Microsoft Defender 中的裝置實體頁面

發行項
05/30/2024
適用於:

Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Defender 入口網站中的裝置實體頁面可協助您調查裝置實體。此頁面包含指定裝置實體的所有重要資訊。如果警示或事件指出裝置的行為可疑或可能遭到入侵，請調查裝置的詳細數據，以找出其他可能與警示或事件相關的行為或事件，並探索缺口的潛在範圍。您也可以使用裝置實體頁面來執行一些常見的安全性工作，以及一些回應動作來減輕或補救安全性威脅。

重要事項

視裝置在適用於端點的 Microsoft Defender 和適用於身分識別的 Microsoft Defender 中的註冊而定，裝置實體頁面上顯示的內容集可能稍有不同。

如果您的組織已將 Microsoft Sentinel 上線至 Defender 入口網站，則會顯示其他資訊。

在 Microsoft Sentinel 中，裝置實體也稱為主機實體。深入了解。

Microsoft Sentinel 可作為 Microsoft Defender 入口網站中統一安全性作業平臺的一部分。 Defender 入口網站中的 Microsoft Sentinel 現在支援用於生產環境。如需詳細資訊，請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。

您可以在下列區域中找到裝置實體：

[裝置] 列表，位於 [資產] 底下
警示佇列
任何個別警示/事件
任何個別用戶實體頁面
任何個別檔案詳細數據檢視
任何IP位址或網域詳細數據檢視
活動記錄
進階搜捕查詢
控制中心

您可以在入口網站中看到裝置時選取裝置，以開啟裝置的實體頁面，以顯示裝置的更多詳細數據。例如，您可以查看 Microsoft Defender 入口網站中事件警示中所列裝置的詳細數據，其位於事件 & 警示>事件>>資產>裝置。

Microsoft Defender 入口網站中事件的 [使用者] 頁面螢幕快照。

裝置實體頁面會以索引標籤格式呈現其資訊。本文會配置每個索引標籤中可用的資訊類型，以及您可以在指定裝置上採取的動作。

下列索引標籤會顯示在裝置實體頁面上：

概觀
事件和警示
Timeline
安全性建議
庫存
探索到的弱點
遺漏 KB
安全性基準
安全策略
Sentinel 事件

實體頁面的最上層區段包含下列詳細數據：

實體名稱
風險嚴重性、嚴重性和裝置價值指標
可分類裝置的標籤。可由適用於端點的Defender、適用於身分識別的Defender或使用者新增。無法編輯來自適用於身分識別的 Microsoft Defender 的標籤。
回應動作 也位於此處。請參閱下方的詳細資訊。

[概觀] 索引標籤

默認索引標籤是 [ 概觀]。其可讓您快速查看有關裝置的最重要安全性事實。 [ 概觀] 索引 標籤包含裝置詳細數據提要字段和儀錶板，其中包含一些顯示高階資訊的卡片。

裝置詳細數據

提要欄位會列出裝置的完整名稱和曝光層級。它也會在小型子區段中提供一些重要的基本資訊，這些資訊可以展開或折疊，例如：

區段	包含的資訊
VM 詳細數據	計算機和功能變數名稱和標識碼、健康情況和上線狀態、第一次和最後一次看見的時間戳、IP 位址等等
DLP 原則同步處理詳細數據	如果相關
組態狀態	適用於端點的 Microsoft Defender 設定的詳細數據
雲端資源詳細數據	雲端平臺、資源標識碼、訂用帳戶資訊等等
硬體和韌體	VM、處理器和 BIOS 資訊等等
裝置管理	適用於端點的 Microsoft Defender 註冊狀態和管理資訊
目錄數據	UAC 旗標、 SPN 和群組成員資格。

儀表板

[概 觀] 索引 標籤的主要部分會顯示數張儀錶板類型的顯示卡：

過去六個月內涉及裝置的作用中警示和風險層級，依嚴重性分組
裝置的安全性評量 和曝光層級
過去30天內登入裝置上的使用者
裝置健全狀況狀態 ，以及裝置最新掃描的其他資訊。

提示

暴露程度與裝置符合安全性建議的程度有關，而風險層級則是根據許多因素來計算，包括作用中警示的類型和嚴重性。

事件和警示索引標籤

[ 事件和警示] 索引 卷標包含事件清單，其中包含已在裝置上引發的警示，來自任何一些 Microsoft Defender 偵測來源，包括，如果已上線，則為 Microsoft Sentinel。此清單是事件佇列的篩選版本，並顯示事件或警示的簡短描述、其嚴重性 (高、中、低、資訊) 、其在佇列中的狀態 (新的、進行中、已解決的) ，其分類 (未設定、false 警示、true 警示) 、調查狀態、類別、指派給其解決的人員、觀察到的最後一個活動。

