在 Microsoft Defender 全面偵測回應中調查事件

發行項
10/02/2024

適用於：

Microsoft Defender XDR

Microsoft Defender 全面偵測回應會將來自裝置、使用者和信箱的所有相關警示、資產、調查和辨識項匯總成事件，讓您全面了解整個攻擊範圍。

在事件中，您會分析會影響您網路的警示、瞭解其意義，並定序辨識項，以便設計有效的補救計劃。

初始調查

在深入瞭解詳細數據之前，請先查看事件的屬性和整個攻擊案例。

您可以從複選標記資料列中選取事件開始。以下為範例。

當您這麼做時，即會開啟摘要窗格，其中包含事件的重要資訊，例如事件指派給誰的嚴重性，以及 MITRE ATT&事件的 CK™ 類別。以下為範例。

您可以從這裡選取 [開啟事件頁面]。這會開啟事件的主頁面，您可以在其中找到警示、裝置、使用者、調查和辨識項的完整攻擊故事資訊和索引卷標。

您也可以從事件佇列中選取事件名稱，以開啟事件的主頁面。

攻擊故事

攻擊案例可協助您快速檢閱、調查及補救攻擊，同時在同一個索引卷標上檢視攻擊的完整故事。它也可讓您檢閱實體詳細數據並採取補救動作，例如刪除檔案或隔離裝置，而不會遺失內容。

下列影片會簡短描述攻擊案例。

在攻擊案例中，您可以找到警示頁面和事件圖表。

事件警示頁面有下列區段：

警示案例，包括：
- 發生了什麼事
- 採取的動作
- 相關事件
右窗格中的警示屬性 (狀態、詳細數據、描述和其他)

請注意，並非每個警示都會有警示本文一節中列出的所有子區段。

此圖表顯示攻擊的完整範圍、攻擊如何隨著時間分散到您的網路、其開始位置，以及攻擊者所進行的程度。它會將屬於攻擊一部分的不同可疑實體與其相關資產連線，例如使用者、裝置和信箱。

從圖表中，您可以：

在圖形上播放警示和節點，因為這些節點會隨著時間而發生，以瞭解攻擊的時間順序。
開啟實體窗格，讓您檢閱實體詳細數據，並針對補救動作採取行動，例如刪除檔案或隔離裝置。
根據其相關實體醒目提示警示。
搜捕裝置、檔案、IP 位址或URL的實體資訊。

Go 搜捕選項會利用進階搜捕功能來尋找實體的相關信息。 Go 搜尋查詢會檢查相關的架構數據表，以找出涉及您所調查之特定實體的任何事件或警示。您可以選取任何選項來尋找實體的相關信息：

查看所有可用的查詢 – 此選項會傳回您正在調查之實體類型的所有可用查詢。
All Activity – 查詢會傳回與實體相關聯的所有活動，為您提供事件內容的完整檢視。
相關警示 – 查詢會搜尋並傳回涉及特定實體的所有安全性警示，確保您不會錯過任何資訊。

藉由選取結果，然後選取 [ 連結至事件]，即可將產生的記錄或警示連結至事件。

如果事件或相關警示是您已設定的分析規則結果，您也可以選取 [ 執行查詢 ] 以查看其他相關結果。

摘要

使用 [ 摘要] 頁面來評估事件的相對重要性，並快速存取相關聯的警示和受影響的實體。 [ 摘要] 頁面可讓您以快照集概覽事件最常注意的事項。

這些章節會組織資訊。

區段	描述
警示和類別	視覺和數值檢視，指出攻擊對終止鏈結的進階程度。如同其他Microsoft安全性產品，Microsoft Defender 全面偵測回應會對齊MITRE ATT&CK™ 架構。警示時間軸會顯示警示發生的時間順序，以及每個警示的狀態和名稱。
範圍	顯示受影響的裝置、使用者和信箱數目，並依風險層級和調查優先順序列出實體。
證據	顯示受事件影響的實體數目。
事件資訊	顯示事件的屬性，例如標籤、狀態和嚴重性。

警示

在 [ 警示] 索引標籤 上，您可以檢視與事件相關的警示及其他相關信息的警示佇列，例如：

嚴重性。
涉及警示的實體。
警示 (適用於身分識別的 Microsoft Defender、適用於端點的 Microsoft Defender、適用於 Office 365 的 Microsoft Defender、Defender for Cloud Apps 和應用程式的來源治理附加元件) 。
它們連結在一起的原因。

以下為範例。

根據預設，警示會依時間順序排序，讓您查看攻擊在一段時間內的運作方式。當您選取事件內的警示時，Microsoft Defender 全面偵測回應顯示整體事件內容特定的警示資訊。

