Dela via


tidslinje för Microsoft Defender för Endpoint enhet

Gäller för:

Obs!

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Tidslinjen för Defender för Endpoint-enheten hjälper dig att undersöka och undersöka avvikande beteende på dina enheter snabbare. Du kan utforska specifika händelser och slutpunkter för att granska potentiella attacker i din organisation. Du kan granska specifika tider för varje händelse, ange flaggor för uppföljning av potentiellt anslutna händelser och filtrera efter specifika datumintervall.

  • Anpassad tidsintervallväljare:

    Skärmbild av det anpassade tidsintervallet.

  • Processträdsupplevelse – panel på händelsesidan:

    Skärmbild av panelen på händelsesidan.

  • Alla MITRE-tekniker visas när det finns mer än en relaterad teknik:

    Skärmbild av alla MITRE-tekniker.

  • Tidslinjehändelser länkas till den nya användarsidan:

    Skärmbild av tidslinjehändelser som är länkade till den nya användarsidan.

    Skärmbild av tidslinjehändelser som är länkade till den nya användarsidan 2.

  • Definierade filter visas nu överst på tidslinjen:

    Skärmbild av definierade filter.

Tekniker i enhetens tidslinje

Du kan få mer information i en undersökning genom att analysera händelserna som inträffade på en specifik enhet. Välj först den enhet som är av intresse i listan Enheter. På enhetssidan kan du välja fliken Tidslinje för att visa alla händelser som har inträffat på enheten.

Förstå tekniker i tidslinjen

Viktigt

Viss information gäller en förhyrd produktfunktion i den offentliga förhandsversionen som kan ändras avsevärt innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.

I Microsoft Defender för Endpoint är tekniker ytterligare en datatyp i händelsetidslinjen. Tekniker ger mer insikt om aktiviteter som är associerade med MITRE ATT&CK-tekniker eller underteknik.

Den här funktionen förenklar undersökningsupplevelsen genom att hjälpa analytiker att förstå de aktiviteter som observerades på en enhet. Analytiker kan sedan besluta sig för att undersöka vidare.

Under förhandsversionen är Tekniker tillgängliga som standard och visas tillsammans med händelser när en enhets tidslinje visas.

Skärmbild av alla MITRE-tekniker.

Teknikerna är markerade i fetstil och visas med en blå ikon till vänster. Motsvarande MITRE ATT-&CK-ID och tekniknamn visas också som taggar under Ytterligare information.

Sök- och exportalternativ är också tillgängliga för Tekniker.

Undersök med hjälp av sidofönstret

Välj en teknik för att öppna motsvarande sidofönster. Här kan du se ytterligare information och insikter som relaterade ATT-&CK-tekniker, taktiker och beskrivningar.

Välj den specifika attacktekniken för att öppna sidan relaterad ATT&CK-teknik där du hittar mer information om den.

Du kan kopiera en entitets information när du ser en blå ikon till höger. Om du till exempel vill kopiera en relaterad fils SHA1 väljer du den blå sidikonen.

Skärmbild som visar information om kopieringsentitet.

Skärmbild som visar information om sidofönstret.

Du kan göra samma sak för kommandorader.

Skärmbild som visar alternativet att kopiera kommandoraden.

Om du vill använda avancerad jakt för att hitta händelser relaterade till den valda tekniken väljer du Jaga efter relaterade händelser. Detta leder till sidan avancerad jakt med en fråga för att hitta händelser relaterade till tekniken.

Skärmbild som visar alternativet Jaga relaterade händelser.

Obs!

Om du kör frågor med knappen Jaga efter relaterade händelser från ett fönster på tekniksidan visas alla händelser som är relaterade till den identifierade tekniken, men inte själva tekniken i frågeresultatet.

Anpassa enhetens tidslinje

Längst upp till höger på enhetens tidslinje kan du välja ett datumintervall för att begränsa antalet händelser och tekniker i tidslinjen.

Du kan anpassa vilka kolumner som ska exponeras. Du kan också filtrera efter flaggade händelser efter datatyp eller efter händelsegrupp.

Välj kolumner som ska exponeras

Du kan välja vilka kolumner som ska visas på tidslinjen genom att välja knappen Välj kolumner .

Skärmbild som visar fönstret där du kan anpassa kolumner.

Därifrån kan du välja vilken information som ska inkluderas.

Filtrera om du bara vill visa tekniker eller händelser

Om du bara vill visa händelser eller tekniker väljer du Filter från enhetens tidslinje och väljer önskad datatyp att visa.

Skärmbild som visar fönstret Filter.

Händelseflaggor för tidslinjen

Händelseflaggor i tidslinjen för Defender för Endpoint-enheter hjälper dig att filtrera och organisera specifika händelser när du undersöker potentiella attacker.

Tidslinjen för Defender för Endpoint-enheten ger en kronologisk vy över händelser och associerade aviseringar som observerats på en enhet. Den här listan över händelser ger fullständig insyn i händelser, filer och IP-adresser som observerats på enheten. Listan kan ibland vara lång. Händelseflaggor för enhetens tidslinje hjälper dig att spåra händelser som kan vara relaterade.

När du har gått igenom en tidslinje för enheten kan du sortera, filtrera och exportera de specifika händelser som du har flaggat.

När du navigerar i enhetens tidslinje kan du söka efter och filtrera efter specifika händelser. Du kan ange händelseflaggor genom att:

  • Markera de viktigaste händelserna
  • Markera händelser som kräver djupdykning
  • Skapa en tidslinje för ren överträdelse

Flagga en händelse

  1. Leta upp den händelse som du vill flagga.

  2. Välj flaggikonen i kolumnen Flagga.

Flaggan för enhetens tidslinje

Visa flaggade händelser

  1. I avsnittet Tidslinjefilter aktiverar du Flaggade händelser.
  2. Välj Använd. Endast flaggade händelser visas.

Du kan använda fler filter genom att klicka på tidsfältet. Detta visar bara händelser före den flaggade händelsen.

Skärmbild som visar flaggan för enhetens tidslinje med filtret aktiverat.

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.