调查设备

  • 7 分钟

调查特定设备上引发的警报的详细信息,以识别可能与该警报相关的其他行为或事件,或可能造成的入侵范围。

无论何时在门户中查看受影响的设备,都可选择这些设备以打开有关该设备的详细报告。 受影响的设备在以下区域中标识:

  • 设备列表

  • 警报队列

  • 安全操作仪表板

  • 任意单个警报

  • 任意单个文件的详细信息视图

  • 任意 IP 地址或域的详细信息视图

调查特定设备时,将看到:

  • 设备详细信息

  • 响应操作

  • 选项卡 - 概述、警报、时间线、安全建议、软件清单、已发现的漏洞、缺失的 KB(知识库 ID)

  • 卡(活动警报、已登录用户、安全评估)

设备详细信息

设备详细信息部分提供了设备的域、操作系统和运行状况状态等信息。 如果设备上有可用调查包,你会看到用于下载该包的链接。

响应操作

响应操作在特定设备页面中执行,包括:

  • 管理标记

  • 隔离设备

  • 限制应用执行

  • 运行防病毒扫描

  • 收集调查程序包

  • 启动实时响应会话

  • 启动自动调查

  • 咨询威胁专家

  • 操作中心

可在操作中心、特定设备页或特定文件页上执行响应操作。

制表符

概述

“概述”选项卡显示活动警报、已登录用户和安全评估等卡。

活动警报

可以从磁贴查看网络中过去 30 天内的活动警报的总数。 警报分组到“新建”和“正在进行”中。 每个组将进一步子分类为其相应的警报严重性级别。 选择每个警报环内的警报数,以查看该类别队列的已排序视图(新的或正在进行的)。

已登录用户

“已登录用户”卡显示过去 30 天内登录的用户数,以及登录频率最高和最低的用户。 选择“查看所有用户”链接可打开详细信息窗格,其中显示用户类型、登录类型以及用户第一次和最后一次登录的时间。

安全评估

安全评估卡显示总体暴露级别、安全建议、已安装的软件和已发现的漏洞。 设备的暴露级别取决于其挂起的安全建议的累积影响。

警报

“警报”选项卡提供与设备关联的警报的列表。 此列表是筛选后的警报队列,其中显示警报的简短描述、严重性(高、中、低、信息)、在队列中的状态(新、处理中、已解决)、分类(未设置、虚假警报、真实警报)、调查状态、警报类别、解决警报的人员以及最后的活动。 还可以对警报进行筛选。

时间线

“时间线”选项卡提供在设备上观察到的事件和关联警报的按时间排序的视图。 此视图可帮助你关联与设备相关的任何事件、文件和 IP 地址。

使用时间线还可选择性地深入了解给定时间段内发生的事件。 可查看所选时间段内设备上发生的事件的时间序列。 若要进一步控制视图,可按事件组筛选或自定义列。

部分功能包括:

  • 搜索特定事件

    • 使用搜索栏查找特定时间线事件。

  • 筛选特定日期的事件

    • 选择表左上角的日历图标,以显示过去一天、一周、30 天或自定义范围内的事件。 默认情况下,设备时间线设置为显示过去 30 天的事件。

    • 使用时间线可通过突出显示特定时刻来跳转到该部分。 时间线上的箭头可以精确指示自动调查

  • 导出详细的设备时间线事件

    • 导出当前日期或指定日期范围(最长 7 天)的设备时间线。

其中还会提供某些事件的更多详细信息,根据事件类型而有所不同,例如:

  • 受应用程序防护遏制 - Web 浏览器事件受隔离容器限制

  • 检测到活动威胁 - 在威胁运行时进行威胁检测

  • 修正不成功 - 已调用修正检测到的威胁的尝试,但修正失败

  • 修正成功 - 检测到的威胁已被阻止和清理

  • 警告被用户跳过 - Windows Defender SmartScreen 警告已被用户关闭并覆盖

  • 检测到可疑脚本 - 发现潜在的恶意脚本正在运行

  • 警报类别 - 如果事件导致生成警报,则会提供警报类别(如“横向移动”)

设置事件标志

浏览设备时间线时,可以搜索和筛选特定事件。 可通过以下方式设置事件标志:

  • 突出显示最重要的事件

  • 标记需要深入调查的事件

  • 构建清晰的入侵时间线

查找要设置标志的事件。 选择“标志”列中的标志图标。

查看已设置标志的事件

在时间线“筛选器”部分,启用仅标记事件。 选择“应用”。 此时仅显示已设置标志的事件。 可通过单击时间栏来应用更多筛选器。 这将仅显示已设置标志的事件之前的事件。

事件详细信息

选择某个事件以查看有关该事件的相关详细信息。 将显示一个面板,用于显示一般事件信息。 当适用且数据可用时,还会显示一个显示相关实体及其关系的关系图。

若要进一步检查事件和相关事件,可通过对相关事件选择“搜寻”来快速运行高级搜寻查询。 该查询将返回所选事件以及在同一终结点上大约同一时间发生的其他事件的列表。

安全建议

安全建议通过 Microsoft Defender for Endpoint 的威胁和漏洞管理功能生成。 选择建议会显示一个面板,可在其中查看相关详细信息,如建议的描述以及与不执行该建议相关的潜在风险。

软件清单

使用“软件清单”选项卡可查看设备上的软件以及任何漏洞或威胁。 选择软件的名称将转到软件详细信息页,可在其中查看安全建议、发现的漏洞、已安装的设备以及版本分发。

发现的漏洞

“发现的漏洞”选项卡显示设备上发现的漏洞的名称、严重性和威胁见解。 选择特定漏洞将显示其描述和详细信息。

缺少知识库

“缺少知识库”选项卡列出设备缺少的安全更新程序。