Прочитать на английском

Поделиться через


Страница сущности устройства в Microsoft Defender

Страница сущностей устройства на портале Microsoft Defender поможет вам в исследовании сущностей устройства. Страница содержит все важные сведения о данной сущности устройства. Если оповещение или инцидент указывает на то, что устройство ведет себя подозрительно или может быть скомпрометировано, изучите сведения об устройстве, чтобы определить другое поведение или события, которые могут быть связаны с оповещением или инцидентом, и обнаружить потенциальные область нарушения. Вы также можете использовать страницу сущности устройства для выполнения некоторых общих задач безопасности, а также некоторых действий по реагированию на устранение или устранение угроз безопасности.

Важно!

Набор содержимого, отображаемый на странице сущности устройства, может немного отличаться в зависимости от регистрации устройства в Microsoft Defender для конечной точки и Microsoft Defender для удостоверений.

Если ваша организация подключена Microsoft Sentinel к порталу Defender, появятся дополнительные сведения.

В Microsoft Sentinel сущности устройств также называются сущностями узла. Подробнее.

Microsoft Sentinel общедоступна на единой платформе операций безопасности Майкрософт на портале Microsoft Defender. В предварительной версии Microsoft Sentinel доступны на портале Defender без Microsoft Defender XDR или лицензии E5. Дополнительные сведения см. в разделе Microsoft Sentinel на портале Microsoft Defender.

Сущности устройств можно найти в следующих областях:

  • Список устройств в разделе Активы
  • Очередь оповещений
  • Любое отдельное оповещение или инцидент
  • Страница любой отдельной сущности пользователя
  • Представление сведений об отдельных файлах
  • Представление сведений об IP-адресе или домене
  • Журнал действий
  • Запросы расширенной охоты
  • Центр уведомлений

Вы можете выбрать устройства, когда они отображаются на портале, чтобы открыть страницу сущности устройства, на которой отображаются дополнительные сведения об устройстве. Например, можно просмотреть сведения об устройствах, перечисленных в оповещениях об инциденте на портале Microsoft Defender в разделе Инциденты & оповещениях > Инциденты Инциденты>> Активы > устройства.

Снимок экрана: страница

На странице сущности устройства представлены сведения в формате табуляции. В этой статье описаны типы информации, доступные на каждой вкладке, а также действия, которые можно выполнить на данном устройстве.

На странице сущности устройства отображаются следующие вкладки:

Заголовок страницы сущности

Самый верхний раздел страницы сущности содержит следующие сведения:

  • Имя сущности
  • Индикаторы серьезности риска, важности и значения устройства
  • Теги , по которым можно классифицировать устройство. Можно добавить с помощью Defender для конечной точки, Defender для удостоверений или пользователей. Теги из Microsoft Defender для удостоверений не редактируются.
  • Действия ответа также находятся здесь. Дополнительные сведения о них см. ниже.

Вкладка "Обзор "

Вкладка по умолчанию — Обзор. Она позволяет быстро изучить наиболее важные факты о безопасности устройства. Вкладка Обзор содержит боковую панель сведений об устройстве и панель мониторинга с некоторыми карточками, отображающими сведения высокого уровня.

Сведения об устройстве

На боковой панели перечислены полное имя устройства и уровень экспозиции. В нем также содержатся некоторые важные основные сведения в небольших подразделах, которые можно развернуть или свернуть, например:

Раздел Включенная информация
Сведения о виртуальной машине Имена и идентификаторы компьютеров и доменов, состояния работоспособности и подключения, метки времени для первых и последних просмотренных, IP-адреса и многое другое
Сведения о синхронизации политики защиты от потери данных Если применимо
Состояние конфигурации Сведения о конфигурации Microsoft Defender для конечной точки
Сведения об облачном ресурсе Облачная платформа, идентификатор ресурса, сведения о подписке и многое другое
Оборудование и встроенное ПО Сведения о виртуальной машине, процессоре и BIOS и многое другое
Управление устройствами Microsoft Defender для конечной точки сведения о состоянии регистрации и управлении
Данные каталога Флаги контроля учетных записей, имена субъектов-служб и членство в группах.

