Изучение устройств в списке устройств Microsoft Defender для конечной точки

Область применения:

• Microsoft Defender для конечной точки (план 2)
• Microsoft Defender XDR

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Изучите сведения об оповещении, поднятом на определенном устройстве, чтобы определить другие действия или события, которые могут быть связаны с оповещением или потенциальной область нарушения.

Примечание.

В рамках процесса исследования или ответа можно собрать пакет исследования с устройства. Вот как: Собрать пакет исследования с устройств.

Вы можете выбрать затронутые устройства, когда вы увидите их на портале, чтобы открыть подробный отчет об этом устройстве. Затронутые устройства определяются в следующих областях:

• Список устройств
• Очередь оповещений
• Любое отдельное оповещение
• Представление сведений об отдельных файлах
• Представление сведений об IP-адресе или домене

При исследовании конкретного устройства вы увидите:

• Сведения об устройстве
• Действия реагирования
• Вкладки (обзор, оповещения, временная шкала, рекомендации по безопасности, инвентаризация программного обеспечения, обнаруженные уязвимости, отсутствующие КБ)
• Карточки (активные оповещения, пользователи, вошедший в систему, оценка безопасности, состояние работоспособности устройства)

Примечание.

Из-за ограничений продукта профиль устройства не учитывает все кибердоказательства при определении периода времени последнего просмотра (как показано на странице устройства). Например, значение "Последний просмотр" на странице Устройство может отображать более старые временные рамки, даже если в временная шкала компьютера доступны более поздние оповещения или данные.

Сведения об устройстве

В разделе сведений об устройстве содержатся такие сведения, как домен, ОС и состояние работоспособности устройства. Если на устройстве есть пакет исследования, вы увидите ссылку, которая позволяет скачать пакет.

Действия реагирования

Действия ответа выполняются в верхней части страницы определенного устройства и включают в себя:

• Просмотр на карте
• Значение устройства
• Установка важности
• Управление тегами
• Изоляция устройства
• Ограничить выполнение приложения
• Запуск проверки на вирусы
• Сбор пакета исследования
• Запуск сеанса динамического реагирования
• Запуск автоматического исследования
• Обратитесь к эксперту по угрозам
• Центр уведомлений

Вы можете выполнить действия ответа в центре уведомлений, на определенной странице устройства или на определенной странице файла.

Дополнительные сведения о том, как выполнять действия на устройстве, см. в разделе Действие реагирования на устройство.

Дополнительные сведения см. в разделе Исследование сущностей пользователей.

Примечание.

Просмотр на карте и установка критичности — это функции Microsoft Exposure Management, которая в настоящее время находится в общедоступной предварительной версии.

Вкладки

На вкладках содержатся соответствующие сведения о безопасности и защите от угроз, связанные с устройством. На каждой вкладке можно настроить отображаемые столбцы, выбрав Настроить столбцы на панели над заголовками столбцов.

Обзор

На вкладке Обзор отображаются карточки для активных оповещений, пользователей, вошедшего в систему, и оценки безопасности.

Инциденты и оповещения

На вкладке Инциденты и оповещения представлен список инцидентов и оповещений, связанных с устройством. Этот список представляет собой отфильтрованную версию очереди оповещений и содержит краткое описание инцидента, оповещения, серьезности (высокий, средний, низкий, информационный), состояния в очереди (новый, выполняется, разрешено), классификации (не задано, ложное оповещение, истинное оповещение), состояния исследования, категории оповещения, адресатов и последнего действия. Вы также можете фильтровать оповещения.

Если выбрано оповещение, появится всплывающее окно. На этой панели можно управлять оповещением и просматривать дополнительные сведения, такие как номер инцидента и связанные устройства. Одновременно можно выбрать несколько оповещений.

Чтобы просмотреть полную страницу оповещения, выберите заголовок оповещения.

Временная шкала

Вкладка Временная шкала предоставляет хронологическое представление событий и связанных с ними оповещений, наблюдаемых на устройстве. Это поможет сопоставить любые события, файлы и IP-адреса по отношению к устройству.