您可以自訂要針對每個項目顯示哪些資料列。您也可以依嚴重性、狀態或顯示器中的任何其他數據行來篩選警示。

受影響的實體數據行是指事件或警示中參考的所有裝置和用戶實體。

選取事件或警示時，會出現飛出視窗。您可以從此面板管理事件或警示，並檢視更多詳細數據，例如事件/警示編號和相關裝置。您可以一次選取多個警示。

若要查看事件或警示的完整頁面檢視，請選取其標題。

[時程表] 索引標籤

[時程表] 索引標籤會顯示裝置上觀察到之所有事件的時間順序檢視。這可協助您將與裝置相關的任何事件、檔案和IP位址相互關聯。

您可以自訂清單上顯示的數據列選擇。默認數據行會列出事件時間、作用中用戶、動作類型、相關聯的實體 (進程、檔案、IP 位址) ，以及事件的其他相關信息。

您可以沿著頁面頂端的整體時間軸圖形滑動時間週期的框線，來管理顯示事件的時間週期。您也可以從清單頂端的下拉式清單中挑選時間週期 (預設值為 30 天) 。若要進一步控制您的檢視，您可以依事件群組篩選或自定義數據行。

您可以將最多七天的事件匯出至 CSV 檔案以供下載。

選取和事件，並在產生的飛出視窗面板中檢視其詳細數據，向下切入個別事件的詳細數據。請參閱下面的事件詳細數據。

注意事項

若要顯示防火牆事件，您必須啟用審核策略，請參閱稽核篩選平台連線。

防火牆涵蓋下列事件：

5025 - 防火牆服務已停止
5031 - 應用程式無法接受網路上的連入連線
5157 - 封鎖的連線

事件詳細資料

選取事件以檢視該事件的相關詳細數據。飛出視窗面板隨即顯示，以顯示更多有關事件的資訊。顯示的信息類型取決於事件的類型。當適用且數據可供使用時，您可能會看到顯示相關實體及其關聯性的圖表，例如檔案或進程鏈結。您可能也會看到適用於事件的 MITRE ATT&CK 策略和技術的摘要描述。

若要進一步檢查事件和相關事件，您可以選取 [搜捕相關事件] 來快速執行進階搜捕查詢。查詢會傳回選取的事件，以及相同端點上大約相同時間發生的其他事件清單。

事件詳細數據面板的螢幕快照。

安全性建議索引標籤

[ 安全性建議 ] 索引標籤會列出您可以採取以保護裝置的動作。選取此清單上的項目會開啟飛出視窗，您可以在其中取得如何套用建議的指示。

如同先前的索引標籤，可以自定義所顯示數據行的選擇。

默認檢視包含數據行，其中詳細說明已解決的安全性弱點、相關聯的威脅、受威脅影響的相關元件或軟體等等。您可以依據建議的狀態來篩選專案。

深入瞭解安全性建議。

[清查] 索引標籤

此索引標籤會顯示四種元件類型的清查：軟體、易受攻擊的元件、瀏覽器延伸模組和憑證。

軟體清查

此卡片會列出裝置上安裝的軟體。

默認檢視會顯示軟體廠商、已安裝的版本號碼、已知軟體弱點的數目、威脅深入解析、產品程式代碼和標籤。可以自定義顯示的項目數目和顯示的數據行。

從此清單中選取項目會開啟飛出視窗，其中包含所選軟體的詳細數據，以及上次找到軟體時的路徑和時間戳。

此清單可依產品程式代碼、弱點和威脅的存在進行篩選。

易受攻擊的元件

此卡片會列出包含弱點的軟體元件。

默認檢視和篩選選項與軟體相同。

選取專案以在飛出視窗中顯示詳細資訊。

瀏覽器擴充功能

此卡片會顯示裝置上安裝的瀏覽器擴充功能。顯示的預設欄位是擴充功能名稱、已安裝的瀏覽器、版本、許可權風險 (根據擴充功能) 要求的裝置或網站存取類型，以及狀態。您也可以選擇性地顯示廠商。

選取專案以在飛出視窗中顯示詳細資訊。

憑證

此卡片會顯示裝置上安裝的所有憑證。

默認顯示的欄位為憑證名稱、發行日期、到期日、金鑰大小、簽發者、簽章演算法、金鑰使用方式和實例數目。

清單可以依狀態、自我簽署與否、金鑰大小、簽章哈希和密鑰使用方式進行篩選。

選取憑證以在飛出視窗中顯示詳細資訊。

探索到的弱點索引標籤

此索引標籤會列出任何可能影響裝置的常見弱點和 (CVE) 。

默認檢視會列出 CVE 的嚴重性、一般弱點分數 (CVSS) 、與 CVE 相關的軟體、發佈 CVE 時、第一次偵測到 CVE 和上次更新時，以及與 CVE 相關聯的威脅。