Панель мониторинга

В main части вкладки Обзор отображается несколько карточек отображения для панели мониторинга:

  • Активные оповещения и уровень риска, связанные с устройством за последние шесть месяцев, сгруппированные по серьезности
  • Оценки безопасности и уровень уязвимости устройства
  • Пользователи, вошедший в систему на устройстве за последние 30 дней
  • Состояние работоспособности устройства и другие сведения о последних проверках устройства.

Совет

Уровень уязвимости зависит от того, насколько устройство соответствует рекомендациям по безопасности, в то время как уровень риска рассчитывается на основе ряда факторов, включая типы и серьезность активных оповещений.

Снимок экрана: вкладка

Вкладка "Инциденты и оповещения "

На вкладке Инциденты и оповещения содержится список инцидентов, содержащих оповещения, которые были вызваны на устройстве, из любого из нескольких источников обнаружения Microsoft Defender, включая, при подключении, Microsoft Sentinel. Этот список представляет собой отфильтрованную версию очереди инцидентов и содержит краткое описание инцидента или оповещения, его серьезности (высокий, средний, низкий, информационный), состояние в очереди (новый, выполняется, разрешено), ее классификацию (не задано, ложное оповещение, истинное оповещение), состояние исследования, категорию, кому назначено решение и последнее наблюдаемое действие.

Вы можете настроить, какие столбцы будут отображаться для каждого элемента. Вы также можете отфильтровать оповещения по серьезности, состоянию или любому другому столбцу на дисплее.

Столбец затронутых сущностей относится ко всем сущностям устройства и пользователей, на которые ссылается инцидент или оповещение.

При выборе инцидента или оповещения появляется всплывающее окно. На этой панели можно управлять инцидентом или оповещением и просматривать дополнительные сведения, например номер инцидента или оповещения и связанные устройства. Одновременно можно выбрать несколько оповещений.

Чтобы просмотреть полную страницу инцидента или оповещения, выберите его название.

Снимок экрана: вкладка

Вкладка "Временная шкала "

На вкладке Временная шкала отображается хронологическое представление всех событий, наблюдаемых на устройстве. Это поможет сопоставить любые события, файлы и IP-адреса по отношению к устройству.

Выбор столбцов, отображаемых в списке, можно настроить. В столбцах по умолчанию перечислены время события, активный пользователь, тип действия, связанные сущности (процессы, файлы, IP-адреса) и дополнительные сведения о событии.

Вы можете управлять периодом времени, для которого отображаются события, скользя границы периода времени по общему временная шкала графу в верхней части страницы. Вы также можете выбрать период времени в раскрывающемся списке в верхней части списка (по умолчанию — 30 дней). Чтобы дополнительно управлять представлением, можно фильтровать по группам событий или настраивать столбцы.

События стоимостью до семи дней можно экспортировать в CSV-файл для скачивания.

Детализировать сведения об отдельных событиях, выбрав и событие и просмотрев его сведения на открывшейся всплывающей панели. См . сведения о событии ниже.

Примечание

Чтобы отобразить события брандмауэра, необходимо включить политику аудита. См. статью Аудит подключения к платформе фильтрации.

Брандмауэр охватывает следующие события:

  • 5025 — служба брандмауэра остановлена
  • 5031 — приложение заблокировано принимать входящие подключения в сети
  • 5157 — заблокированное подключение

Снимок экрана: вкладка Временная шкала для страницы сущности устройства на портале Microsoft Defender.

Сведения о событиях

Выберите событие, чтобы просмотреть соответствующие сведения о нем. Откроется всплывающая панель для отображения гораздо больше сведений о событии. Типы отображаемых сведений зависят от типа события. Если применимо и данные доступны, вы можете увидеть диаграмму, показывающую связанные сущности и их связи, например цепочку файлов или процессов. Вы также можете увидеть краткое описание тактики и методов MITRE ATT&CK, применимых к событию.

Чтобы дополнительно проверить событие и связанные события, можно быстро выполнить расширенный запрос охоты , выбрав Поиск связанных событий. Запрос возвращает выбранное событие и список других событий, произошедших примерно в одно и то же время в той же конечной точке.

Снимок экрана: панель сведений о событии.

Вкладка "Рекомендации по безопасности "

На вкладке Рекомендации по безопасности перечислены действия, которые можно предпринять для защиты устройства. При выборе элемента в этом списке откроется всплывающий элемент, в котором можно получить инструкции по применению рекомендации.

Как и на предыдущих вкладках, можно настроить выбор отображаемых столбцов.

