终结点检测和响应概述
适用于:
希望体验 Microsoft Defender for Endpoint? 注册免费试用版。
Defender for Endpoint 中的终结点检测和响应功能提供近乎实时且可操作的高级攻击检测。 安全分析员可以有效地确定警报的优先级,了解整个泄露范围,并采取响应措施来修正威胁。
检测到威胁时,将在系统中创建警报以供分析人员进行调查。 使用相同攻击技术或归属于同一攻击者的警报会被聚合到名为“事件”的实体中。 以此方式聚合警报可便于分析员更轻松地综合调查和响应威胁。
注意
Defender for Endpoint 检测不应是记录在给定终结点上发生的每项操作或活动的审核或日志记录解决方案。 我们的传感器具有内部限制机制,因此高重复率的相同事件不会淹没日志。
重要
Defender for Endpoint 计划 1 和 Microsoft Defender 商业版仅包括以下手动响应操作:
- 运行防病毒扫描
- 隔离设备
- 停止和隔离文件
- 添加指示器以阻止或允许文件
受“假设违规”思维模式的启发,Defender for Endpoint 持续收集行为网络遥测数据。 其中包括流程信息、网络活动、内核和内存管理程序的深入信息、用户登录活动、注册表和文件系统更改等。 此类信息存储六个月,这样分析员可以追溯到攻击开始的时间。 然后,分析员可以对各种视图进行透视,并通过多个攻击途径展开调查。
借助响应功能,可以对受影响的实体采取行动,从而快速修正威胁。
另请参阅
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