Vyšetřování incidentů v Microsoft Defender for Endpoint

  • Článek

Platí pro:

Prošetřete incidenty, které ovlivňují vaši síť, porozumíte jejich významu a shromáždíte důkazy, které je vyřeší.

Při vyšetřování incidentu uvidíte:

  • Podrobnosti incidentu
  • Komentáře k incidentu a akce
  • Karty (výstrahy, zařízení, šetření, důkazy, graf)

Analýza podrobností incidentu

Tip

Po omezenou dobu během ledna 2024 se při návštěvě stránky Incidenty zobrazí Defender Boxed. Defender Boxed zvýrazňuje úspěchy, vylepšení a reakce vaší organizace ohledně zabezpečení během roku 2023. Pokud chcete znovu otevřít Defender Boxed, přejděte na portálu Microsoft Defender na Incidenty a pak vyberte Váš Defender Boxed.

Kliknutím na incident zobrazíte podokno Incident. Výběrem možnosti Otevřít stránku incidentu zobrazíte podrobnosti incidentu a související informace (výstrahy, zařízení, šetření, důkazy, graf).

Podrobnosti incidentu

Upozornění

Výstrahy můžete prozkoumat a zjistit, jak byly v incidentu propojeny. Výstrahy se seskupují do incidentů z následujících důvodů:

  • Automatizované šetření – automatizované šetření aktivovalo propojenou výstrahu při prošetřování původní výstrahy.
  • Charakteristiky souborů – soubory přidružené k výstraze mají podobné vlastnosti.
  • Ruční přidružení – Uživatel ručně propojil výstrahy
  • Přibližný čas – výstrahy se aktivovaly na stejném zařízení během určitého časového rámce.
  • Stejný soubor – soubory přidružené k upozornění jsou úplně stejné.
  • Stejná adresa URL – adresa URL, která aktivovala upozornění, je úplně stejná.

Karta Výstrahy se stránkou s podrobnostmi o incidentu zobrazující důvody, proč byly výstrahy v daném incidentu propojeny

Můžete také spravovat výstrahu a zobrazit metadata upozornění spolu s dalšími informacemi. Další informace najdete v tématu Zkoumání výstrah.

Zařízení

Můžete také prozkoumat zařízení, která jsou součástí daného incidentu nebo s ním souvisejí. Další informace najdete v tématu Zkoumání zařízení.

Karta Zařízení na stránce s podrobnostmi o incidentu

Vyšetřování

Pokud chcete zobrazit všechna automatická šetření spuštěná systémem v reakci na výstrahy incidentů, vyberte Šetření.

Karta šetření na stránce s podrobnostmi incidentu

Projít si důkazy

Microsoft Defender for Endpoint automaticky prošetřuje všechny podporované události incidentů a podezřelé entity v výstrahách a poskytuje vám automatické reakce a informace o důležitých souborech, procesech, službách a dalších informacích.

Každá z analyzovaných entit se označí jako nakažená, napravená nebo podezřelá.

Karta Důkaz na stránce s podrobnostmi o incidentu

Vizualizace přidružených kybernetických hrozeb

Microsoft Defender for Endpoint agreguje informace o hrozbách do incidentu, abyste viděli vzory a korelace přicházející z různých datových bodů. Tuto korelaci můžete zobrazit prostřednictvím grafu incidentů.

Graf incidentů

Graf vypráví příběh útoku na kybernetickou bezpečnost. Například ukazuje, jaký byl vstupní bod, který indikátor ohrožení zabezpečení nebo aktivity byl pozorován na kterém zařízení. Atd.

Graf incidentů

Kliknutím na kruhy v grafu incidentů můžete zobrazit podrobnosti o škodlivých souborech, přidružených detekcích souborů, počtu instancí po celém světě, tom, jestli k tomu došlo ve vaší organizaci, pokud ano, kolik instancí.

Stránka s podrobnostmi o incidentu

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.