Microsoft Defender for Endpoint 设备时间线
适用于:
注意
希望体验 Defender for Endpoint? 注册免费试用版。
Defender for Endpoint 设备时间线可帮助你更快地研究和调查设备上的异常行为。 可以浏览特定事件和终结点,以查看组织中的潜在攻击。 可以查看每个事件的特定时间,设置标志以跟进潜在连接的事件,并筛选到特定的日期范围。
自定义时间范围选取器:
进程树体验 - 事件侧面板:
当有多个相关技术时,将显示所有 MITRE 技术:
时间线事件链接到新的用户页面:
定义的筛选器现在显示在时间线顶部:
设备时间线中的技术
通过分析特定设备上发生的事件,可以在调查中获得更多见解。 首先,从“设备” 列表中选择感兴趣的设备。 在设备页上,可以选择“ 时间线 ”选项卡以查看设备上发生的所有事件。
了解时间线中的技术
重要
某些信息与公共预览版中的预发布产品功能相关,在商业发布之前,该功能可能会进行重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。
在 Microsoft Defender for Endpoint 中, 技术 是事件时间线中的附加数据类型。 技术提供有关与 MITRE ATT 关联的活动的更多见解,&CK 技术或子技术。
此功能可帮助分析人员了解在设备上观察到的活动,从而简化调查体验。 然后,分析师可以决定进一步调查。
在预览期间,技术默认可用,并在查看设备时间线时与事件一起显示。
技术以粗体文本突出显示,并在左侧显示蓝色图标。 相应的 MITRE ATT&CK ID 和技术名称也显示为“其他信息”下的标记。
“搜索”和“导出”选项也可用于“技术”。
使用侧窗格进行调查
选择“技术”以打开其相应的侧窗格。 可在此处查看其他信息和见解,例如相关的 ATT&CK 技术、策略和说明。
选择特定的 攻击技术 以打开相关的 ATT&CK 技术页面,可在其中找到有关它的详细信息。
在右侧看到蓝色图标时,可以复制实体的详细信息。 例如,若要复制相关文件的 SHA1,请选择蓝色页面图标。
可以对命令行执行相同的操作。
调查相关事件
若要使用 高级搜寻 查找与所选技术相关的事件,请选择“ 搜寻相关事件”。 这会导致高级搜寻页,其中包含一个查询,用于查找与技术相关的事件。
注意
使用“技术”侧窗格中的“ 搜寻相关事件 ”按钮进行查询会显示与所识别技术相关的所有事件,但查询结果中不包括技术本身。
EDR 客户端 (MsSense.exe) 资源管理器
当设备上的 EDR 客户端资源不足时,它会进入关键模式以维持设备的正常工作操作。 在 EDR 客户端恢复正常状态之前,设备不会处理新事件。 该设备 的时间线 中将出现一个新事件,指示 EDR 客户端已切换到 “严重” 模式。
当 EDR 客户端的资源使用量恢复到正常水平时,它将自动返回到正常模式。
自定义设备时间线
在设备时间线的右上角,可以选择日期范围来限制时间线中的事件数和技术。
可以自定义要公开的列。 还可以按数据类型或事件组筛选已标记的事件。
选择要公开的列
可以通过选择“选择列”按钮来选择要在时间线中公开的 列 。
可以从该处选择要包含的信息集。
筛选以仅查看技术或事件
若要仅查看事件或技术,请从设备时间线中选择 “筛选器 ”,然后选择要查看的首选数据类型。
时间线事件标志
在调查潜在攻击时,Defender for Endpoint 设备时间线中的事件标志有助于筛选和组织特定事件。
Defender for Endpoint 设备时间线提供设备上观察到的事件和关联警报的时间顺序视图。 此事件列表提供对设备上观察到的任何事件、文件和 IP 地址的完全可见性。 列表有时可能很长。 设备时间线事件标志有助于跟踪可能相关的事件。
完成设备时间线后,可以对标记的特定事件进行排序、筛选和导出。
导航设备时间线时,可以搜索和筛选特定事件。 可以通过以下方式设置事件标志:
- 突出显示最重要的事件
- 标记需要深入探讨的事件
- 构建干净违规时间线
标记事件
找到要标记的事件。
选择“标志”列中的标志图标。
查看已标记的事件
- 在时间线 “筛选器” 部分中,启用 “已标记事件”。
- 选择“应用”。 仅显示已标记的事件。
可以通过单击时间栏应用更多筛选器。 这将仅显示已标记事件之前的事件。
提示
想要了解更多信息? 在技术社区中与 Microsoft 安全社区互动: Microsoft Defender for Endpoint 技术社区。