Представление по умолчанию содержит столбцы, в которых подробно описаны уязвимости системы безопасности, связанная угроза, связанный компонент или программное обеспечение, затронутые угрозой, и многое другое. Элементы можно фильтровать по состоянию рекомендации.

Дополнительные сведения о рекомендациях по безопасности.

Снимок экрана: вкладка

Вкладка "Инвентаризация "

На этой вкладке отображаются данные инвентаризации четырех типов компонентов: программного обеспечения, уязвимых компонентов, расширений браузера и сертификатов.

Инвентаризация программного обеспечения

В этом карта выводится список программного обеспечения, установленного на устройстве.

В представлении по умолчанию отображается поставщик программного обеспечения, номер установленной версии, количество известных уязвимостей программного обеспечения, аналитика угроз, код продукта и теги. Количество отображаемых элементов и отображаемые столбцы можно настроить.

При выборе элемента из этого списка открывается всплывающее окно, содержащее дополнительные сведения о выбранном программном обеспечении, а также путь и метку времени для последнего обнаружения программного обеспечения.

Этот список можно отфильтровать по коду продукта, слабым местам и наличию угроз.

Снимок экрана: вкладка

Уязвимые компоненты

В этом карта перечислены компоненты программного обеспечения, содержащие уязвимости.

Параметры представления и фильтрации по умолчанию совпадают с параметрами для программного обеспечения.

Выберите элемент, чтобы отобразить дополнительные сведения во всплывающем элементе.

Расширения браузера

В этом карта отображаются расширения браузера, установленные на устройстве. Отображаемые по умолчанию поля: имя расширения, браузер, для которого оно установлено, версия, риск разрешений (в зависимости от типа доступа к устройствам или сайтам, запрошенным расширением), а также состояние. При необходимости можно также отобразить поставщика.

Выберите элемент, чтобы отобразить дополнительные сведения во всплывающем элементе.

Сертификаты

В этом карта отображаются все сертификаты, установленные на устройстве.

Поля, отображаемые по умолчанию: имя сертификата, дата выпуска, дата окончания срока действия, размер ключа, издатель, алгоритм подписи, использование ключа и количество экземпляров.

Список можно фильтровать по состоянию, самозаверяющей или нет, размеру ключа, хэшу подписи и использованию ключа.

Выберите сертификат, чтобы отобразить дополнительные сведения во всплывающем элементе.

Вкладка "Обнаруженные уязвимости "

На этой вкладке перечислены все распространенные уязвимости и эксплойты (CVEs), которые могут повлиять на устройство.

В представлении по умолчанию перечислены серьезность CVE, общая оценка уязвимостей (CVSS), программное обеспечение, связанное с CVE, когда cve была опубликована, когда CVE была впервые обнаружена и обновлена, а также угрозы, связанные с CVE.

Как и на предыдущих вкладках, можно настроить выбор отображаемых столбцов. Список можно отфильтровать по серьезности, состоянию угрозы, уязвимости устройства и тегам.

При выборе элемента из этого списка открывается всплывающий элемент с описанием CVE.

Снимок экрана: вкладка

Вкладка "Отсутствующие базы знаний"

На вкладке Отсутствующие кб перечислены все Обновления Майкрософт, которые еще не были применены к устройству. Рассматриваемые "KB" — это статьи базы знаний, в которых описаны эти обновления; например, KB4551762.

В представлении по умолчанию отображается бюллетень, содержащий обновления, версию ОС, идентификатор базы знаний, затронутые продукты, адресные cvEs и теги.

Выбор отображаемых столбцов можно настроить.

При выборе элемента открывается всплывающий элемент, который ссылается на обновление.

вкладка "События Sentinel"

Если ваша организация подключена Microsoft Sentinel к порталу Defender, эта дополнительная вкладка находится на странице сущности устройства. Эта вкладка импортирует страницу сущности Узел из Microsoft Sentinel.

Sentinel временная шкала

В этом временная шкала отображаются оповещения, связанные с сущностью устройства, известной в Microsoft Sentinel как сущность узла. К этим оповещениям относятся оповещения, которые можно увидеть на вкладке Инциденты и оповещения, а также оповещения, созданные Microsoft Sentinel из сторонних источников данных.