Временная шкала также позволяет выборочно детализировать события, произошедшие в течение заданного периода времени. Вы можете просмотреть темпоральную последовательность событий, произошедших на устройстве за выбранный период времени. Чтобы дополнительно управлять представлением, можно фильтровать по группам событий или настраивать столбцы.

Примечание.

Чтобы отобразить события брандмауэра, необходимо включить политику аудита. См. статью Аудит подключения к платформе фильтрации.

Брандмауэр охватывает следующие события:

• 5025 — служба брандмауэра остановлена
• 5031 — приложение заблокировано принимать входящие подключения в сети
• 5157 — заблокированное подключение

Некоторые функции включают в себя:

• Поиск для определенных событий
  • Используйте панель поиска для поиска определенных событий временная шкала.
• Фильтрация событий по определенной дате
  • Щелкните значок календаря в левом верхнем углу таблицы, чтобы отобразить события за последний день, неделю, 30 дней или пользовательский диапазон. По умолчанию временная шкала устройства настроен для отображения событий за последние 30 дней.
  • Используйте временная шкала, чтобы перейти к определенному моменту во времени, выделив раздел. Стрелки на временная шкала точно определить автоматизированные исследования
• Экспорт подробных событий временная шкала устройства
  • Экспортируйте временная шкала устройства для текущей даты или указанного диапазона дат до семи дней.

Дополнительные сведения об определенных событиях приведены в разделе Дополнительные сведения . Эти сведения зависят от типа события, например:

• Содержится Application Guard — событие веб-браузера было ограничено изолированным контейнером
• Обнаружена активная угроза — обнаружение угрозы произошло во время выполнения угрозы.
• Исправление не удалось — попытка исправить обнаруженную угрозу была вызвана, но не удалось
• Исправление успешно — обнаруженная угроза остановлена и очищена
• Предупреждение, минуемое пользователем— предупреждение Защитник Windows SmartScreen было отклонено и переопределено пользователем
• Обнаружен подозрительный скрипт — обнаружен потенциально вредоносный скрипт, выполняющийся
• Категория оповещения — если событие привело к созданию оповещения, предоставляется категория оповещения (например, боковое смещение).

Сведения о событиях

Выберите событие, чтобы просмотреть соответствующие сведения о нем. Отображается панель для отображения общих сведений о событии. Если применимо и данные доступны, также отображается диаграмма, показывающая связанные сущности и их связи.

Чтобы дополнительно проверить событие и связанные события, можно быстро выполнить расширенный запрос охоты , выбрав Поиск связанных событий. Запрос возвращает выбранное событие и список других событий, произошедших примерно в одно и то же время в той же конечной точке.

Рекомендации по безопасности

Рекомендации по безопасности создаются на основе возможностей управления уязвимостями Microsoft Defender для конечной точки. При выборе рекомендации отображается панель, на которой можно просмотреть соответствующие сведения, такие как описание рекомендации и потенциальные риски, связанные с ее принятием. Дополнительные сведения см. в разделе Рекомендации по безопасности .

Политики безопасности

На вкладке Политики безопасности отображаются политики безопасности конечных точек, применяемые на устройстве. Отобразится список политик, типа, состояния и времени последнего проверка. При выборе имени политики вы перейдете на страницу сведений о политике, где можно просмотреть состояние параметров политики, примененные устройства и назначенные группы.

Инвентаризация программного обеспечения

На вкладке Инвентаризация программного обеспечения можно просмотреть программное обеспечение на устройстве, а также любые слабые места или угрозы. При выборе имени программного обеспечения вы перейдете на страницу сведений о программном обеспечении, где можно просмотреть рекомендации по безопасности, обнаруженные уязвимости, установленные устройства и распространение версий. Дополнительные сведения см. в разделе Инвентаризация программного обеспечения .

Обнаруженные уязвимости

На вкладке Обнаруженные уязвимости отображаются имя, серьезность и аналитика угроз обнаруженных уязвимостей на устройстве. При выборе конкретной уязвимости вы увидите описание и сведения.

