终结点检测和响应概述

适用于:

希望体验 Microsoft Defender for Endpoint? 注册免费试用版

Defender for Endpoint 中的终结点检测和响应功能提供接近实时且可操作的高级攻击检测。 安全分析员可以有效地确定警报的优先级,了解整个泄露范围,并采取响应措施来修正威胁。

检测到威胁时,将在系统中创建警报以供分析人员进行调查。 使用相同攻击技术或归属于同一攻击者的警报会被聚合到名为“事件”的实体中。 以此方式聚合警报可便于分析员更轻松地综合调查和响应威胁。

注意

Defender for Endpoint 检测不是用于记录给定终结点上发生的每个操作或活动的审核或日志记录解决方案。 我们的传感器具有内部限制机制,因此重复相同事件的高速率不会充斥日志。

重要

Defender for Endpoint Plan 1Microsoft Defender 商业版 仅包括以下手动响应操作:

  • 运行防病毒扫描
  • 隔离设备
  • 停止和隔离文件
  • 添加指示器以阻止或允许文件

受“假定泄露”思维模式的启发,Defender for Endpoint 不断收集行为网络遥测数据。 其中包括流程信息、网络活动、内核和内存管理程序的深入信息、用户登录活动、注册表和文件系统更改等。 此类信息存储六个月,这样分析员可以追溯到攻击开始的时间。 然后,分析员可以对各种视图进行透视,并通过多个攻击途径展开调查。

借助响应功能,可以对受影响的实体采取行动,从而快速修正威胁。