Uç Nokta için Microsoft Defender cihaz zaman çizelgesi
Şunlar için geçerlidir:
Not
Uç nokta için Defender'i deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.
Uç Nokta için Defender cihaz zaman çizelgesi, cihazlarınızdaki anormal davranışları daha hızlı araştırmanıza ve araştırmanıza yardımcı olur. Kuruluşunuzdaki olası saldırıları gözden geçirmek için belirli olayları ve uç noktaları inceleyebilirsiniz. Her olayın belirli saatlerini gözden geçirebilir, potansiyel olarak bağlı olayları izlemek için bayraklar ayarlayabilir ve belirli tarih aralıklarına göre filtre uygulayabilirsiniz.
Özel zaman aralığı seçici:
İşlem ağacı deneyimi – olay tarafı paneli:
Birden fazla ilgili teknik olduğunda tüm MITRE teknikleri gösterilir:
Zaman çizelgesi olayları yeni kullanıcı sayfasına bağlanır:
Tanımlı filtreler artık zaman çizelgesinin en üstünde görünür:
Cihaz zaman çizelgesindeki teknikler
Belirli bir cihazda gerçekleşen olayları analiz ederek bir araştırmada daha fazla içgörü elde edebilirsiniz. İlk olarak, Cihazlar listesinden ilgi çekici cihazı seçin. Cihaz sayfasında, cihazda gerçekleşen tüm olayları görüntülemek için Zaman Çizelgesi sekmesini seçebilirsiniz.
Zaman çizelgesindeki teknikleri anlama
Önemli
Bazı bilgiler, genel önizlemede kullanıma sunulan ve ticari olarak yayınlanmadan önce önemli ölçüde değiştirilebilen önceden yayımlanmış bir ürün özelliğiyle ilgilidir. Microsoft, burada sağlanan bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez.
Uç Nokta için Microsoft Defender'da Teknikler , olay zaman çizelgesinde ek bir veri türüdür. Teknikler , MITRE ATT&CK teknikleri veya alt teknikleriyle ilişkili etkinlikler hakkında daha fazla içgörü sağlar.
Bu özellik, analistlerin bir cihazda gözlemlenen etkinlikleri anlamasına yardımcı olarak araştırma deneyimini basitleştirir. Analistler daha fazla araştırma yapmaya karar verebilir.
Önizleme sırasında Teknikler varsayılan olarak kullanılabilir ve bir cihazın zaman çizelgesi görüntülendiğinde olaylarla birlikte gösterilir.
Teknikler kalın metinle vurgulanır ve solda mavi bir simgeyle gösterilir. Karşılık gelen MITRE ATT&CK kimliği ve teknik adı da Ek bilgiler altında etiketler olarak görünür.
Teknikler için Arama ve Dışarı Aktarma seçenekleri de sağlanır.
Yan bölmeyi kullanarak araştırma
İlgili yan bölmesini açmak için bir Teknik seçin. Burada ilgili ATT&CK teknikleri, taktikler ve açıklamalar gibi ek bilgileri ve içgörüleri görebilirsiniz.
İlgili ATT&CK tekniği sayfasını açmak için ilgili Saldırı tekniğini seçin. Bu sayfa hakkında daha fazla bilgi bulabilirsiniz.
Sağ tarafta mavi bir simge gördüğünüzde varlığın ayrıntılarını kopyalayabilirsiniz. Örneğin, ilgili bir dosyanın SHA1 dosyasını kopyalamak için mavi sayfa simgesini seçin.
Komut satırları için de aynısını yapabilirsiniz.
İlgili olayları araştırma
Seçili Teknikle ilgili olayları bulmak için gelişmiş avcılığı kullanmak için İlgili olayları avla'yı seçin. Bu, Technique ile ilgili olayları bulmak için bir sorgu içeren gelişmiş tehdit avcılığı sayfasına yol açar.
Not
Teknik yan bölmesindeki İlişkili olayları ara düğmesini kullanarak sorgulama, tanımlanan teknikle ilgili tüm olayları görüntüler, ancak sorgu sonuçlarına Tekniğin kendisini içermez.
EDR istemcisi (MsSense.exe) Resource Manager
Bir cihazdaki EDR istemcisinin kaynakları azaldığında, cihazın normal çalışma işlemini korumak için kritik moda girer. Cihaz, EDR istemcisi normal duruma dönene kadar yeni olayları işlemez. Bu cihaz için Zaman Çizelgesi'nde EDR istemcisinin Kritik moda geçtiğini belirten yeni bir olay görüntülenir.
EDR istemcisinin kaynak kullanımı normal düzeylere geri döndüğünde otomatik olarak normal moda döner.
Cihaz zaman çizelgenizi özelleştirme
Cihaz zaman çizelgesinin sağ üst tarafında, zaman çizelgesindeki olay ve teknik sayısını sınırlamak için bir tarih aralığı seçebilirsiniz.
Hangi sütunların kullanıma açık olduğunu özelleştirebilirsiniz. Bayrak eklenmiş olayları veri türüne veya olay grubuna göre de filtreleyebilirsiniz.
Kullanıma açık sütunları seçme
Sütunları seç düğmesini seçerek zaman çizelgesinde hangi sütunların gösterileceğini seçebilirsiniz .
Buradan hangi bilgilerin dahil olacağını seçebilirsiniz.
Yalnızca teknikleri veya olayları görüntülemek için filtreleyin
Yalnızca olayları veya teknikleri görüntülemek için cihaz zaman çizelgesinden Filtreler'i seçin ve görüntülemek için tercih ettiğiniz Veri türünü seçin.
Zaman çizelgesi olay bayrakları
Uç Nokta için Defender cihaz zaman çizelgesindeki olay bayrakları, olası saldırıları araştırırken belirli olayları filtrelemenize ve düzenlemenize yardımcı olur.
Uç Nokta için Defender cihaz zaman çizelgesi, bir cihazda gözlemlenen olayların ve ilişkili uyarıların kronolojik bir görünümünü sağlar. Bu olay listesi, cihazda gözlemlenen tüm olaylar, dosyalar ve IP adresleri için tam görünürlük sağlar. Liste bazen uzun olabilir. Cihaz zaman çizelgesi olay bayrakları, ilgili olabilecek olayları izlemenize yardımcı olur.
Bir cihaz zaman çizelgesinde gezindikten sonra, bayrak eklediğiniz belirli olayları sıralayabilir, filtreleyebilir ve dışarı aktarabilirsiniz.
Cihaz zaman çizelgesinde gezinirken belirli olayları arayabilir ve filtreleyebilirsiniz. Olay bayraklarını şu şekilde ayarlayabilirsiniz:
- En önemli olayları vurgulama
- Ayrıntılı inceleme gerektiren olayları işaretleme
- Temiz bir ihlal zaman çizelgesi oluşturma
Olaya bayrak ekleme
Bayrak eklemek istediğiniz olayı bulun.
Bayrak sütununda bayrak simgesini seçin.
Bayrak eklenmiş olayları görüntüleme
- Zaman çizelgesi Filtreleri bölümünde Bayraklı olayları etkinleştirin.
- Uygula'yı seçin. Yalnızca bayrak eklenmiş olaylar görüntülenir.
Zaman çubuğuna tıklayarak daha fazla filtre uygulayabilirsiniz. Bu yalnızca bayrak eklenmiş olaydan önceki olayları gösterir.
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.