Отсутствующие КБ

На вкладке Отсутствующие KBS перечислены отсутствующие обновления для системы безопасности для устройства.

Карточки

Активные оповещения

В карта Azure Advanced Threat Protection отображается общий обзор оповещений, связанных с устройством и уровнем риска, если вы используете функцию Microsoft Defender для удостоверений и есть активные оповещения. Дополнительные сведения см. в разделе Детализация оповещений .

Примечание.

Чтобы использовать эту функцию, необходимо включить интеграцию как в Microsoft Defender для удостоверений, так и в Defender для конечной точки. В Defender для конечной точки эту функцию можно включить в расширенных функциях. Дополнительные сведения о включении дополнительных функций см. в статье Включение дополнительных функций.

Пользователи, вошедший в систему

В карта зарегистрированных пользователей отображается количество пользователей, вошедших в систему за последние 30 дней, а также наиболее часто встречающихся пользователей. Если щелкнуть ссылку Просмотреть всех пользователей , откроется область сведений, в которой отображаются такие сведения, как тип пользователя, тип входа и время первого и последнего просмотра пользователя. Дополнительные сведения см. в разделе Исследование сущностей пользователей.

Примечание.

Значение пользователя "Наиболее частое" вычисляется только на основе данных о пользователях, успешно выполнивших вход в интерактивном режиме. Однако на боковой панели Все пользователи вычисляется все виды входов пользователей, поэтому ожидается, что на боковой панели будет отображаться более частое число пользователей, учитывая, что эти пользователи не могут быть интерактивными.

Оценки безопасности

Оценка безопасности карта показывает общий уровень уязвимости, рекомендации по безопасности, установленное программное обеспечение и обнаруженные уязвимости. Уровень уязвимости устройства определяется совокупным влиянием ожидающих рекомендаций по безопасности.

Состояние работоспособности устройства

В карта состояние работоспособности устройства отображается сводный отчет о работоспособности для конкретного устройства. Одно из следующих сообщений отображается в верхней части карта, чтобы указать общее состояние устройства (указано в порядке с наивысшим или наименьшим приоритетом):

• Антивирусная программа Defender не активна
• Аналитика безопасности не обновлена
• Подсистема не обновлена
• Сбой быстрой проверки
• Сбой полной проверки
• Платформа не обновлена
• Состояние обновления аналитики безопасности неизвестно
• Состояние обновления ядра неизвестно
• Состояние быстрой проверки неизвестно
• Состояние полной проверки неизвестно
• Состояние обновления платформы неизвестно
• Устройство обновлено
• Состояние недоступно для macOS & Linux

Другие сведения в карта включают: последнюю полную проверку, последнюю быструю проверку, версию обновления аналитики безопасности, версию обновления ядра, версию обновления платформы и режим антивирусной программы Defender.

Серый круг указывает, что данные неизвестны.

Примечание.

Общее сообщение о состоянии для устройств macOS и Linux в настоящее время отображается как "Состояние недоступно для macOS & Linux". В настоящее время сводка состояния доступна только для устройств Windows. Все остальные сведения в таблице актуальны для отображения отдельных состояний каждого сигнала работоспособности устройства для всех поддерживаемых платформ.

Чтобы получить подробное представление отчета о работоспособности устройства, перейдите в раздел Отчеты о > работоспособности устройств. Дополнительные сведения см. в статье Отчет о работоспособности и соответствии устройств в Microsoft Defender для конечной точки.

Примечание.

Дата и время для режима антивирусной программы Defender в настоящее время недоступны.

Связанные статьи

• Просмотр и упорядочивание очереди оповещений Microsoft Defender для конечной точки
• Управление оповещениями Microsoft Defender для конечной точки
• Изучение оповещений Microsoft Defender для конечной точки
• Изучение файла, связанного с оповещением Defender для конечной точки
• Изучение IP-адреса, связанного с оповещением Defender для конечной точки
• Изучение домена, связанного с оповещением Defender для конечной точки
• Изучение учетной записи пользователя в Defender для конечной точки
• Рекомендации по безопасности
• Инвентаризация программного обеспечения

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.