Undersøg enheder på listen over Microsoft Defender for Endpoint enheder

  • Artikel

Gælder for:

Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.

Undersøg detaljerne for en besked, der udløses på en bestemt enhed, for at identificere andre funktionsmåder eller hændelser, der kan være relateret til beskeden eller det potentielle omfang af sikkerhedsbrud.

Bemærk!

Som en del af undersøgelses- eller svarprocessen kan du indsamle en undersøgelsespakke fra en enhed. Sådan gør du: Indsaml undersøgelsespakke fra enheder.

Du kan vælge på berørte enheder, når du ser dem på portalen, for at åbne en detaljeret rapport om den pågældende enhed. Berørte enheder identificeres i følgende områder:

  • Liste over enheder
  • Beskedkøer
  • Alle individuelle beskeder
  • Visning af fildetaljer for alle individuelle filer
  • Visning af IP-adresse eller domæneoplysninger

Når du undersøger en bestemt enhed, får du vist:

  • Enhedsdetaljer
  • Svarhandlinger
  • Faner (oversigt, beskeder, tidslinje, sikkerhedsanbefalinger, softwareoversigt, registrerede sikkerhedsrisici, manglende NØGLETAL)
  • Kort (aktive beskeder, brugere, der er logget på, sikkerhedsvurdering, status for enhedens tilstand)

Enhedsvisningen

Bemærk!

På grund af produktets begrænsninger tager enhedsprofilen ikke alle cyberbeviser i betragtning, når tidsrammen 'Sidst set' skal fastlægges (som det også ses på enhedens side). Værdien 'Sidst set' på siden Enhed kan f.eks. vise en ældre tidsramme, selvom der er nyere beskeder eller data tilgængelige på computerens tidslinje.

Enhedsdetaljer

Afsnittet med enhedsoplysninger indeholder oplysninger som f.eks. enhedens domæne, operativsystem og tilstandstilstand. Hvis der er en undersøgelsespakke tilgængelig på enheden, får du vist et link, der giver dig mulighed for at downloade pakken.

Svarhandlinger

Svarhandlinger kører langs toppen af en bestemt enhedsside og omfatter:

  • Vis på kort
  • Enhedsværdi
  • Angiv kritiskhed
  • Administrer mærker
  • Isoler enhed
  • Begræns appudførelse
  • Kør antivirusscanning
  • Hent undersøgelsespakke
  • Start live-svarsession
  • Start en automatiseret undersøgelse
  • Kontakt en trusselsekspert
  • Handlingscenter

Du kan udføre svarhandlinger i Løsningscenter, på en bestemt enhedsside eller på en bestemt filside.

Du kan få flere oplysninger om, hvordan du udfører handlinger på en enhed, under Udfør svarhandling på en enhed.

Du kan få flere oplysninger under Undersøg brugerobjekter.

Bemærk!

Vis på kort og angiv kritisk værdi er funktioner fra Microsoft Exposure Management, som i øjeblikket er en offentlig prøveversion.

Faner

Fanerne giver relevante oplysninger om sikkerhed og trusselsforebyggelse, der er relateret til enheden. Under hver fane kan du tilpasse de kolonner, der vises, ved at vælge Tilpas kolonner på linjen over kolonneoverskrifterne.

Oversigt

Under fanen Oversigt vises kortene for aktive beskeder, der er logget på brugere, og sikkerhedsvurdering.

Fanen Oversigt på enhedssiden

Hændelser og beskeder

Fanen Hændelser og beskeder indeholder en liste over hændelser og beskeder, der er knyttet til enheden. Denne liste er en filtreret version af beskedkøen og viser en kort beskrivelse af hændelsen, vigtig besked, alvorsgrad (høj, mellem, lav, oplysende), status i køen (ny, i gang, løst), klassificering (ikke angivet, falsk besked, sand besked), undersøgelsestilstand, kategori for besked, hvem der løser beskeden og sidste aktivitet. Du kan også filtrere beskederne.

Fanen for de beskeder, der er relateret til enheden

Når der er valgt en besked, vises der et fly-out. I dette panel kan du administrere beskeden og få vist flere oplysninger, f.eks. hændelsesnummer og relaterede enheder. Der kan vælges flere beskeder ad gangen.

Hvis du vil se en hel sidevisning af en besked, skal du vælge titlen på beskeden.

Tidslinjen

Fanen Tidslinje indeholder en kronologisk visning af hændelserne og de tilknyttede beskeder, der er blevet observeret på enheden. Dette kan hjælpe dig med at korrelere alle hændelser, filer og IP-adresser i forhold til enheden.

