Microsoft Defender for Endpoint 设备时间线

适用于:

注意

希望体验 Defender for Endpoint? 注册免费试用版

Defender for Endpoint 设备时间线可帮助你更快地研究和调查设备上的异常行为。 可以浏览特定事件和终结点,以查看组织中的潜在攻击。 可以查看每个事件的特定时间,设置标志以跟进潜在连接的事件,并筛选到特定的日期范围。

  • 自定义时间范围选取器:

    自定义时间范围的屏幕截图。

  • 进程树体验 - 事件侧面板:

    事件侧面板的屏幕截图。

  • 当有多个相关技术时,将显示所有 MITRE 技术:

    所有 MITRE 技术的屏幕截图。

  • 时间线事件链接到新的用户页面:

    链接到新用户页面的时间线事件的屏幕截图。

    链接到新用户页 2 的时间线事件的屏幕截图。

  • 定义的筛选器现在显示在时间线顶部:

    已定义筛选器的屏幕截图。

设备时间线中的技术

通过分析特定设备上发生的事件,可以在调查中获得更多见解。 首先,从“设备” 列表中选择感兴趣的设备。 在设备页上,可以选择“ 时间线 ”选项卡以查看设备上发生的所有事件。

了解时间线中的技术

重要

某些信息与公共预览版中的预发布产品功能相关,在商业发布之前,该功能可能会进行重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。

在 Microsoft Defender for Endpoint 中, 技术 是事件时间线中的附加数据类型。 技术提供有关与 MITRE ATT 关联的活动的更多见解,&CK 技术或子技术。

此功能可帮助分析人员了解在设备上观察到的活动,从而简化调查体验。 然后,分析师可以决定进一步调查。

在预览期间,技术默认可用,并在查看设备时间线时与事件一起显示。

所有 MITRE 技术的屏幕截图。

技术以粗体文本突出显示,并在左侧显示蓝色图标。 相应的 MITRE ATT&CK ID 和技术名称也显示为“其他信息”下的标记。

“搜索”和“导出”选项也可用于“技术”。

使用侧窗格进行调查

选择“技术”以打开其相应的侧窗格。 可在此处查看其他信息和见解,例如相关的 ATT&CK 技术、策略和说明。

选择特定的 攻击技术 以打开相关的 ATT&CK 技术页面,可在其中找到有关它的详细信息。

在右侧看到蓝色图标时,可以复制实体的详细信息。 例如,若要复制相关文件的 SHA1,请选择蓝色页面图标。

显示复制实体详细信息的屏幕截图。

显示侧窗格详细信息的屏幕截图。

可以对命令行执行相同的操作。

显示用于复制命令行的选项的屏幕截图。

若要使用 高级搜寻 查找与所选技术相关的事件,请选择“ 搜寻相关事件”。 这会导致高级搜寻页,其中包含一个查询,用于查找与技术相关的事件。

显示“搜寻相关事件”选项的屏幕截图。

注意

使用“技术”侧窗格中的“ 搜寻相关事件 ”按钮进行查询会显示与所识别技术相关的所有事件,但查询结果中不包括技术本身。

EDR 客户端 (MsSense.exe) 资源管理器

当设备上的 EDR 客户端资源不足时,它会进入关键模式以维持设备的正常工作操作。 在 EDR 客户端恢复正常状态之前,设备不会处理新事件。 该设备 的时间线 中将出现一个新事件,指示 EDR 客户端已切换到 “严重” 模式。

当 EDR 客户端的资源使用量恢复到正常水平时,它将自动返回到正常模式。

自定义设备时间线

在设备时间线的右上角,可以选择日期范围来限制时间线中的事件数和技术。

可以自定义要公开的列。 还可以按数据类型或事件组筛选已标记的事件。

选择要公开的列

可以通过选择“选择列”按钮来选择要在时间线中公开的

显示可在其中自定义列的窗格的屏幕截图。

可以从该处选择要包含的信息集。

筛选以仅查看技术或事件

若要仅查看事件或技术,请从设备时间线中选择 “筛选器 ”,然后选择要查看的首选数据类型。

显示“筛选器”窗格的屏幕截图。

时间线事件标志

在调查潜在攻击时,Defender for Endpoint 设备时间线中的事件标志有助于筛选和组织特定事件。

Defender for Endpoint 设备时间线提供设备上观察到的事件和关联警报的时间顺序视图。 此事件列表提供对设备上观察到的任何事件、文件和 IP 地址的完全可见性。 列表有时可能很长。 设备时间线事件标志有助于跟踪可能相关的事件。

完成设备时间线后,可以对标记的特定事件进行排序、筛选和导出。

导航设备时间线时,可以搜索和筛选特定事件。 可以通过以下方式设置事件标志:

  • 突出显示最重要的事件
  • 标记需要深入探讨的事件
  • 构建干净违规时间线

标记事件

  1. 找到要标记的事件。

  2. 选择“标志”列中的标志图标。

设备时间线标志

查看已标记的事件

  1. 在时间线 “筛选器” 部分中,启用 “已标记事件”。
  2. 选择“应用”。 仅显示已标记的事件。

可以通过单击时间栏应用更多筛选器。 这将仅显示已标记事件之前的事件。

显示打开筛选器的设备时间线标志的屏幕截图。

提示

想要了解更多信息? 在技术社区中与 Microsoft 安全社区互动: Microsoft Defender for Endpoint 技术社区