如同先前的索引標籤，可以自定義要顯示的數據行選擇。清單可依嚴重性、威脅狀態、裝置曝光和標籤進行篩選。

從此清單中選取項目會開啟描述 CVE 的飛出視窗。

遺漏 KB 索引標籤

[ 遺漏的 KB] 索引卷標會列出尚未套用至裝置的任何 Microsoft Update。有問題的「KB」是知識庫文章，可描述這些更新;例如， KB4551762。

默認檢視會列出公告，其中包含更新、OS 版本、KB標識符、受影響的產品、尋址的 CVE 和標籤。

您可以自訂要顯示的數據列選擇。

選取項目會開啟連結至更新的飛出視窗。

Sentinel 事件索引標籤

如果您的組織已將 Microsoft Sentinel 上線至 Defender 入口網站，則此額外的索引標籤會在裝置實體頁面上。此索引標籤會從 Microsoft Sentinel 匯入主機實體頁面。

Sentinel 時間軸

此時程表顯示與裝置實體相關聯的警示，在 Microsoft Sentinel 中稱為主機實體。這些警示包括 [ 事件和警示 ] 索引卷標上顯示的警示，以及 Microsoft Sentinel 從第三方非 Microsoft 數據源建立的警示。

此時程表也會顯示其他調查的書籤搜捕，這些調查會參考此用戶實體、來自外部數據源的用戶活動事件，以及 Microsoft Sentinel 異常規則所偵測到的異常行為。

Insights

實體深入解析是由 Microsoft 安全性研究人員所定義的查詢，可協助您更有效率且更有效率地調查。這些深入解析會自動詢問裝置實體的相關重要問題，並以表格式數據和圖表的形式提供寶貴的安全性資訊。這些深入解析包括登入、群組新增、進程執行、異常事件等相關數據，並包含可偵測異常行為的進階機器學習演算法。

以下是一些顯示的深入解析：

主機上所擷取的螢幕快照。
偵測到 Microsoft 未簽署的進程。
Windows 進程執行資訊。
Windows 登入活動。
帳戶上的動作。
在主機上清除事件記錄檔。
群組新增專案。
主機、使用者、主機上群組的列舉。
Microsoft Defender 應用程控。
透過熵計算處理不完全。
異常高數目的安全性事件。
預覽) (關注清單深入解析。
Windows Defender 防病毒軟體事件。

深入解析是以下欄數據源為基礎：

Syslog (Linux)
SecurityEvent (Windows)
AuditLogs (Microsoft Entra ID)
SigninLogs (Microsoft Entra ID)
OfficeActivity (Office 365)
BehaviorAnalytics (Microsoft Sentinel UEBA)
活動訊號 (Azure 監視器代理程式)
Microsoft Sentinel (CommonSecurityLog)

用戶實體頁面中 [Sentinel 事件] 索引標籤的螢幕快照。

如果您想要進一步探索此面板中的任何深入解析，請選取隨附於深入解析的連結。連結會帶您前往 [ 進階搜捕 ] 頁面，其中會顯示深入解析的基礎查詢及其原始結果。您可以修改查詢或向下切入結果，以展開您的調查，或只滿足您的好奇心。

具有深入解析查詢的進階搜捕畫面螢幕快照。

回應動作

回應動作提供分析、調查及防禦威脅的快捷方式。

Microsoft Defender 入口網站中裝置實體頁面的 [動作列] 螢幕快照。

重要事項

只有當裝置已在適用於端點的 Microsoft Defender 中註冊時，才能使用回應動作。
在適用於端點的 Microsoft Defender 中註冊的裝置可能會根據裝置的作業系統和版本號碼，顯示不同數目的回應動作。

回應動作會沿著特定裝置頁面的頂端執行，包括：

動作	描述
裝置值
設定重要性
管理標籤	更新您已套用至此裝置的自訂標籤。
報告裝置不準確
執行防病毒軟體掃描	更新 Microsoft Defender 防病毒軟體定義，並立即執行防病毒軟體掃描。選擇 [快速掃描] 或 [完整掃描]。
收集調查套件	收集裝置的相關信息。當調查完成時，您可以下載它。
限制應用程式執行	防止未由 Microsoft 簽署的應用程式執行。
起始自動化調查	自動調查和補救威脅。雖然您可以手動觸發自動調查從此頁面執行，但某些警示原則會自行觸發自動調查。
起始即時回應會話	在裝置上載入遠端殼層，以進行深入的安全性調查。
隔離裝置	將裝置與組織的網路隔離，同時讓它保持與 Microsoft Defender 的連線。您可以選擇允許 Outlook、Teams 和商務用 Skype 在裝置隔離時執行，以供通訊之用。
詢問 Defender 專家
控制中心	顯示目前正在執行之任何回應動作的相關信息。只有在已選取其他動作時才可使用。
從隔離腳本下載強制發行
Exclude
開始搜補
開啟疑難解答模式
原則同步處理

提示

想要深入了解? 在我們的技術社群中與 Microsoft 安全性社群互動： Microsoft Defender XDR 技術社群。

共用方式為

Microsoft Defender 中的裝置實體頁面

實體頁首