Dela via

Sidan Enhetsprofil

  • Artikel

Microsoft Defender-portalen tillhandahåller enhetsprofilsidor så att du snabbt kan utvärdera hälsotillståndet och statusen för enheter i nätverket.

Viktigt

Enhetsprofilsidan kan se något annorlunda ut beroende på om enheten har registrerats i Microsoft Defender för Endpoint, Microsoft Defender för identitet eller båda.

Om enheten har registrerats i Microsoft Defender för Endpoint kan du även använda enhetsprofilsidan för att utföra några vanliga säkerhetsuppgifter.

Navigera på enhetens profilsida

Profilsidan är uppdelad i flera breda avsnitt.

Sidan Enhetsprofil i Microsoft Defender-portalen

Sidopanelen (1) visar grundläggande information om enheten.

Huvudinnehållsområdet (2) innehåller flikar som du kan växla mellan för att visa olika typer av information om enheten.

Om enheten har registrerats i Microsoft Defender för Endpoint visas även en lista över svarsåtgärder (3). Med svarsåtgärder kan du utföra vanliga säkerhetsrelaterade uppgifter.

Bredvid huvudinnehållsområdet på enhetens profilsida finns sidofältet.

Fliken Sidofält för enhetsprofil i Microsoft Defender-portalen

I sidofältet visas enhetens fullständiga namn och exponeringsnivå. Den innehåller också viktig grundläggande information i små underavsnitt, som kan växlas öppna eller stängda, till exempel:

  • Taggar – Alla Microsoft Defender för Endpoint, Microsoft Defender för identitet eller anpassade taggar som är associerade med enheten. Taggar från Microsoft Defender för identitet kan inte redigeras.
  • Säkerhetsinformation – Öppna incidenter och aktiva aviseringar. Enheter som registrerats i Microsoft Defender för Endpoint visar exponeringsnivå och risknivå.

Tips

Exponeringsnivån avser hur mycket enheten följer säkerhetsrekommendationerna, medan risknivån beräknas baserat på ett antal faktorer, inklusive typer och allvarlighetsgrad för aktiva aviseringar.

  • Enhetsinformation – domän, operativsystem, tidsstämpel för när enheten först sågs, IP-adresser, resurser. Enheter som har registrerats i Microsoft Defender för Endpoint visar också hälsotillstånd. Enheter som registrerats i Microsoft Defender för identitet visar SAM-namn och en tidsstämpel för när enheten först skapades.
  • Nätverksaktivitet – Tidsstämplar för första gången och senaste gången enheten sågs i nätverket.
  • Katalogdata (endast för enheter som registrerats i Microsoft Defender för identitet) – UAC-flaggor , SPN:er och gruppmedlemskap.

Svarsåtgärder

Svarsåtgärder är ett snabbt sätt att skydda sig mot och analysera hot.

Åtgärdsfältet för enhetsprofilen i Microsoft Defender-portalen

Viktigt

  • Svarsåtgärder är endast tillgängliga om enheten har registrerats i Microsoft Defender för Endpoint.
  • Enheter som har registrerats i Microsoft Defender för Endpoint kan visa olika antal svarsåtgärder, baserat på enhetens operativsystem och versionsnummer.

Åtgärder som är tillgängliga på enhetens profilsida är:

  • Hantera taggar – Uppdaterar anpassade taggar som du har tillämpat på den här enheten.
  • Isolera enheten – Isolerar enheten från organisationens nätverk samtidigt som den är ansluten till Microsoft Defender för Endpoint. Du kan välja att tillåta att Outlook, Teams och Skype för företag körs medan enheten är isolerad i kommunikationssyfte.
  • Åtgärdscenter – Visa status för skickade åtgärder. Endast tillgängligt om en annan åtgärd redan har valts.
  • Begränsa appkörning – Förhindrar att program som inte är signerade av Microsoft körs.
  • Kör antivirusgenomsökning – Uppdaterar Microsoft Defender Antivirus-definitioner och kör omedelbart en antivirusgenomsökning. Välj mellan Snabbsökning eller Fullständig genomsökning.
  • Samla in undersökningspaket – Samlar in information om enheten. När undersökningen är klar kan du ladda ned den.
  • Initiera livesvarssession – Läser in ett fjärrgränssnitt på enheten för djupgående säkerhetsundersökningar.
  • Initiera automatiserad undersökningUndersöker och åtgärdar hot automatiskt. Även om du kan utlösa automatiserade undersökningar manuellt för att köra från den här sidan utlöser vissa aviseringsprinciper automatiska undersökningar på egen hand.
  • Åtgärdscenter – Visar information om eventuella svarsåtgärder som körs för närvarande.

Tabbavsnitt

Med enhetsprofilflikarna kan du växla mellan en översikt över säkerhetsinformation om enheten och tabeller som innehåller en lista över aviseringar.

Enheter som registrerats i Microsoft Defender för Endpoint visar flikar med en tidslinje, en lista över säkerhetsrekommendationer, en programvaruinventering, en lista över identifierade säkerhetsrisker och saknade KB:er (säkerhetsuppdateringar).

Fliken Översikt

Standardfliken är Översikt. Den ger en snabb titt på det viktigaste säkerhetsfakta om enheten.

Fliken Översikt för enhetsprofil i Microsoft Defender-portalen

Här kan du få en snabb titt på enhetens aktiva aviseringar och alla användare som är inloggade för tillfället.

