Microsoft Defender for Endpoint设备时间线

适用于：

• Microsoft Defender for Endpoint 计划 2

注意

希望体验 Defender for Endpoint？ 注册免费试用版。

Defender for Endpoint 设备时间线可帮助你更快地研究和调查设备上的异常行为。 可以浏览特定事件和终结点，以查看组织中的潜在攻击。 可以查看每个事件的特定时间，设置标志以跟进潜在连接的事件，并筛选到特定的日期范围。

• 自定义时间范围选取器：

  

• 进程树体验 - 事件侧面板：

  

• 当有多个相关技术时，将显示所有 MITRE 技术：

  

• 时间线事件链接到新的用户页面：

  

  

• 定义的筛选器现在显示在时间线的顶部：

  

设备时间线中的技术

通过分析特定设备上发生的事件，可以在调查中获得更多见解。 首先，从“设备” 列表中选择感兴趣的设备。 在设备页上，可以选择“ 时间线 ”选项卡以查看设备上发生的所有事件。

了解时间线中的技术

重要

某些信息与公共预览版中的预发布产品功能相关，在商业发布之前，该功能可能会进行重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。

在 Microsoft Defender for Endpoint 中，“技术”是事件时间线中的一种附加数据类型。 技术提供有关与 MITRE ATT 关联的活动的更多见解，&CK 技术或子技术。

此功能可帮助分析人员了解在设备上观察到的活动，从而简化调查体验。 然后，分析师可以决定进一步调查。

在预览期间，技术默认可用，并在查看设备时间线时与事件一起显示。

技术以粗体文本突出显示，并在左侧显示蓝色图标。 相应的 MITRE ATT&CK ID 和技术名称也显示为“其他信息”下的标记。

“搜索”和“导出”选项也可用于“技术”。

使用侧窗格进行调查

选择“技术”以打开其相应的侧窗格。 可在此处查看其他信息和见解，例如相关的 ATT&CK 技术、策略和说明。

选择特定的 攻击技术 以打开相关的 ATT&CK 技术页面，可在其中找到有关它的详细信息。

在右侧看到蓝色图标时，可以复制实体的详细信息。 例如，若要复制相关文件的 SHA1，请选择蓝色页面图标。

可以对命令行执行相同的操作。

调查相关事件

若要使用 高级搜寻 查找与所选技术相关的事件，请选择“ 搜寻相关事件”。 这会导致高级搜寻页，其中包含一个查询，用于查找与技术相关的事件。

注意

使用“技术”侧窗格中的“ 搜寻相关事件 ”按钮进行查询会显示与所识别技术相关的所有事件，但查询结果中不包括技术本身。

自定义设备时间线

在设备时间线的右上角，可以选择日期范围来限制时间线中的事件和技术的数量。

可以自定义要公开的列。 还可以按数据类型或事件组筛选已标记的事件。

选择要公开的列

可以通过选择“选择列”按钮，选择要在时间线中公开的列。

可以从该处选择要包含的信息集。

筛选以仅查看技术或事件

若要仅查看事件或技术，请从设备时间线选择“筛选器”，然后选择要查看的首选数据类型。

时间线事件标志

在调查潜在攻击时，Defender for Endpoint 设备中的事件标志时间线可帮助你筛选和组织特定事件。

Defender for Endpoint 设备时间线提供设备上观察到的事件和相关警报的时间视图。 此事件列表提供对设备上观察到的任何事件、文件和 IP 地址的完全可见性。 列表有时可能很长。 设备时间线事件标志可帮助你跟踪可能相关的事件。

完成设备时间线后，可以对标记的特定事件进行排序、筛选和导出。

在设备时间线导航时，可以搜索和筛选特定事件。 可以通过以下方式设置事件标志：

• 突出显示最重要的事件
• 标记需要深入探讨的事件
• 构建干净违规时间线

标记事件

1. 找到要标记的事件。

2. 选择“标志”列中的标志图标。

查看已标记的事件

1. 在“时间线筛选器”部分中，启用“已标记事件”。
2. 选择“应用”。 仅显示已标记的事件。

可以通过单击时间栏应用更多筛选器。 这将仅显示已标记事件之前的事件。

提示

想要了解更多信息？ Engage技术社区中的 Microsoft 安全社区：Microsoft Defender for Endpoint技术社区。