Undersöka incidenter i Microsoft Defender för Slutpunkt

Gäller för:

Undersök incidenter som påverkar nätverket, förstå vad de betyder och samla bevis för att lösa dem.

När du undersöker en händelse ser du:

  • Incidentinformation
  • Incidentkommentarer och åtgärder
  • Flikar (aviseringar, enheter, undersökningar, bevis, diagram)

Analysera incidentinformation

Klicka på en incident om du vill visa fönstret Incident. Välj Öppna incidentsida om du vill se incidentinformation och relaterad information (aviseringar, enheter, undersökningar, bevis, graf).

Bild på incidentinformation1.

Varningar

Du kan undersöka aviseringarna och se hur de länkades ihop vid en incident. Aviseringar grupperas i incidenter baserat på följande anledningar:

  • Automatisk undersökning – Den automatiska undersökningen utlöste den länkade aviseringen när den ursprungliga aviseringen undersöks
  • Filegenskaper – De filer som är associerade med aviseringen har liknande egenskaper
  • Manuell koppling – En användare länkade aviseringarna manuellt
  • Proximatisk tid – Aviseringarna utlöstes på samma enhet inom en viss tidsperiod
  • Samma fil – Filerna som är associerade med aviseringen är exakt likadana
  • Samma URL – URL:en som utlöste aviseringen är exakt samma

Bild på fliken Aviseringar med sidan Incidentinformation som visar orsakerna till att aviseringarna har länkats ihop i incidenten.

Du kan också hantera en avisering och se metadata för aviseringar tillsammans med annan information. Mer information finns i Undersöka aviseringar.

Enheter

Du kan också undersöka vilka enheter som är en del av eller relaterade till en viss händelse. Mer information finns i Undersöka enheter.

Bild på fliken Enheter på sidan Incidentinformation.

Undersökningar

Välj Undersökningar om du vill se alla automatiska undersökningar som startats av systemet som svar på incidentaviseringarna.

Bild på fliken undersökningar på incidentinformationssidan.

Gå igenom bevisen

Microsoft Defender för slutpunkt undersöker automatiskt alla händelser som stöds och misstänkta enheter i aviseringarna, vilket ger dig information om viktiga filer, processer, tjänster och mycket mer.

Alla analyserade enheter markeras som smittade, åtgärdade eller misstänkta.

Bild av bevisfliken på sidan incidentinformation.

Visualisera associerade hot mot cybersäkerhet

Microsoft Defender för Endpoint sammanställer hotinformationen till en incident så att du kan se de mönster och korrelationer som kommer in från olika datapunkter. Du kan visa en sådan korrelation via incidentdiagrammet.

Incidentdiagram

The Graph berättar om cybersäkerhetsattacken. Den visar till exempel vad som var startpunkten, vilken indikator på kompromettering eller aktivitet som observerats på vilken enhet. o.s.v.

Bild av incidentdiagrammet.

Du kan klicka på cirklarna i incidentdiagrammet för att visa information om skadliga filer, associerade filidentifieringar, hur många förekomster som har gjorts i hela världen, om det har observerats i organisationen, i så fall hur många instanser.

Bild på incidentinformation.