linha do tempo de dispositivo Microsoft Defender para Ponto de Extremidade

Aplica-se a:

• Plano 2 do Microsoft Defender para Ponto de Extremidade

Observação

Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

O dispositivo Defender para Ponto de Extremidade linha do tempo ajuda você a pesquisar e investigar o comportamento anômalo em seus dispositivos mais rapidamente. Você pode explorar eventos e pontos de extremidade específicos para examinar possíveis ataques em sua organização. Você pode examinar horários específicos de cada evento, definir sinalizadores para acompanhar eventos potencialmente conectados e filtrar para intervalos de datas específicos.

• Seletor de intervalo de tempo personalizado:

  

• Experiência de árvore de processo – painel lateral do evento:

  

• Todas as técnicas MITRE são mostradas quando há mais de uma técnica relacionada:

  

• Os eventos da linha do tempo estão vinculados à nova página de usuário:

  

  

• Os filtros definidos agora estão visíveis na parte superior do linha do tempo:

  

Técnicas no dispositivo linha do tempo

Você pode obter mais informações em uma investigação analisando os eventos ocorridos em um dispositivo específico. Primeiro, selecione o dispositivo de interesse na lista Dispositivos. Na página do dispositivo, você pode selecionar a guia Linha do Tempo para exibir todos os eventos ocorridos no dispositivo.

Entender técnicas no linha do tempo

Importante

Algumas informações estão relacionadas a um recurso de produto pré-relacionado na versão prévia pública que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não faz garantias, expressas ou implícitas, quanto às informações fornecidas aqui.

Em Microsoft Defender para Ponto de Extremidade, Técnicas são um tipo de dados adicional no linha do tempo de evento. As técnicas fornecem mais informações sobre as atividades associadas ao MITRE ATT&técnicas de CK ou subtecniques.

Esse recurso simplifica a experiência de investigação ajudando os analistas a entender as atividades observadas em um dispositivo. Em seguida, os analistas podem decidir investigar mais.

Durante a visualização, as técnicas estão disponíveis por padrão e são mostradas em conjunto com eventos quando o linha do tempo de um dispositivo é exibido.

As técnicas são realçadas em texto em negrito e aparecem com um ícone azul à esquerda. O MITRE ATT correspondente&ID de CK e o nome da técnica também aparecem como marcas em Informações adicionais.

Opções de pesquisa e exportação também estão disponíveis para Técnicas.

Investigar usando o painel lateral

Selecione uma Técnica para abrir o painel lateral correspondente. Aqui você pode ver informações e insights adicionais, como técnicas, táticas e descrições relacionadas do ATT&CK.

Selecione a técnica de ataque específica para abrir a página técnica do ATT&CK relacionada, na qual você pode encontrar mais informações sobre ela.

Você pode copiar os detalhes de uma entidade quando vir um ícone azul à direita. Por exemplo, para copiar o SHA1 de um arquivo relacionado, selecione o ícone de página azul.

Você pode fazer o mesmo para linhas de comando.

Investigar eventos relacionados

Para usar a caça avançada para encontrar eventos relacionados à Técnica selecionada, selecione Caçar para eventos relacionados. Isso leva à página de caça avançada com uma consulta para localizar eventos relacionados à Técnica.

Observação

Consultar usando o botão Caçar eventos relacionados de um painel lateral técnica exibe todos os eventos relacionados à técnica identificada, mas não inclui a técnica em si nos resultados da consulta.

Personalizar o dispositivo linha do tempo

No lado superior direito do dispositivo linha do tempo, você pode escolher um intervalo de datas para limitar o número de eventos e técnicas no linha do tempo.

Você pode personalizar quais colunas expor. Você também pode filtrar para eventos sinalizados por tipo de dados ou por grupo de eventos.

Escolher colunas para expor

Você pode escolher quais colunas expor no linha do tempo selecionando o botão Escolher colunas.

A partir daí, você pode selecionar quais informações devem ser incluídas.

Filtrar apenas para exibir técnicas ou eventos

Para exibir apenas eventos ou técnicas, selecione Filtros no dispositivo linha do tempo e escolha seu tipo de dados preferido para exibir.

Sinalizadores de evento timeline

Sinalizadores de evento no dispositivo Defender para Ponto de Extremidade linha do tempo ajudá-lo a filtrar e organizar eventos específicos quando estiver investigando possíveis ataques.

O dispositivo Defender para Ponto de Extremidade linha do tempo fornece uma exibição cronológica dos eventos e alertas associados observados em um dispositivo. Esta lista de eventos fornece visibilidade total sobre todos os eventos, arquivos e endereços IP observados no dispositivo. Às vezes, a lista pode ser longa. Sinalizadores de evento linha do tempo dispositivo ajudam você a rastrear eventos que podem estar relacionados.

Depois de passar por um dispositivo linha do tempo, você pode classificar, filtrar e exportar os eventos específicos que você sinalizou.

Ao navegar pelo dispositivo linha do tempo, você pode pesquisar e filtrar eventos específicos. Você pode definir sinalizadores de evento por:

• Destacando os eventos mais importantes
• Marcando eventos que exigem mergulho profundo
• Criando uma linha do tempo de violação de limpo

Sinalizar um evento

1. Localize o evento que você deseja sinalizar.

2. Selecione o ícone de sinalizador na coluna Sinalizador.

Exibir eventos sinalizados

1. Na seção Filtros de linha do tempo, habilite eventos sinalizados.
2. Selecione Aplicar. Somente eventos sinalizados são exibidos.

Você pode aplicar mais filtros clicando na barra de horários. Isso só mostrará eventos antes do evento sinalizado.

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.