В этом временная шкала также показаны поиски закладок из других исследований, которые ссылаются на эту сущность пользователя, события активности пользователей из внешних источников данных и необычное поведение, обнаруженное правилами аномалий Microsoft Sentinel.

Insights

Аналитика сущностей — это запросы, определенные исследователями безопасности Майкрософт, которые помогают вам более эффективно и эффективно исследовать. Эти аналитические сведения автоматически задают большие вопросы о сущности устройства, предоставляя ценные сведения о безопасности в виде табличных данных и диаграмм. Аналитические сведения включают данные о входах, добавлении групп, выполнении процессов, аномальных событиях и т. д., а также расширенные алгоритмы машинного обучения для обнаружения аномального поведения.

Ниже приведены некоторые аналитические сведения.

  • Снимок экрана, сделанный на узле.
  • Процессы, неподписанные корпорацией Майкрософт, обнаружены.
  • Сведения о выполнении процесса Windows.
  • Действия входа в Windows.
  • Действия с учетными записями.
  • Журналы событий очищаются на узле.
  • Добавление групп.
  • Перечисление узлов, пользователей, групп на узле.
  • Microsoft Defender управление приложениями.
  • Обработка редкости с помощью вычисления энтропии.
  • Аномально большое число событий безопасности.
  • Аналитика списка просмотров (предварительная версия).
  • События Windows антивирусная программа Defender.

Аналитические сведения основаны на следующих источниках данных:

  • Системный журнал (Linux)
  • SecurityEvent (Windows)
  • AuditLogs (Microsoft Entra ID)
  • SigninLogs (Microsoft Entra ID)
  • OfficeActivity (Office 365)
  • BehaviorAnalytics (Microsoft Sentinel UEBA)
  • Heartbeat (агент Azure Monitor)
  • CommonSecurityLog (Microsoft Sentinel)

Снимок экрана: вкладка событий Sentinel на странице сущности пользователя.

Если вы хотите дополнительно изучить какие-либо аналитические сведения на этой панели, щелкните ссылку, сопровождающую аналитические сведения. По ссылке вы перейдете на страницу Расширенный поиск , где отображается запрос, лежащий в основе аналитических сведений, а также его необработанные результаты. Вы можете изменить запрос или детализировать результаты, чтобы расширить исследование или просто удовлетворить любопытство.

Снимок экрана: экран расширенной охоты с запросом аналитических сведений.

Действия реагирования

Действия по реагированию предлагают сочетания клавиш для анализа, исследования и защиты от угроз.

Снимок экрана: панель действий для страницы сущности устройства на портале Microsoft Defender.

Важно!

  • Действия ответа доступны только в том случае, если устройство зарегистрировано в Microsoft Defender для конечной точки.
  • Устройства, зарегистрированные в Microsoft Defender для конечной точки, могут отображать разное количество действий ответа в зависимости от операционной системы и номера версии устройства.

Действия ответа выполняются в верхней части страницы определенного устройства и включают в себя:

Действие Описание
Значение устройства
Установка важности
Управление тегами Обновления настраиваемые теги, примененные к этому устройству.
Сообщить об ошибке устройства
Запуск антивирусной проверки Обновления Microsoft Defender определения антивирусной программы и немедленно запускает антивирусную проверку. Выберите быструю или полную проверку.
Сбор пакета исследования Собирает сведения об устройстве. Когда исследование будет завершено, вы можете скачать его.
Ограничить выполнение приложения Запрещает запуск приложений, которые не подписаны корпорацией Майкрософт.
Запуск автоматического исследования Автоматически исследует и устраняет угрозы. Хотя вы можете вручную активировать автоматические исследования для запуска на этой странице, некоторые политики оповещений запускают автоматические исследования самостоятельно.
Запуск сеанса динамического реагирования Загружает удаленную оболочку на устройство для углубленного исследования безопасности.
Изоляция устройства Изолирует устройство от сети организации, сохраняя при этом его подключение к Microsoft Defender. Вы можете разрешить запуск Outlook, Teams и Skype для бизнеса во время изоляции устройства в целях общения.
Спросите экспертов Defender
Центр уведомлений Отображает сведения о всех выполняемых в настоящее время действиях реагирования. Доступно только в том случае, если уже выбрано другое действие.
Скачивание принудительного выпуска из сценария изоляции
Exclude
Запуск слежения
Включение режима устранения неполадок
Синхронизация политик

Совет

Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.