Tidslinjen giver dig også mulighed for selektivt at foretage detailudledning i hændelser, der er opstået inden for en given tidsperiode. Du kan få vist den tidsmæssige sekvens af hændelser, der er opstået på en enhed i en valgt tidsperiode. Hvis du vil styre visningen yderligere, kan du filtrere efter hændelsesgrupper eller tilpasse kolonnerne.

Bemærk!

Hvis firewallhændelser skal vises, skal du aktivere overvågningspolitikken under Overvågningsfilterplatformsforbindelse.

Firewall dækker følgende hændelser:

  • 5025 – firewalltjenesten er stoppet
  • 5031 – programmet er blokeret fra at acceptere indgående forbindelser på netværket
  • 5157 – blokeret forbindelse

Enhedens tidslinje med hændelser

Nogle af funktionerne omfatter:

  • Søg for bestemte hændelser
    • Brug søgelinjen til at søge efter bestemte tidslinjehændelser.
  • Filtrer hændelser fra en bestemt dato
    • Vælg kalenderikonet øverst til venstre i tabellen for at få vist hændelser inden for den seneste dag, uge, 30 dage eller det brugerdefinerede interval. Enhedstidslinjen er som standard angivet til at vise hændelserne fra de seneste 30 dage.
    • Brug tidslinjen til at gå til et bestemt øjeblik ved at fremhæve sektionen. Pilene på tidslinjen fastgør automatiserede undersøgelser
  • Eksportér detaljerede enhedstidslinjehændelser
    • Eksportér enhedstidslinjen for den aktuelle dato eller et angivet datointerval op til syv dage.

Du kan finde flere oplysninger om visse hændelser i afsnittet Yderligere oplysninger . Disse oplysninger varierer afhængigt af typen af hændelse, f.eks.:

  • Indeholdt af Application Guard – webbrowserhændelsen var begrænset af en isoleret objektbeholder
  • Aktiv trussel registreret – trusselsregistreringen fandt sted, mens truslen kørte
  • Afhjælpning lykkedes ikke – et forsøg på at afhjælpe den registrerede trussel blev kaldt, men mislykkedes
  • Afhjælpning lykkedes – den registrerede trussel blev stoppet og renset
  • Advarsel ignoreret af brugeren – Windows Defender SmartScreen-advarslen blev afvist og tilsidesat af en bruger
  • Der blev fundet et mistænkeligt script – der blev fundet et potentielt skadeligt script, der kører
  • Kategorien vigtig besked – hvis hændelsen førte til oprettelsen af en besked, angives beskedkategorien (f.eks. tværgående bevægelse)

Oplysninger om begivenhed

Vælg en hændelse for at få vist relevante oplysninger om hændelsen. Der vises et panel, der viser generelle hændelsesoplysninger. Når det er relevant, og der er data tilgængelige, vises der også en graf, der viser relaterede objekter og deres relationer.

Hvis du vil undersøge hændelsen og relaterede hændelser yderligere, kan du hurtigt køre en avanceret jagtforespørgsel ved at vælge Jagt for relaterede hændelser. Forespørgslen returnerer den valgte hændelse og listen over andre hændelser, der fandt sted omkring samme tid på det samme slutpunkt.

Panelet med hændelsesoplysninger

Sikkerhedsanbefalinger

Sikkerhedsanbefalinger genereres ud fra Microsoft Defender for Endpoint funktionalitet til administration af sårbarheder. Når du vælger en anbefaling, vises et panel, hvor du kan få vist relevante oplysninger, f.eks. beskrivelse af anbefalingen og de potentielle risici, der er forbundet med ikke at vedtage den. Se Sikkerhedsanbefaling for at få flere oplysninger.

Sikkerhedspolitikker

Fanen Sikkerhedspolitikker viser de sikkerhedspolitikker for slutpunkter, der anvendes på enheden. Du kan se en liste over politikker, type, status og tidspunkt for seneste indtjekning. Når du vælger navnet på en politik, kommer du til siden med politikoplysninger, hvor du kan se status for politikindstillinger, anvendte enheder og tildelte grupper.

Fanen Sikkerhedspolitikker

Softwarelager

Under fanen Softwareoversigt kan du se software på enheden sammen med eventuelle svagheder eller trusler. Hvis du vælger navnet på softwaren, kommer du til siden med softwareoplysninger, hvor du kan se sikkerhedsanbefalinger, registrerede sikkerhedsrisici, installerede enheder og versionsdistribution. Se Softwareoversigt for at få flere oplysninger.

