Del via

Undersøg hændelser i Microsoft Defender for Endpoint

  • Artikel

Gælder for:

Undersøg hændelser, der påvirker dit netværk, forstå, hvad de betyder, og sæt beviser sammen for at løse dem.

Når du undersøger en hændelse, får du vist:

  • Oplysninger om hændelse
  • Kommentarer og handlinger for hændelser
  • Faner (beskeder, enheder, undersøgelser, beviser, graf)

Analysér oplysninger om hændelse

Tip

I en begrænset periode i løbet af januar 2024, når du besøger siden Hændelser , vises Defender Boxed. Defender Boxed fremhæver din organisations sikkerhedsmæssige succeser, forbedringer og svarhandlinger i løbet af 2023. Hvis du vil genåbne Defender Boxed, skal du gå til Hændelser på Microsoft Defender-portalen og derefter vælge Din Defender Boxed.

Klik på en hændelse for at se ruden Hændelse. Vælg Åbn hændelsesside for at se oplysninger om hændelser og relaterede oplysninger (beskeder, enheder, undersøgelser, beviser, graf).

Detaljerne for en hændelse

Beskeder

Du kan undersøge beskederne og se, hvordan de blev sammenkædet i en hændelse. Beskeder grupperes i hændelser baseret på følgende årsager:

  • Automatiseret undersøgelse – Den automatiserede undersøgelse udløste den sammenkædede besked under undersøgelse af den oprindelige besked
  • Filegenskaber – De filer, der er knyttet til beskeden, har samme egenskaber
  • Manuel tilknytning – En bruger har sammenkædet beskederne manuelt
  • Nærbillede – Beskederne blev udløst på den samme enhed inden for en bestemt tidsramme
  • Samme fil – De filer, der er knyttet til beskeden, er nøjagtigt de samme
  • Samme URL-adresse – Den URL-adresse, der udløste beskeden, er præcis den samme

Fanen Beskeder med siden med oplysninger om hændelser, der viser årsagerne til, at beskederne blev sammenkædet i den pågældende hændelse

Du kan også administrere en besked og se metadata for beskeder sammen med andre oplysninger. Du kan få flere oplysninger under Undersøg beskeder.

Enheder

Du kan også undersøge de enheder, der er en del af eller relateret til en given hændelse. Du kan få flere oplysninger under Undersøg enheder.

Fanen Enheder på siden med oplysninger om hændelser

Undersøgelser

Vælg Undersøgelser for at se alle de automatiske undersøgelser, der startes af systemet som svar på hændelsesbeskederne.

Fanen Undersøgelser på siden med oplysninger om hændelser

Gennemgang af bevismaterialet

Microsoft Defender for Endpoint undersøger automatisk alle hændelsers understøttede hændelser og mistænkelige enheder i beskederne, hvilket giver dig mulighed for automatisk at svare og oplysninger om vigtige filer, processer, tjenester med mere.

Hver af de analyserede enheder markeres som inficeret, afhjælpet eller mistænkelig.

Fanen Beviser på siden med oplysninger om hændelser

Visualisering af tilknyttede cybersikkerhedstrusler

Microsoft Defender for Endpoint samler trusselsoplysningerne i en hændelse, så du kan se de mønstre og korrelationer, der kommer ind fra forskellige datapunkter. Du kan få vist en sådan korrelation via hændelsesdiagrammet.

Hændelsesgraf

Graph fortæller historien om cybersikkerhedsangrebet. Den viser f.eks., hvad der var indgangspunktet, hvilken indikator for kompromis eller aktivitet der blev observeret på hvilken enhed. Osv.

Grafen over hændelser

Du kan klikke på cirklerne i hændelsesgrafen for at få vist detaljer om de skadelige filer, tilknyttede filregistreringer, hvor mange forekomster der har været over hele verden, om de er blevet observeret i din organisation, hvis det er tilfældet, hvor mange instanser.

Siden med oplysninger om hændelser

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.