Prošetřovat incidenty v Microsoft Defender for Endpoint

Platí pro:

Prošetřte incidenty, které mají vliv na vaši síť, pochopte, co znamenají, a sbalte důkazy, abyste je vyřešili.

Když prošetříte incident, uvidíte:

  • Podrobnosti o incidentu
  • Komentáře a akce incidentů
  • Karty (upozornění, zařízení, vyšetřování, důkazy, graf)

Analýza podrobností incidentu

Kliknutím na incident zobrazíte podokno Incident. Výběrem možnosti Otevřít stránku incidentu zobrazíte podrobnosti incidentu a související informace (upozornění, zařízení, vyšetřování, důkazy, graf).

Podrobnosti o incidentu

Upozornění

Můžete prozkoumat upozornění a zjistit, jak byly propojené v incidentu. Upozornění se seskupí do incidentů z následujících důvodů:

  • Automatizované vyšetřování – automatizované vyšetřování spustilo propojené upozornění při zkoumání původního upozornění.
  • Vlastnosti souboru : Soubory přidružené k upozornění mají podobné vlastnosti.
  • Ruční přidružení – uživatel ručně provázaný s upozorněními
  • Proximální čas – upozornění se aktivují na stejném zařízení v určitém časovém rámci.
  • Stejný soubor : Soubory přidružené k upozornění jsou přesně stejné.
  • Stejná adresa URL – adresa URL, která výstrahu aktivoval, je úplně stejná.

Karta Upozornění s podrobnostmi o incidentu znázorňující důvody, proč byla upozornění v tomto incidentu propojená

Můžete taky spravovat upozornění a zobrazit metadata upozornění spolu s dalšími informacemi. Další informace najdete v tématu Prošetřování upozornění.

Zařízení

Můžete taky prozkoumat zařízení, která jsou součástí daného incidentu nebo s ním souvisejí. Další informace najdete v tématu Zkoumání zařízení.

Karta Zařízení v podrobnostech incidentu

Vyšetřování

Výběrem možnosti Vyšetřování zobrazíte všechna automatická vyšetřování, která systém zahájil v reakci na upozornění na incidenty.

Karta vyšetřování na stránce podrobností incidentu

Prochádku důkazy

Microsoft Defender for Endpoint automaticky prošetřuje události a podezřelé entity incidentů v upozorněních a poskytne vám automatickou odpověď a informace o důležitých souborech, procesech, službách a dalších.

Každá analyzovaná entita bude označená jako infikovaná, opravovaná nebo podezřelá.

Karta Důkazy na stránce podrobností incidentu

Vizualizace souvisejících hrozeb kybernetické bezpečnosti

Microsoft Defender for Endpoint informace o hrozbách agreguje na incident, abyste viděli vzory a korelace přicházející z různých datových bodů. Takovou korelaci můžete zobrazit v grafu incidentů.

Graf incidentů

The Graph vyprávěl příběh o útoku na kybernetickou bezpečnost. Například ukazuje, jaký byl vstupní bod, který indikátor ohrožení zabezpečení nebo aktivity byl pozorován na kterém zařízení. atd.

Graf incidentů

Kliknutím na kruhy v grafu incidentů můžete zobrazit podrobnosti o škodlivých souborech, přidružených zjišťováních souborů, o tom, kolik výskytů bylo po celém světě, jestli bylo ve vaší organizaci pozorováno, pokud ano, kolik instancí.

Stránka s podrobnostmi o incidentu