Om enheten har registrerats i Microsoft Defender för Endpoint visas även enhetens risknivå och alla tillgängliga data om säkerhetsutvärderingar. Säkerhetsbedömningarna beskriver enhetens exponeringsnivå, ger säkerhetsrekommendationer och listar berörda program och identifierade sårbarheter.

Fliken Aviseringar

Fliken Aviseringar innehåller en lista över aviseringar som har utlösts på enheten, från både Microsoft Defender för identitet och Microsoft Defender för Endpoint.

Fliken Aviseringar för enhetsprofil i Microsoft Defender-portalen

Du kan anpassa antalet objekt som visas och vilka kolumner som visas för varje objekt. Standardbeteendet är att visa 30 objekt per sida.

Kolumnerna på den här fliken innehåller information om allvarlighetsgraden för det hot som utlöste aviseringen och statusen, undersökningstillståndet och vem aviseringen har tilldelats.

Kolumnen påverkade entiteter refererar till den enhet (entitet) vars profil du visar för närvarande, plus alla andra enheter i nätverket som påverkas.

Om du väljer ett objekt i den här listan öppnas en utfälld meny med ännu mer information om den valda aviseringen.

Den här listan kan filtreras efter allvarlighetsgrad, status eller vem aviseringen är tilldelad till.

Fliken Tidslinje

Fliken Tidslinje innehåller ett interaktivt kronologiskt diagram över alla händelser som genereras på enheten. Genom att flytta det markerade området i diagrammet till vänster eller höger kan du visa händelser under olika tidsperioder. Du kan också välja ett anpassat datumintervall från den nedrullningsbara menyn mellan det interaktiva diagrammet och listan över händelser.

Under diagrammet finns en lista över händelser för det valda datumintervallet.

Fliken Tidslinje för enhetsprofil i Microsoft Defender-portalen

Antalet objekt som visas och kolumnerna i listan kan båda anpassas. Standardkolumnerna visar händelsetiden, aktiv användare, åtgärdstyp, entiteter (processer) och ytterligare information om händelsen.

Om du väljer ett objekt i den här listan öppnas en utfälld utfällning som visar en händelseentitetsgraf som visar de överordnade och underordnade processer som ingår i händelsen.

Listan kan filtreras efter den specifika händelsen. Till exempel Registerhändelser eller Smart Screen-händelser.

Listan kan också exporteras till en CSV-fil för nedladdning. Även om filen inte begränsas av antalet händelser är det maximala tidsintervallet som du kan välja att exportera sju dagar.

Fliken Säkerhetsrekommendationer

På fliken Säkerhetsrekommendationer visas åtgärder som du kan vidta för att skydda enheten. Om du väljer ett objekt i den här listan öppnas en utfälld meny där du kan få instruktioner om hur du tillämpar rekommendationen.

Fliken Säkerhetsrekommendationer för enhetsprofil i Microsoft Defender-portalen

Precis som med föregående flikar kan antalet objekt som visas per sida och vilka kolumner som visas anpassas.

Standardvyn innehåller kolumner som beskriver de säkerhetsbrister som åtgärdas, det associerade hotet, den relaterade komponenten eller programvaran som påverkas av hotet med mera. Objekt kan filtreras efter rekommendationens status.

Programvaruinventering

På fliken Programvaruinventering visas programvara som är installerad på enheten.

Fliken Programvaruinventering för enhetsprofil i Microsoft Defender-portalen

Standardvyn visar programvaruleverantören, det installerade versionsnumret, antalet kända programvarubrister, hotinsikter, produktkod och taggar. Antalet objekt som visas och vilka kolumner som visas kan båda anpassas.

Om du väljer ett objekt i den här listan öppnas en utfälld meny som innehåller mer information om den valda programvaran och sökvägen och tidsstämpeln för den senaste gången programvaran hittades.

Den här listan kan filtreras efter produktkod.

Fliken Identifierade sårbarheter

På fliken Identifierade säkerhetsrisker visas alla vanliga sårbarheter och sårbarheter (CVE:er) som kan påverka enheten.

Fliken Identifierade säkerhetsrisker för enhetsprofil i Microsoft Defender-portalen

Standardvyn visar allvarlighetsgraden för CVE, Common Vulnerability Score (CVS), programvaran som är relaterad till CVE, när CVE publicerades, när CVE senast uppdaterades och hot som är associerade med CVE.

Precis som med föregående flikar kan antalet objekt som visas och vilka kolumner som visas anpassas.

Om du väljer ett objekt i den här listan öppnas en utfälld meny som beskriver CVE.

Saknade KB:er

På fliken Saknade KB:er visas alla Microsoft-uppdateringar som ännu inte har tillämpats på enheten. De aktuella "KB:erna" är kunskapsbasartiklar som beskriver dessa uppdateringar. till exempel KB4551762.

Fliken Saknade KB:er för enhetsprofilen i Microsoft Defender-portalen

I standardvyn visas den bulletin som innehåller uppdateringar, os-version, berörda produkter, adresserade CVE:er, KB-nummer och taggar.

Antalet objekt som visas per sida och vilka kolumner som visas kan anpassas.

Om du väljer ett objekt öppnas en utfälld meny som länkar till uppdateringen.

Tips

Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.