Исследование инцидентов в Microsoft Defender для конечной точки

  • Статья

Область применения:

Изучите инциденты, влияющие на вашу сеть, поймите, что они означают, и соберите доказательства для их устранения.

При расследовании инцидента вы увидите следующее:

  • Сведения об инциденте
  • Комментарии и действия инцидента
  • Вкладки (оповещения, устройства, исследования, доказательства, граф)

Анализ сведений об инциденте

Совет

В течение ограниченного времени в январе 2024 г. при посещении страницы Инциденты отображается Boxed Defender. Defender Boxed освещает успехи, улучшения и действия по реагированию вашей организации в области безопасности в 2023 году. Чтобы снова открыть Defender Boxed, на портале Microsoft Defender перейдите в раздел Инциденты, а затем выберите Ваш защитник в коробке.

Щелкните инцидент, чтобы открыть область Инцидент. Выберите Открыть страницу инцидента , чтобы просмотреть сведения об инциденте и соответствующую информацию (оповещения, устройства, исследования, доказательства, график).

Сведения об инциденте

Оповещения

Вы можете исследовать оповещения и узнать, как они были связаны друг с другом в инциденте. Оповещения группируются по инцидентам по следующим причинам:

  • Автоматическое исследование— автоматическое исследование активировало связанное оповещение при изучении исходного оповещения.
  • Характеристики файла — файлы, связанные с оповещением, имеют аналогичные характеристики.
  • Сопоставление вручную . Пользователь вручную связал оповещения
  • Прокси-время — оповещения были активированы на одном устройстве в течение определенного периода времени.
  • Тот же файл — файлы, связанные с оповещением, точно такие же.
  • Тот же URL-адрес — URL-адрес, который активировал оповещение, точно такой же.

Вкладка Оповещения со страницей сведений об инциденте с причинами, по которым оповещения были связаны в этом инциденте

Вы также можете управлять оповещением и просматривать метаданные оповещений вместе с другими сведениями. Дополнительные сведения см. в разделе Исследование оповещений.

Устройства

Вы также можете исследовать устройства, которые являются частью данного инцидента или связаны с ним. Дополнительные сведения см. в разделе Исследование устройств.

Вкладка Устройства на странице сведений об инциденте

Исследования

Выберите Исследования , чтобы просмотреть все автоматические расследования, запущенные системой в ответ на оповещения об инцидентах.

Вкладка

Прохождение доказательств

Microsoft Defender для конечной точки автоматически исследует все поддерживаемые события инцидентов и подозрительные сущности в оповещениях, предоставляя вам автоответ и сведения о важных файлах, процессах, службах и многом другом.

Каждая из проанализированных сущностей будет помечена как зараженная, исправленная или подозрительная.

Вкладка

Визуализация связанных угроз кибербезопасности

Microsoft Defender для конечной точки объединяет сведения об угрозах в инцидент, чтобы вы могли видеть закономерности и корреляции, поступающие из различных точек данных. Эту корреляцию можно просмотреть с помощью графа инцидентов.

График инцидентов

Граф рассказывает историю атаки кибербезопасности. Например, он показывает, какая точка входа, какой индикатор компрометации или активности наблюдался на каком устройстве. Др.

График инцидентов

Вы можете щелкнуть круги на графе инцидентов, чтобы просмотреть сведения о вредоносных файлах, связанных с ними обнаружениях файлов, количестве экземпляров по всему миру, о том, наблюдалось ли это в вашей организации, сколько экземпляров.

Страница сведений об инциденте

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.