Исследование устройств в списке Устройств конечных точек Microsoft Defender для конечных точекInvestigate devices in the Microsoft Defender for Endpoint Devices list

Область применения:Applies to:

Хотите испытать Defender для конечной точки?Want to experience Defender for Endpoint? Зарегистрився для бесплатной пробной.Sign up for a free trial.

Изучите сведения о предупреждении, поднятом на определенном устройстве, чтобы определить другие действия или события, которые могут быть связаны с предупреждением или потенциальной областью нарушения.Investigate the details of an alert raised on a specific device to identify other behaviors or events that might be related to the alert or the potential scope of the breach.

Примечание

В рамках процесса расследования или ответа можно собрать пакет исследований с устройства.As part of the investigation or response process, you can collect an investigation package from a device. Вот как: сбор пакета исследований с устройств.Here's how: Collect investigation package from devices.

Вы можете щелкнуть по затронутым устройствам всякий раз, когда увидите их на портале, чтобы открыть подробный отчет об этом устройстве.You can click on affected devices whenever you see them in the portal to open a detailed report about that device. Затронутые устройства определены в следующих областях:Affected devices are identified in the following areas:

При расследовании конкретного устройства вы увидите:When you investigate a specific device, you'll see:

  • Сведения о устройствеDevice details
  • Действия реагированияResponse actions
  • Вкладки (обзор, оповещения, сроки, рекомендации по безопасности, инвентаризация программного обеспечения, обнаруженные уязвимости, отсутствующие ЦБ)Tabs (overview, alerts, timeline, security recommendations, software inventory, discovered vulnerabilities, missing KBs)
  • Карты (активные оповещения, зарегистрированные на пользователях, оценка безопасности)Cards (active alerts, logged on users, security assessment)

Изображение представления устройства

Сведения о устройствеDevice details

В разделе сведения об устройстве содержится информация, например, о состоянии домена, ОС и состояния здоровья устройства.The device details section provides information such as the domain, OS, and health state of the device. Если на устройстве доступен пакет исследований, вы увидите ссылку, которая позволяет скачать пакет.If there's an investigation package available on the device, you'll see a link that allows you to download the package.

Действия реагированияResponse actions

Действия ответа, которые запускают по верхней части определенной страницы устройства и включают в себя:Response actions run along the top of a specific device page and include:

  • Управление тегамиManage tags
  • Изолировать устройствоIsolate device
  • Ограничить выполнение приложенияRestrict app execution
  • Запуск проверки на вирусыRun antivirus scan
  • Сбор пакета исследованияCollect investigation package
  • Инициировать сеанс живого ответаInitiate Live Response Session
  • Инициировать автоматическое расследованиеInitiate automated investigation
  • Обратитесь к эксперту по угрозамConsult a threat expert
  • Центр уведомленийAction center

Действия реагирования можно принимать в центре действий, на определенной странице устройства или на определенной странице файла.You can take response actions in the Action center, in a specific device page, or in a specific file page.

Дополнительные сведения о том, как действовать на устройстве, см. в этой информации. For more information on how to take action on a device, see Take response action on a device.

Дополнительные сведения см. в дополнительных сведениях о том, как исследовать объекты пользователей.For more information, see Investigate user entities.

ВкладкиTabs

Вкладки предоставляют соответствующие сведения о безопасности и предотвращении угроз, связанные с устройством.The tabs provide relevant security and threat prevention information related to the device. На каждой вкладке можно настроить столбцы, которые показаны, выбрав столбцы Customize из панели над заголовками столбцов.In each tab, you can customize the columns that are shown by selecting Customize columns from the bar above the column headers.

ОбзорOverview

На вкладке Обзор отображаются карточки для активных оповещений, зарегистрированных в пользователях, и оценки безопасности.The Overview tab displays the cards for active alerts, logged on users, and security assessment.

Изображение вкладки обзор на странице устройства

ОповещенияAlerts

Вкладка Alerts содержит список оповещений, связанных с устройством.The Alerts tab provides a list of alerts that are associated with the device. Этот список является фильтрованной версией очереди оповещений и показывает краткое описание оповещения, серьезности (высокая, средняя, низкая, информационная), состояния в очереди (новое, в процессе выполнения, разрешено), классификации (не установлено, ложное оповещение, истинное оповещение), состояния расследования, категории оповещения, который обращается к оповещению и последней активности.This list is a filtered version of the Alerts queue, and shows a short description of the alert, severity (high, medium, low, informational), status in the queue (new, in progress, resolved), classification (not set, false alert, true alert), investigation state, category of alert, who is addressing the alert, and last activity. Вы также можете фильтровать оповещения.You can also filter the alerts.

