調查 [適用於端點的 Microsoft Defender 裝置] 清單中的裝置

發行項
02/26/2024

適用於：

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

調查在特定裝置上引發的警示詳細數據，以識別可能與警示或潛在缺口範圍相關的其他行為或事件。

注意事項

在調查或回應程式中，您可以從裝置收集調查套件。以下是從裝置收集調查套件的方式。

每當您在入口網站中看到受影響的裝置時，您就可以選取這些裝置，以開啟有關該裝置的詳細報告。受影響的裝置會在下列區域中識別：

裝置清單
警示佇列
任何個別警示
任何個別檔案詳細數據檢視
任何IP位址或網域詳細數據檢視

當您調查特定裝置時，您會看到：

裝置詳細數據
回應動作
索引標籤 (概觀、警示、時程表、安全性建議、軟體清查、探索到的弱點、遺漏的 KB)
卡片 (作用中警示、登入使用者、安全性評估、裝置健康狀態)

注意事項

由於產品限制，在判斷 [上次看見] 時間範圍時，裝置配置檔不會考慮所有網路辨識項， (如裝置頁面上所見) 。例如，[裝置] 頁面中的 [上次看見] 值可能會顯示較舊的時間範圍，即使計算機的時間軸中有較新的警示或數據也一樣。

裝置詳細數據

[裝置詳細數據] 區段提供裝置的網域、操作系統和健全狀況狀態等資訊。如果裝置上有可用的調查套件，您會看到可讓您下載套件的連結。

回應動作

回應動作會沿著特定裝置頁面的頂端執行，包括：

在地圖中檢視中檢視
裝置值
設定重要性
管理標籤
隔離裝置
限制應用程式執行
執行防毒掃描
收集調查套件
起始即時回應會話
起始自動化調查
諮詢威脅專家
控制中心

您可以在控制中心、特定裝置頁面或特定檔案頁面中採取回應動作。

如需如何在裝置上採取動作的詳細資訊，請參閱在裝置上採取回應動作。

如需詳細資訊，請參閱調查用戶實體。

注意事項

地圖中的檢視和設定重要性是 Microsoft Exposure Management 的功能，目前處於公開預覽狀態。

定位字元

索引標籤提供與裝置相關的安全性和威脅防護資訊。在每個索引標籤中，您可以從資料行標頭上方的列選取 [ 自訂數據行]，來自定義顯示的數據行。

概觀

[ 概觀] 索引 標籤會顯示作用中警示、登入使用者和安全性評量的卡片。

事件和警示

[ 事件和警示] 索引標籤 會提供與裝置相關聯的事件和警示清單。此清單是已篩選的警示佇列版本，並顯示事件、警示、嚴重性 (高、中、低、資訊) 、佇列中的狀態 (新、進行中、已解決) 、分類 (未設定、誤判警示、真實警示) 、調查狀態、警示類別、正在處理警示的人員，以及最後一個活動。您也可以篩選警示。

選取警示時，會出現飛出視窗。您可以從此面板管理警示，並檢視更多詳細數據，例如事件編號和相關裝置。您可以一次選取多個警示。

若要查看警示的完整頁面檢視，請選取警示的標題。

時間表

[時程表] 索引標籤提供裝置上觀察到的事件和相關警示的時間順序檢視。這可協助您將與裝置相關的任何事件、檔案和IP位址相互關聯。

時間軸也可讓您選擇性地向下切入到指定時段內發生的事件。您可以檢視在所選時段內裝置上發生的事件時態序列。若要進一步控制您的檢視，您可以依事件群組篩選或自定義數據行。

注意事項

若要顯示防火牆事件，您必須啟用審核策略，請參閱稽核篩選平台連線。

防火牆涵蓋下列事件：

5025 - 防火牆服務已停止
5031 - 應用程式無法接受網路上的連入連線
5157 - 封鎖的連線

部分功能包括：

特定事件的搜尋
- 使用搜尋列來尋找特定時間軸事件。
篩選特定日期的事件
- 選取表格左上方的行事歷圖示，以顯示過去一天、一周、30 天或自定義範圍中的事件。根據預設，裝置時間軸會設定為顯示過去 30 天的事件。
- 藉由醒目提示區段，使用時間軸跳至特定的時間點。時程表上的箭號會釘選自動化調查
匯出詳細的裝置時程表事件
- 匯出目前日期或指定日期範圍的裝置時間軸，最多七天。

More details about certain events are provided in the Additional information section. 這些詳細數據會根據事件的類型而有所不同，例如：

由應用程式防護所包含 - 網頁瀏覽器事件已受隔離容器限制
偵測到作用中威脅 - 威脅執行時發生威脅偵測
補救失敗 - 嘗試補救偵測到的威脅已叫用但失敗
補救成功 - 偵測到的威脅已停止並清除
使用者略過的警告 - Windows Defender 使用者已關閉並覆寫 SmartScreen 警告
偵測到可疑的腳本 - 發現有潛在的惡意腳本正在執行
警示類別 - 如果事件導致產生警示，則會提供警示類別 (橫向移動，例如)