您可以看到警示的事件、其他觸發的警示導致目前的警示，以及攻擊涉及的所有受影響實體和活動，包括裝置、檔案、使用者和信箱。

以下為範例。

瞭解如何在調查警示中使用警示佇列和警示頁面。

資產

使用新的 [資產] 索引標籤，輕鬆地在單一位置檢視和管理所有資產。此統一檢視包括 [裝置]、[使用者]、[信箱] 和 [應用程式]。

[資產] 索引標籤會顯示其名稱旁邊的資產總數。選取 [資產] 索引標籤時，會顯示具有該類別內資產數目的不同類別清單。

裝置

[ 裝置 ] 檢視會列出與事件相關的所有裝置。以下為範例。

從清單中選取裝置會開啟可讓您管理所選裝置的列。您可以快速匯出、管理標籤、起始自動化調查等等。

您可以選取裝置的複選標記，以查看裝置、目錄數據、作用中警示和登入使用者的詳細數據。選取裝置名稱，以查看適用於端點的 Defender 裝置清查中的裝置詳細數據。以下為範例。

從裝置頁面，您可以收集裝置的其他相關信息，例如其所有警示、時程表和安全性建議。例如，從 [ 時程表] 索引卷 標，您可以捲動裝置時間軸，並依時間順序檢視計算機上觀察到的所有事件和行為，並插入引發的警示。以下是範例

提示

您可以在裝置頁面上執行隨選掃描。在 Microsoft Defender 入口網站中，選擇 [端點>裝置清查]。選取具有警示的裝置，然後執行防病毒軟體掃描。系統會追蹤防病毒軟體掃描等動作，並顯示在 [裝置清查 ] 頁面上。若要深入瞭解，請參閱在裝置上執行 Microsoft Defender 防病毒軟體掃描。

使用者

[ 使用者 ] 檢視會列出已識別為事件一部分或與事件相關的所有使用者。以下為範例。

您可以選取使用者的複選標記，以查看使用者帳戶威脅、曝光和連絡資訊的詳細數據。選取使用者名稱以查看其他用戶帳戶詳細數據。

瞭解如何在調查用戶中檢視其他用戶資訊及管理事件的使用者。

信箱

[ 信箱] 檢視 會列出已識別為事件一部分或與事件相關的所有信箱。以下為範例。

您可以選取信箱的複選標記，以查看作用中警示的清單。選取信箱名稱，以在 [總管] 頁面上查看其他信箱詳細數據，以取得適用於 Office 365 的 Defender。

應用程式

[ 應用程式] 檢視會列出識別為事件一部分或與事件相關的所有應用程式。以下為範例。

您可以選取應用程式的複選標記，以查看作用中警示的清單。選取應用程式名稱，以在 [總管] 頁面上查看 Defender for Cloud Apps 的其他詳細數據。

調查

[ 調查] 索引標籤會列出此事件中警示所觸發的所有自動化調查。自動化調查會執行補救動作，或等候分析師核准動作，視您如何設定自動調查在適用於端點的 Defender 中執行並適用於 Office 365 的 Defender 而定。

選取調查以流覽至其詳細數據頁面，以取得調查和補救狀態的完整資訊。如果在調查過程中有任何擱置核准的動作，它們會出現在 [ 擱置動作歷程記錄 ] 索引卷標中。在事件補救過程中採取動作。

另外還有一個 [ 調查圖表] 索引標籤 ，其中顯示：

警示與組織中受影響資產的連線。
哪些實體與哪些警示相關，以及它們如何成為攻擊故事的一部分。
事件的警示。

調查圖表可協助您快速了解攻擊的完整範圍，方法是將屬於攻擊一部分的不同可疑實體與其相關資產連線，例如使用者、裝置和信箱。

如需詳細資訊，請參閱 Microsoft Defender 全面偵測回應中的自動化調查和回應。

辨識項和回應

[ 辨識項和回應] 索引 卷標會顯示事件中警示中的所有支援事件和可疑實體。以下為範例。

Microsoft Defender 全面偵測回應會自動調查警示中所有事件的支援事件和可疑實體，為您提供重要電子郵件、檔案、程序、服務、IP 位址等的相關信息。這可協助您快速偵測並封鎖事件中的潛在威脅。

每個分析的實體都會標示 (惡意、可疑、清除) 和補救狀態的決策。這可協助您了解整個事件的補救狀態，以及可採取的後續步驟。

核准或拒絕補救動作

對於補救狀態 為 [擱置核准] 的事件，您可以核准或拒絕事件內的補救動作。

在瀏覽窗格中，移至 [ 事件 & 警示>事件]。
篩選 [自動調查狀態] (選擇性) 的 [ 擱置] 動作 。
選取事件名稱以開啟其摘要頁面。
選取 [ 辨識項和回應] 索引標籤 。
選取清單中的項目以開啟其飛出視窗窗格。
檢閱信息，然後採取下列其中一個步驟：
- 選取 [核准暫止動作] 選項以起始擱置中的動作。
- 選取 [拒絕暫止動作] 選項，以防止採取擱置中的動作。

$Microsoft Defender 入口網站中事件 [辨識項與回應管理] 窗格中的 [核准\拒絕] 選項。$

後續步驟

視需要：

另請參閱

提示

想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。

共用方式為