Изображение оповещений, связанных с устройством

Когда выбран значок круга слева от оповещений, появляется вылет.When the circle icon to the left of an alert is selected, a fly-out appears. На этой панели можно управлять оповещением и просматривать дополнительные сведения, такие как номер инцидента и связанные устройства.From this panel you can manage the alert and view more details such as incident number and related devices. Одновременно можно выбрать несколько оповещений.Multiple alerts can be selected at a time.

Чтобы просмотреть полное представление оповещений, включая график инцидентов и дерево процессов, выберите название оповещений.To see a full page view of an alert including incident graph and process tree, select the title of the alert.

Временная шкалаTimeline

Вкладка Timeline предоставляет хронологическое представление событий и связанных с ними оповещений, которые наблюдались на устройстве.The Timeline tab provides a chronological view of the events and associated alerts that have been observed on the device. Это поможет вам соотнести все события, файлы и IP-адреса по отношению к устройству.This can help you correlate any events, files, and IP addresses in relation to the device.

Временная шкала также позволяет выборочно сверлить события, которые произошли в течение определенного периода времени.The timeline also enables you to selectively drill down into events that occurred within a given time period. Можно просмотреть временную последовательность событий, произошедших на устройстве за выбранный период времени.You can view the temporal sequence of events that occurred on a device over a selected time period. Для дальнейшего управления представлением можно фильтровать группы событий или настраивать столбцы.To further control your view, you can filter by event groups or customize the columns.

Примечание

Чтобы отобразить события брандмауэра, необходимо включить политику аудита, см. в статью Подключение платформы фильтрации аудита.For firewall events to be displayed, you'll need to enable the audit policy, see Audit Filtering Platform connection. Брандмауэр охватывает следующие событияFirewall covers the following events

  • 5025 — остановлена служба брандмауэра5025 - firewall service stopped
  • 5031 — приложение, заблокированное при приеме входящих подключений в сети5031 - application blocked from accepting incoming connections on the network
  • 5157 — заблокированное подключение5157 - blocked connection

Изображение временной шкалы устройства с событиями

Некоторые функции включают в себя:Some of the functionality includes:

  • Поиск определенных событийSearch for specific events
    • Используйте панели поиска для поиска определенных событий временной шкалы.Use the search bar to look for specific timeline events.
  • Фильтрация событий с определенной датыFilter events from a specific date
    • Выберите значок календаря в верхней левой части таблицы, чтобы отображать события за прошедший день, неделю, 30 дней или настраиваемый диапазон.Select the calendar icon in the upper left of the table to display events in the past day, week, 30 days, or custom range. По умолчанию установлена временная шкала устройства, которая отображает события за последние 30 дней.By default, the device timeline is set to display the events from the past 30 days.
    • Используйте временную шкалу, чтобы перейти к определенному моменту времени, выделив раздел.Use the timeline to jump to a specific moment in time by highlighting the section. Стрелки на временной шкале выявляют автоматизированные исследованияThe arrows on the timeline pinpoint automated investigations
  • Экспорт подробных событий временной шкалы устройствExport detailed device timeline events
    • Экспорт временной шкалы устройства для текущей даты или определенного диапазона дат до семи дней.Export the device timeline for the current date or a specified date range up to seven days.

Дополнительные сведения о некоторых событиях предоставляются в разделе Дополнительные сведения.More details about certain events are provided in the Additional information section. Эти сведения зависят от типа события, например:These details vary depending on the type of event, for example:

  • Contained by Application Guard - the web browser event was restricted by an isolated containerContained by Application Guard - the web browser event was restricted by an isolated container
  • Обнаружена активная угроза — обнаружение угрозы произошло во время запуска угрозы.Active threat detected - the threat detection occurred while the threat was running
  • Исправление не удалось — попытка устранения обнаруженной угрозы была вызвана, но не удаласьRemediation unsuccessful - an attempt to remediate the detected threat was invoked but failed
  • Исправление успешно — обнаруженная угроза была остановлена и очищенаRemediation successful - the detected threat was stopped and cleaned
  • Предупреждение, обходить стороной пользователя — Защитник Windows SmartScreen было отклонено и переопределено пользователем.Warning bypassed by user - the Windows Defender SmartScreen warning was dismissed and overridden by a user
  • Обнаружен подозрительный скрипт — обнаружен потенциально вредоносный сценарийSuspicious script detected - a potentially malicious script was found running
  • Категория оповещений — если событие привело к генерации оповещений, предоставляется категория оповещений ("Лайтальное движение", например).The alert category - if the event led to the generation of an alert, the alert category ("Lateral Movement", for example) is provided

Сведения о событияхEvent details

Выберите событие, чтобы просмотреть соответствующие сведения об этом событии.Select an event to view relevant details about that event. Панель отображает общие сведения о событиях.A panel displays to show general event information. Когда применимы и доступны данные, также отображается график, на котором показаны связанные сущности и их связи.When applicable and data is available, a graph showing related entities and their relationships are also shown.

