Поделиться через

Временная шкала устройства Microsoft Defender для конечной точки

  • Статья

Область применения:

Примечание.

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Временная шкала устройств Defender для конечной точки помогает быстрее исследовать аномальное поведение на устройствах. Вы можете изучить определенные события и конечные точки, чтобы проверить потенциальные атаки в организации. Вы можете просмотреть определенное время каждого события, задать флаги для выполнения потенциально связанных событий и отфильтровать их по определенным диапазонам дат.

  • Настраиваемое средство выбора диапазона времени:

    Снимок экрана: пользовательский диапазон времени.

  • Взаимодействие с деревом процессов — боковая панель событий:

    Снимок экрана: боковая панель события.

  • Все методы MITRE отображаются при наличии нескольких связанных методов:

    Снимок экрана: все методы MITRE.

  • События временной шкалы связаны с новой страницей пользователя:

    Снимок экрана: события временной шкалы, связанные с новой страницей пользователя.

    Снимок экрана: события временной шкалы, связанные со страницей нового пользователя 2.

  • Определенные фильтры теперь отображаются в верхней части временной шкалы:

    Снимок экрана: определенные фильтры.

Методы на временной шкале устройства

Вы можете получить дополнительные сведения в исследовании, проанализировав события, произошедшие на определенном устройстве. Сначала выберите интересующее устройство в списке Устройства. На странице устройства можно выбрать вкладку Временная шкала , чтобы просмотреть все события, произошедшие на устройстве.

Общие сведения о методах на временной шкале

Важно!

Некоторые сведения относятся к предварительно выпущенной функции продукта в общедоступной предварительной версии, которая может быть существенно изменена до его коммерческого выпуска. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.

В Microsoft Defender для конечной точки методы являются дополнительным типом данных на временной шкале событий. Методы предоставляют дополнительные сведения о действиях, связанных с MITRE ATT& методами CK или подтехнические компоненты.

Эта функция упрощает исследование, помогая аналитикам понять действия, которые наблюдались на устройстве. Затем аналитики могут принять решение о дальнейшем расследовании.

Во время предварительной версии методы доступны по умолчанию и отображаются вместе с событиями при просмотре временной шкалы устройства.

Снимок экрана: все методы MITRE.

Методы выделены полужирным шрифтом и отображаются синим значком слева. Соответствующие mitre ATT&идентификатор CK и имя метода также отображаются в виде тегов в разделе Дополнительные сведения.

Параметры поиска и экспорта также доступны для методов.

Исследование с помощью боковой области

Выберите метод, чтобы открыть соответствующую боковую панель. Здесь можно просмотреть дополнительные сведения и аналитические сведения, такие как связанные методы ATT&CK, тактики и описания.

Выберите конкретный метод атаки , чтобы открыть соответствующую страницу ATT&технике CK, где можно найти дополнительные сведения о нем.

Сведения о сущности можно скопировать, когда справа отображается синий значок. Например, чтобы скопировать SHA1 связанного файла, щелкните значок синей страницы.

Снимок экрана: сведения о сущности копирования.

Снимок экрана: сведения о боковой области.

То же самое можно сделать для командных строк.

Снимок экрана: параметр копирования командной строки.

Чтобы использовать расширенную охоту для поиска событий, связанных с выбранной техникой, выберите Поиск связанных событий. Это приводит к расширенной странице охоты с запросом на поиск событий, связанных с техникой.

Снимок экрана: параметр

Примечание.

Запрос с помощью кнопки "Поиск связанных событий " на боковой панели "Метод" отображает все события, связанные с идентифицированным методом, но не включает сам метод в результаты запроса.

Клиент EDR (MsSense.exe) Resource Manager

Когда клиент EDR на устройстве работает с нехваткой ресурсов, он переходит в критический режим для поддержания нормальной работы устройства. Устройство не будет обрабатывать новые события, пока клиент EDR не вернется в нормальное состояние. На временной шкале этого устройства появится новое событие, указывающее, что клиент EDR переключился в критический режим.

Когда использование ресурсов клиента EDR возвращается на обычный уровень, он автоматически вернется в обычный режим.

Настройка временной шкалы устройства

В правом верхнем углу временной шкалы устройства можно выбрать диапазон дат, чтобы ограничить количество событий и методов на временной шкале.

Вы можете настроить столбцы для предоставления. Вы также можете фильтровать помеченные события по типу данных или по группе событий.

Выбор столбцов для предоставления

Чтобы выбрать столбцы для предоставления на временной шкале, нажмите кнопку Выбрать столбцы .

Снимок экрана: панель, в которой можно настроить столбцы.

Здесь вы можете выбрать набор сведений для включения.

Фильтрация только для просмотра методов или событий

Чтобы просмотреть только события или методы, выберите Фильтры на временной шкале устройства и выберите предпочтительный тип данных для просмотра.

Снимок экрана: панель

Флаги событий временной шкалы

Флаги событий на временной шкале устройства Defender для конечной точки помогают фильтровать и упорядочивать определенные события при расследовании потенциальных атак.

Временная шкала устройства Defender для конечной точки предоставляет хронологическое представление событий и связанных оповещений, наблюдаемых на устройстве. Этот список событий обеспечивает полную видимость всех событий, файлов и IP-адресов, наблюдаемых на устройстве. Иногда список может быть длинным. Флаги событий временной шкалы устройства помогают отслеживать события, которые могут быть связаны.

После прохождения временной шкалы устройства можно сортировать, фильтровать и экспортировать определенные события, помеченные вами.

При переходе по временной шкале устройства можно искать и фильтровать определенные события. Флаги событий можно задать следующими способами:

  • Выделение наиболее важных событий
  • Маркировка событий, требующих глубокого погружения
  • Создание временной шкалы чистых нарушений

Пометка события

  1. Найдите событие, которое нужно пометить.

  2. Щелкните значок флага в столбце Флаг.

Флаг временной шкалы устройства

Просмотр помеченных событий

  1. В разделе Фильтры временной шкалы включите помеченные события.
  2. Нажмите Применить. Отображаются только помеченные события.

Дополнительные фильтры можно применить, щелкнув полосу времени. При этом будут отображаться только события до отмеченного события.

Снимок экрана: флаг временной шкалы устройства с включенным фильтром.

Совет

Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender для конечной точки Tech Community.