet de techniek zelf in de queryresultaten.

EDR-client (MsSense.exe) Resource Manager

Wanneer de EDR-client op een apparaat weinig resources heeft, wordt de kritieke modus geactiveerd om de normale werking van het apparaat te behouden. Het apparaat verwerkt geen nieuwe gebeurtenissen totdat de EDR-client terugkeert naar een normale status. Er wordt een nieuwe gebeurtenis weergegeven in de tijdlijn voor dat apparaat die aangeeft dat de EDR-client is overgeschakeld naar de kritieke modus.

Wanneer het resourcegebruik van de EDR-client teruggaat naar een normaal niveau, wordt deze automatisch teruggezet naar de normale modus.

De tijdlijn van uw apparaat aanpassen

Rechtsboven in de tijdlijn van het apparaat kunt u een datumbereik kiezen om het aantal gebeurtenissen en technieken in de tijdlijn te beperken.

U kunt aanpassen welke kolommen u wilt weergeven. U kunt ook filteren op gemarkeerde gebeurtenissen op gegevenstype of op gebeurtenisgroep.

Kolommen kiezen die u wilt weergeven

U kunt kiezen welke kolommen u wilt weergeven in de tijdlijn door de knop Kolommen kiezen te selecteren.

Schermopname van het deelvenster waarin u kolommen kunt aanpassen.

Hier kunt u selecteren welke gegevensset u wilt opnemen.

Filteren om alleen technieken of gebeurtenissen weer te geven

Als u alleen gebeurtenissen of technieken wilt weergeven, selecteert u Filters in de tijdlijn van het apparaat en kiest u het gewenste gegevenstype dat u wilt weergeven.

Schermopname van het deelvenster Filters.

Tijdlijn gebeurtenisvlagken

Met gebeurtenisvlagmen in de tijdlijn van het Defender voor Eindpunt-apparaat kunt u specifieke gebeurtenissen filteren en organiseren wanneer u mogelijke aanvallen onderzoekt.

De apparaattijdlijn van Defender voor Eindpunt biedt een chronologische weergave van de gebeurtenissen en bijbehorende waarschuwingen die op een apparaat zijn waargenomen. Deze lijst met gebeurtenissen biedt volledig inzicht in alle gebeurtenissen, bestanden en IP-adressen die op het apparaat worden waargenomen. De lijst kan soms lang zijn. Met gebeurtenisvlagmen voor apparaattijdlijnen kunt u gebeurtenissen bijhouden die gerelateerd kunnen zijn.

Nadat u een apparaattijdlijn hebt doorlopen, kunt u de specifieke gebeurtenissen die u hebt gemarkeerd sorteren, filteren en exporteren.

Terwijl u door de tijdlijn van het apparaat navigeert, kunt u zoeken en filteren op specifieke gebeurtenissen. U kunt gebeurtenisvlagken instellen door:

  • De belangrijkste gebeurtenissen markeren
  • Gebeurtenissen markeren waarvoor een diepgaande analyse is vereist
  • Een schone tijdlijn voor inbreuk maken

Een vlag toevoegen aan een gebeurtenis

  1. Zoek de gebeurtenis die u wilt markeren.

  2. Selecteer het vlagpictogram in de kolom Vlag.

De tijdlijnvlag van het apparaat

Gemarkeerde gebeurtenissen weergeven

  1. Schakel in de sectie Filters voor tijdlijn gemarkeerde gebeurtenissen in.
  2. Selecteer Toepassen. Alleen gemarkeerde gebeurtenissen worden weergegeven.

U kunt meer filters toepassen door op de tijdbalk te klikken. Hiermee worden alleen gebeurtenissen weergegeven voorafgaand aan de gemarkeerde gebeurtenis.

Schermopname van de tijdlijnvlag van het apparaat met het filter ingeschakeld.

Tip

Wil je meer weten? Neem contact op met de Microsoft Security-community in onze Tech Community: Microsoft Defender for Endpoint Tech Community.