Чтобы дополнительно инспектировать события и связанные с ними события, можно быстро выполнить расширенный запрос на охоту, выбрав Hunt для связанных событий.To further inspect the event and related events, you can quickly run an advanced hunting query by selecting Hunt for related events. Запрос возвращает выбранное событие и список других событий, произошедших примерно в одно и то же время на той же конечной точке.The query will return the selected event and the list of other events that occurred around the same time on the same endpoint.

Изображение панели сведений о событии

Рекомендации по безопасностиSecurity recommendations

Рекомендации по безопасности создаются в Microsoft Defender для функции управления & уязвимостей в конечной точке.Security recommendations are generated from Microsoft Defender for Endpoint's Threat & Vulnerability Management capability. Выбор рекомендации покажет панель, на которой можно просмотреть соответствующие сведения, такие как описание рекомендации и потенциальные риски, связанные с ее непринятия.Selecting a recommendation will show a panel where you can view relevant details such as description of the recommendation and the potential risks associated with not enacting it. Подробные сведения см. в рекомендации по безопасности.See Security recommendation for details.

Изображение вкладки рекомендации по безопасности

Перечень программного обеспеченияSoftware inventory

Вкладка инвентаризации программного обеспечения позволяет просматривать программное обеспечение на устройстве, а также любые слабые стороны или угрозы.The Software inventory tab lets you view software on the device, along with any weaknesses or threats. Выбор имени программного обеспечения позволит вам просмотреть рекомендации по безопасности, обнаруженные уязвимости, установленные устройства и распространение версий.Selecting the name of the software will take you to the software details page where you can view security recommendations, discovered vulnerabilities, installed devices, and version distribution. Сведения о инвентаризации программного обеспеченияSee Software inventory for details

Изображение вкладки инвентаризации программного обеспечения

Обнаруженные уязвимостиDiscovered vulnerabilities

На вкладке "Обнаруженные уязвимости" показано имя, серьезность и сведения об угрозах обнаруженных уязвимостей на устройстве.The Discovered vulnerabilities tab shows the name, severity, and threat insights of discovered vulnerabilities on the device. При выборе определенных уязвимостей покажут описание и сведения.Selecting specific vulnerabilities will show a description and details.

Изображение вкладки обнаруженных уязвимостей

Отсутствующие KBsMissing KBs

На вкладке Missing KBs перечислены отсутствующие обновления безопасности для устройства.The Missing KBs tab lists the missing security updates for the device.

Изображение отсутствующих вкладок kbs

КарточкиCards

Активные оповещенияActive alerts

На карточке Advanced Threat Protection Azure будет отображаться высокоуровневый обзор оповещений, связанных с устройством и уровнем риска, если вы включили функцию Microsoft Defender для удостоверений и есть активные оповещений.The Azure Advanced Threat Protection card will display a high-level overview of alerts related to the device and their risk level, if you have enabled the Microsoft Defender for Identity feature, and there are any active alerts. Дополнительные сведения можно получить в упражнении "Оповещение".More information is available in the "Alerts" drill down.

Изображение карты активных оповещений

Примечание

Для использования этой функции необходимо включить интеграцию в Microsoft Defender for Identity и Defender for Endpoint.You'll need to enable the integration on both Microsoft Defender for Identity and Defender for Endpoint to use this feature. В Defender for Endpoint вы можете включить эту функцию в расширенных функциях.In Defender for Endpoint, you can enable this feature in advanced features. Дополнительные сведения о том, как включить расширенные функции, см. в дополнительных сведениях.For more information on how to enable advanced features, see Turn on advanced features.

Вход в систему пользователейLogged on users

В карточке входа в систему пользователей показано, сколько пользователей вошел в систему за последние 30 дней, а также наиболее и наименее часто используемых пользователей.The Logged on users card shows how many users have logged on in the past 30 days, along with the most and least frequent users. Выбор ссылки "См. все пользователи" открывает области сведений, которая отображает сведения, такие как тип пользователя, войти в тип, и когда пользователь был первым и последним видел.Selecting the "See all users" link opens the details pane, which displays information such as user type, log on type, and when the user was first and last seen. Дополнительные сведения см. в дополнительных сведениях о том, как исследовать объекты пользователей.For more information, see Investigate user entities.

Изображение области пользовательских сведений

Оценки безопасностиSecurity assessments

Карта оценки безопасности показывает общий уровень экспозиции, рекомендации по безопасности, установленное программное обеспечение и обнаруженные уязвимости.The Security assessments card shows the overall exposure level, security recommendations, installed software, and discovered vulnerabilities. Уровень экспозиции устройства определяется совокупным воздействием ожидающих рекомендаций по безопасности.A device's exposure level is determined by the cumulative impact of its pending security recommendations.

Изображение карты оценки безопасности