Обзор обнаружения и нейтрализации атак на конечные точки

Область применения:

• Microsoft Defender для конечной точки, планы 1 и 2
• Microsoft Defender XDR

Хотите попробовать Microsoft Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Возможности обнаружения и реагирования на конечные точки в Defender для конечной точки обеспечивают расширенные обнаружения атак, которые доступны практически в режиме реального времени. Аналитики систем безопасности могут эффективно определять приоритеты предупреждений, получать полную картину всех возможных брешей в системе безопасности, а также предпринимать действия по реагированию для устранения угроз.

При обнаружении угрозы в системе создаются предупреждения, которые затем исследуются аналитиками. Предупреждения, относящиеся к одинаковым методам атаки или к одному и тому же злоумышленнику, система агрегирует в объект, называемый инцидентом. Агрегирование предупреждений таким способом упрощает аналитикам выполнение обобщенных расследований угроз и реагирование на такие угрозы.

Примечание.

Обнаружение Defender для конечной точки не предназначено для аудита или ведения журнала, которое записывает все операции или действия, происходящие в данной конечной точке. Наш датчик имеет внутренний механизм регулирования, поэтому высокая частота повторения идентичных событий не заполняет журналы.

Важно!

Defender для конечной точки плана 1 и Microsoft Defender для бизнеса включают только следующие действия реагирования вручную:

• Запуск проверки на вирусы
• Изоляция устройства
• Остановка и карантин файла
• Добавление индикатора для блокировки или разрешения файла

Воодушевленный установкой "предполагать нарушение", Defender для конечной точки постоянно собирает данные киберметрии поведения. Сюда входят сведения о процессах, действиях в сети, глубокий анализ ядра и диспетчера памяти, информация о действиях по входу в систему, об изменениях в реестре и файловой системе, а также о других действиях. Информация хранится в течение шести месяцев, благодаря чему аналитики могут изучать события вплоть до начала атаки. Затем аналитик может создать различные сводные представления и провести расследование в нескольких направлениях.

Функции реагирования позволяют быстро устранять угрозы, выполняя действия над затронутыми объектами.

См. также

• Очередь инцидентов
• Очередь оповещений
• Список устройств

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.