事件詳細資料

選取事件以檢視該事件的相關詳細數據。顯示面板以顯示一般事件資訊。當適用且數據可供使用時，也會顯示顯示相關實體及其關聯性的圖表。

若要進一步檢查事件和相關事件，您可以選取 [搜捕相關事件] 來快速執行進階搜捕查詢。查詢會傳回選取的事件，以及相同端點上大約相同時間發生的其他事件清單。

安全性建議

安全性建議是從適用於端點的 Microsoft Defender的弱點管理功能所產生。選取建議會顯示一個面板，您可以在其中檢視相關詳細數據，例如建議的描述，以及與未制定建議相關聯的潛在風險。如需詳細資訊，請參閱安全性建議。

安全性原則

[ 安全策略] 索引 標籤會顯示裝置上套用的端點安全策略。您會看到原則、類型、狀態和上次簽入時間的清單。選取原則的名稱會帶您前往原則詳細數據頁面，您可以在其中查看原則設定狀態、已套用的裝置和指派的群組。

軟體清查

[ 軟體清查] 索引 標籤可讓您檢視裝置上的軟體，以及任何弱點或威脅。選取軟體名稱會帶您前往軟體詳細數據頁面，您可以在其中檢視安全性建議、探索到的弱點、已安裝的裝置和版本發佈。如需詳細資訊，請參閱軟體清查。

探索到的弱點

[ 探索到的弱點] 索引 卷標會顯示裝置上已探索到弱點的名稱、嚴重性和威脅深入解析。如果您選取特定弱點，您會看到描述和詳細數據。

遺漏 KB

[ 遺漏的 KB] 索 引卷標會列出裝置遺漏的安全性更新。

卡片

作用中警示

如果您使用適用於身分識別的 Microsoft Defender 功能，而且有任何作用中警示，則 Azure 進階威脅防護卡片會顯示與裝置及其風險層級相關的高階警示概觀。如需詳細資訊，請參閱警示向下切入。

注意事項

您必須在適用於身分識別的 Microsoft Defender 和適用於端點的 Defender 上啟用整合，才能使用此功能。在適用於端點的 Defender 中，您可以在進階功能中啟用這項功能。如需如何啟用進階功能的詳細資訊，請參閱開啟進階功能。

登入的使用者

[ 登入的使用者 ] 卡片會顯示過去 30 天內登入的用戶數目，以及最頻繁和最不常登入的使用者。選 取 [查看所有使用者] 鏈接會開啟詳細數據窗格，其中會顯示使用者類型、登入類型，以及使用者第一次和最後一次看見的時間等資訊。如需詳細資訊，請參閱調查用戶實體。

注意事項

「最常」的使用者值只會根據成功以互動方式登入的用戶辨識項來計算。不過，[ 所有使用者 ] 側邊窗格會計算各種使用者登入，因此在側邊窗格中應該會看到更頻繁的使用者，因為這些使用者可能無法互動。

安全性評估

[安全性評量] 卡片會顯示整體暴露程度、安全性建議、已安裝的軟體，以及探索到的弱點。裝置的暴露程度取決於其擱置中安全性建議的累積影響。

裝置健康情況狀態

[ 裝置健康情況狀態 ] 卡片會顯示特定裝置的摘要健康情況報告。下列其中一則訊息會顯示在卡片頂端，以指出以最高到最低優先順序順序列出的裝置 (整體狀態) ：

Defender 防病毒軟體未作用中
安全性情報不是最新的
引擎不是最新狀態
快速掃描失敗
完整掃描失敗
平臺不是最新狀態
安全性情報更新狀態不明
引擎更新狀態不明
快速掃描狀態不明
完整掃描狀態不明
平臺更新狀態不明
裝置是最新狀態
狀態不適用於macOS & Linux

卡片中的其他資訊包括：上次完整掃描、上次快速掃描、安全情報更新版本、引擎更新版本、平臺更新版本和 Defender 防病毒軟體模式。

灰色圓圈表示數據未知。

注意事項

macOS 和 Linux 裝置的整體狀態消息目前顯示為「macOS & Linux 無法使用狀態」。目前，狀態摘要僅適用於 Windows 裝置。數據表中的所有其他資訊都是最新的，可顯示所有支持平臺的每個裝置健康情況訊號的個別狀態。

若要深入檢視裝置健康情況報告，您可以移至 [報告 > 裝置健康情況]。如需詳細資訊，請參閱適用於端點的 Microsoft Defender 中的裝置健康情況與合規性報告。

注意事項

Defender 防病毒軟體模式的日期和時間目前無法使用。

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群：適用於端點的 Microsoft Defender 技術社群。

調查 [適用於端點的 Microsoft Defender 裝置] 清單中的裝置

裝置詳細數據

回應動作

定位字元