Microsoft適用於端點的 Defender 裝置時程表

發行項
06/25/2024

適用於：

適用於端點的 Microsoft Defender 方案 2

注意事項

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

適用於端點的 Defender 裝置時程表可協助您更快速地研究及調查裝置上的異常行為。您可以探索特定事件和端點，以檢閱組織中的潛在攻擊。您可以檢閱每個事件的特定時間、設定旗標以追蹤可能連線的事件，以及篩選至特定日期範圍。

自訂時間範圍選擇器：
處理樹狀結構體驗 – 事件側邊面板：
當有一個以上的相關技術時，會顯示所有 MITRE 技術：
時間軸事件會連結至新的使用者頁面：
定義的篩選現在會顯示在時程表的頂端：

裝置時間軸中的技術

您可以分析特定裝置上發生的事件，以深入了解調查。首先，從 [裝置] 列表中選取感興趣的裝置。在裝置頁面上，您可以選取 [時程表 ] 索引標籤來檢視裝置上發生的所有事件。

了解時間軸中的技巧

重要事項

某些資訊與公開預覽中發行前版本的產品功能有關，可能會在正式發行之前進行大幅修改。 Microsoft 對此處提供的資訊，不提供任何明確或隱含的瑕疵擔保。

在適用於端點Microsoft Defender 中，技術是事件時間軸中的其他數據類型。技術可讓您深入瞭解與 MITRE ATT 相關聯的活動&CK 技術或子技術。

這項功能可協助分析師瞭解在裝置上觀察到的活動，以簡化調查體驗。接著，分析師可以決定進一步調查。

在預覽期間，預設會提供技術，並在檢視裝置的時間軸時與事件一起顯示。

技術會以粗體文字醒目提示，並在左側顯示藍色圖示。對應的 MITRE ATT&CK 識別碼和技術名稱也會顯示為 [其他資訊] 底下的標籤。

搜尋和導出選項也適用於技術。

使用側邊窗格進行調查

選取 [技術] 以開啟其對應的側邊窗格。您可以在這裡看到其他資訊和見解，例如相關的 ATT&CK 技術、策略和描述。

選取特定 的攻擊技術 以開啟相關的 ATT&CK 技術頁面，您可以在其中找到更多相關信息。

當您在右側看到藍色圖示時，可以複製實體的詳細數據。例如，若要複製相關檔案的SHA1，請選取藍色頁面圖示。

您可以針對命令行執行相同的動作。

若要使用進階搜捕來尋找與所選技術相關的事件，請選取 [搜捕相關事件]。這會導致進階搜捕頁面使用查詢來尋找與技術相關的事件。

注意事項

從 [技術] 側邊窗格使用 [ 搜捕相關事件 ] 按鈕進行查詢時，會顯示與所識別技術相關的所有事件，但不會在查詢結果中包含技術本身。

EDR 用戶端 (MsSense.exe) Resource Manager

當裝置上的 EDR 用戶端資源不足時，它會進入重要模式，以維持裝置的正常運作作業。在 EDR 用戶端回到正常狀態之前，裝置不會處理新的事件。該裝置 的 [時程表 ] 中會出現新的事件，指出 EDR 用戶端已切換至 [重大 ] 模式。

當 EDR 用戶端的資源使用量回到一般層級時，它會自動回到一般模式。

自定義您的裝置時間軸

在裝置時間軸右上方，您可以選擇日期範圍來限制時間軸中的事件和技術數目。

您可以自訂要公開的數據行。您也可以依數據類型或事件群組篩選已標幟的事件。

選擇要公開的數據行

您可以選取 [選擇資料行] 按鈕，以選擇要在時程表中公開 的數據行 。

您可以從該處選取要包含的資訊集。

篩選以僅檢視技術或事件

若只要檢視事件或技術，請從裝置時間軸選取 [ 篩選 ]，然後選擇您慣用的數據類型來檢視。

時間軸事件旗標

適用於端點的 Defender 裝置時間軸中的事件旗標可協助您在調查潛在攻擊時篩選及組織特定事件。

適用於端點的 Defender 裝置時程表提供裝置上觀察到的事件和相關警示的時間順序檢視。此事件清單可讓您完整瞭解在裝置上觀察到的任何事件、檔案和IP位址。清單有時可能會很冗長。裝置時間軸事件旗標可協助您追蹤可能相關的事件。

完成裝置時間軸之後，您可以排序、篩選和匯出您標幟的特定事件。

瀏覽裝置時間軸時，您可以搜尋並篩選特定事件。您可以透過下列方式設定事件旗標：

醒目提示最重要的事件
標示需要深入探討的事件
建置全新缺口時程表

為事件加上旗標

尋找您想要標幟的事件。
選取 [旗標] 資料列中的旗標圖示。

檢視已標幟的事件

在 [時程表 篩選] 區段中，啟用 [已標幟的事件]。
選取 [套用]。只會顯示標幟的事件。

您可以按下時間列來套用更多篩選。這隻會顯示標幟事件之前的事件。

提示

想要深入了解? 在我們的技術社群中與Microsoft安全性社群互動：Microsoft適用於端點的Defender技術社群。

共用方式為

Microsoft適用於端點的 Defender 裝置時程表