Übersicht über Endpunkterkennung und -reaktion

Gilt für:

Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.

Defender für Endpunkt EDR-Funktionen bieten erweiterte Angriffserkennungen, die nahezu in Echtzeit und umsetzbar sind. Sicherheitsanalysten können Benachrichtigungen effektiv priorisieren, Einblick in den gesamten Umfang einer Verletzung erhalten und Aktionen ergreifen, um Bedrohungen zu beheben.

Wenn eine Bedrohung erkannt wird, werden im System Warnungen erstellt, die ein Analytiker untersuchen kann. Benachrichtigungen, die auf die gleichen Angriffsmethoden oder den gleichen Angreifer zurückzuführen sind, werden in der Entität Vorfall zusammengefasst. Das Zusammenfassen von Benachrichtigungen erleichtert es Analytikern, Bedrohungen kollektiv zu untersuchen und darauf zu reagieren.

Wichtig

Defender für Endpunktplan 1 und Microsoft Defender für Unternehmen enthalten nur die folgenden manuellen Reaktionsmaßnahmen:

  • Antivirusscan ausführen
  • Gerät isolieren
  • Beenden und Isolieren einer Datei
  • Hinzufügen eines Indikators zum Blockieren oder Zulassen einer Datei

Inspiriert von der Denkweise "Annehmen von Sicherheitsverletzungen" sammelt Defender für Endpunkt kontinuierlich cyber-Verhaltenstelemetrie. Dazu gehören Prozessinformationen, Netzwerkaktivitäten, tiefe Einblicke in den Kernel- und Speicher-Manager, Benutzeranmeldeaktivitäten, Registrierungs-und Dateisystemänderungen und andere. Die Informationen werden sechs Monate gespeichert, sodass ein Analyst zum Anfang eines Angriffs zurückkehren kann. Der Analytiker kann dann in unterschiedliche Ansichten wechseln und eine Untersuchung in mehreren Vektoren durchführen.

Die Antwortfunktionen bieten Ihnen die Möglichkeit, Bedrohungen zeitnah zu beheben, indem Sie auf die betroffenen Entitäten reagieren.