端點偵測及回應概觀
適用於:
想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。
適用於端點的 Defender 中的端點偵測和回應功能提供近乎即時且可採取動作的進階攻擊偵測。 安全性分析人員可以有效地排定警示的優先順序、深入了解入侵的全貌,並採取回應動作來補救威脅。
偵測到威脅時,系統中就會建立警示,讓分析者可進行調查。 系統會將採用相同攻擊技巧或歸咎於相同攻擊者的警示彙總到稱為事件的實體中。 以這種方式彙總警示,可讓分析人員集體調查和回應威脅。
注意事項
適用於端點的 Defender 偵測並非稽核或記錄解決方案,可記錄在指定端點上發生的每個作業或活動。 我們的感測器具有內部節流機制,因此重複相同事件的高比率不會充斥記錄。
重要事項
適用於端點的 Defender 方案 1 和 適用於企業的 Microsoft Defender 只包含下列手動回應動作:
- 執行防毒掃描
- 隔離裝置
- 停止和隔離檔案
- 新增指示器以封鎖或允許檔案
受到「假設缺口」思維的啟發,適用於端點的 Defender 會持續收集行為網路遙測。 其中包括程序資訊、網路活動、核心和記憶體管理員的深度光纖、使用者登入活動、登錄和檔案系統變更等等。 此資訊會儲存六個月,讓分析人員能夠及時重返攻擊開始的時候。 接著,分析人員即可在各種檢視中進行樞紐分析,並透過多個面向著手調查。
回應功能讓您能夠對受影響的實體採取行動,立即補救威脅。
另請參閱
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。