Fanen Software inventory (Software inventory)

Registrerede sikkerhedsrisici

Fanen Fundne sikkerhedsrisici viser navn, alvorsgrad og trusselsindsigt for fundne sikkerhedsrisici på enheden. Hvis du vælger en bestemt sikkerhedsrisiko, får du vist en beskrivelse og oplysninger.

Fanen Fundne sikkerhedsrisici

Manglende KB

Fanen Manglende NØGLETAL viser de manglende sikkerhedsopdateringer til enheden.

Fanen Manglende KB

Kort

Aktive beskeder

Azure Advanced Threat Protection-kortet viser en overordnet oversigt over beskeder, der er relateret til enheden og deres risikoniveau, hvis du bruger funktionen Microsoft Defender for Identity, og der er aktive beskeder. Du kan få flere oplysninger i detailudledning for beskeder .

Det aktive beskedkort

Bemærk!

Du skal aktivere integrationen på både Microsoft Defender for Identity og Defender for Endpoint for at bruge denne funktion. I Defender for Endpoint kan du aktivere denne funktion i avancerede funktioner. Du kan få flere oplysninger om, hvordan du aktiverer avancerede funktioner, under Slå avancerede funktioner til.

Brugere, der er logget på

Kortet Log på brugere viser, hvor mange brugere der er logget på inden for de seneste 30 dage sammen med de mest og mindst hyppige brugere. Hvis du vælger linket Se alle brugere , åbnes detaljeruden, som viser oplysninger som f.eks. brugertype, logontype, og hvornår brugeren blev set første og sidste gang. Du kan få flere oplysninger under Undersøg brugerobjekter.

Ruden med brugeroplysninger

Bemærk!

Brugerværdien 'Oftest' beregnes kun på baggrund af beviser for brugere, der er logget på interaktivt. Sideruden Alle brugere beregner dog alle former for brugerlogon, så det forventes, at de ser hyppigere brugere i sideruden, da disse brugere muligvis ikke er interaktive.

Sikkerhedsvurderinger

Kortet Sikkerhedsvurderinger viser det overordnede eksponeringsniveau, sikkerhedsanbefalinger, installeret software og registrerede sikkerhedsrisici. En enheds eksponeringsniveau bestemmes af den kumulative virkning af dens afventende sikkerhedsanbefalinger.

Kortet til sikkerhedsvurderinger

Status for enhedens tilstand

Kortet Enhedens tilstandsstatus viser en opsummeret tilstandsrapport for den specifikke enhed. En af følgende meddelelser vises øverst på kortet for at angive enhedens overordnede status (angivet i rækkefølge efter højeste til laveste prioritet):

  • Defender Antivirus er ikke aktiv
  • Sikkerhedsintelligens er ikke opdateret
  • Programmet er ikke opdateret
  • Hurtig scanning mislykkedes
  • Fuld scanning mislykkedes
  • Platformen er ikke opdateret
  • Status for sikkerhedsintelligensopdatering er ukendt
  • Status for programopdatering er ukendt
  • Status for hurtigsøgning er ukendt
  • Fuld scanningsstatus er ukendt
  • Status for opdatering af platformen er ukendt
  • Enheden er opdateret
  • Status er ikke tilgængelig for macOS & Linux

Andre oplysninger på kortet omfatter: sidste komplette scanning, sidste hurtig scanning, version af sikkerhedsintelligensopdatering, programopdateringsversion, platformsopdateringsversion og Defender Antivirus-tilstand.

En grå cirkel angiver, at dataene er ukendte.

Bemærk!

Den overordnede statusmeddelelse for macOS- og Linux-enheder vises i øjeblikket som "Status er ikke tilgængelig for macOS & Linux". Statusoversigten er i øjeblikket kun tilgængelig for Windows-enheder. Alle andre oplysninger i tabellen er opdateret, så de enkelte tilstande for hvert enhedstilstandssignal vises for alle understøttede platforme.

Hvis du vil have en detaljeret visning af rapporten over enhedens tilstand, kan du gå til Rapporter > Enheders tilstand. Du kan få flere oplysninger i Rapporten om enhedens tilstand og overholdelse af angivne standarder i Microsoft Defender for Endpoint.

Bemærk!

Dato og klokkeslæt for Defender Antivirus-tilstand er ikke tilgængelig i øjeblikket.

Statuskortet for enhedens tilstand

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.