Undersöka enheter i listan Microsoft Defender för slutpunktsenheter
Gäller för:
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Undersök informationen om en avisering som upphöjts på en specifik enhet för att identifiera andra beteenden eller händelser som kan vara relaterade till aviseringen eller den möjliga omfattningen av intrånget.
Anteckning
Som en del av undersökningen eller svarsprocessen kan du samla in ett undersökningspaket från en enhet. Gör så här: Samla in undersökningspaket från enheter.
Du kan klicka på berörda enheter när du ser dem i portalen för att öppna en detaljerad rapport om enheten. Enheter som påverkas identifieras i följande områden:
- Enhetslista
- Varningskö
- Instrumentpanel för säkerhetsåtgärder
- Alla enskilda aviseringar
- Alla enskilda vy med filinformation
- En IP-adress eller domäninformationsvy
När du undersöker en specifik enhet visas:
- Enhetsinformation
- Svarsåtgärder
- Flikar (översikt, varningar, tidslinje, säkerhetsrekommendationer, programlager, identifierade säkerhetsproblem, saknade KB)
- Kort (aktiva aviseringar, inloggade användare, säkerhetsbedömning)

Anteckning
På grund av produktbegränsningar överväger inte enhetsprofilen alla cyberbevis vid avgörande av tidsperioden "Senast sedd" (som visas på enhetens sida också). Till exempel kan värdet "Senast visa" på sidan Enhet visa en äldre tidsperiod även om nyare aviseringar eller data är tillgängliga på datorns tidslinje.
Enhetsinformation
Avsnittet med enhetsinformation innehåller information som enhetens domän, operativsystem och status. Om det finns ett undersökningspaket tillgängligt på enheten visas en länk som gör att du kan ladda ned paketet.
Svarsåtgärder
Svarsåtgärder löper högst upp på en specifik enhet och omfattar:
- Hantera taggar
- Identifiera enhet
- Begränsa körning av program
- Kör antivirusgenomsökning
- Samla in undersökningspaket
- Starta Live Response-session
- Initiera en automatiserad undersökning
- Konsultera en hotexpert
- Åtgärdscenter
Du kan vidta åtgärder för svar i Åtgärdscenter, på en viss enhet eller på en viss filsida.
Mer information om hur du vidta åtgärder på en enhet finns i Vidta svarsåtgärder på en enhet.
Mer information finns i Undersöka användarenheter.
Flikar
Flikarna ger relevant information om säkerhet och skydd mot hot som är relaterade till enheten. På varje flik kan du anpassa de kolumner som visas genom att välja Anpassa kolumner från fältet ovanför kolumnrubrikerna.
Översikt
På fliken Översikt visas korten för aktiva aviseringar, inloggade användare och säkerhetsbedömning.

Varningar
På fliken Aviseringar finns en lista med aviseringar som är associerade med enheten. Den här listan är en filtrerad version av kön Aviseringar och visar en kort beskrivning av aviseringen, allvarlighetsgraden (hög, medium, låg, information), status i kön (ny, pågående, löst), klassificering (inte inställd, falsk avisering, verklig varning), undersökningstillstånd, kategori av avisering, vem som adresserar aviseringen och den senaste aktiviteten. Du kan också filtrera aviseringarna.

När cirkelikonen till vänster om en avisering är markerad visas en utfällsymbol. Från den här panelen kan du hantera aviseringen och visa mer information, till exempel incidentnummer och relaterade enheter. Du kan välja flera aviseringar åt gången.
Om du vill se en helsida med en avisering som innehåller incidentdiagram och processträd väljer du aviseringens rubrik.
Tidslinje
På fliken Tidslinje visas en kronologisk vy över händelserna och tillhörande aviseringar som har observerats på enheten. Det kan hjälpa dig korrelera händelser, filer och IP-adresser i relation till enheten.
På tidslinjen kan du även selektivt granska nedåt i händelser som inträffat under en viss tidsperiod. Du kan visa tidssekvensen av händelser som inträffat på en enhet under en viss tidsperiod. Om du vill ha mer kontroll över vyn kan du filtrera efter händelsegrupper eller anpassa kolumnerna.
Anteckning
För att brandväggshändelser ska visas måste du aktivera granskningsprincipen i Anslutning till granskningsfiltreringsplattform.
Brandväggen omfattar följande händelser:

Några av funktionerna omfattar:
- Söka efter specifika händelser
- Använd sökfältet för att söka efter specifika tidslinjehändelser.
- Filtrera händelser från ett visst datum
- Välj kalenderikonen uppe till vänster i tabellen om du vill visa händelser under den senaste dagen, veckan, 30 dagar eller det anpassade intervallet. Som standard är enhetens tidslinje inställd på att visa händelser från de senaste 30 dagarna.
- Använd tidslinjen för att hoppa till en viss tidpunkt genom att markera avsnittet. Pilarna på tidslinjens pinpoint för automatiserade undersökningar
- Exportera detaljerade tidslinjehändelser för enheter
- Exportera enhetens tidslinje för det aktuella datumet eller ett angivet datumintervall upp till sju dagar.
Mer information om vissa händelser finns i avsnittet Ytterligare information. Den här informationen varierar beroende på typen av händelse, till exempel:
- Finns av Application Guard – webbläsarhändelsen begränsades av en isolerad behållare
- Aktiva hot upptäcktes – hotidentifieringen inträffade medan hoten kördes
- Åtgärd lyckades inte – ett försök att åtgärda det identifierade hotet anropades men misslyckades
- Åtgärd lyckades – det identifierade hotet har stoppats och åtgärdats
- Varning som kringgås av användare – Windows Defender SmartScreen-varningen har avvisats och åsidosättts av en användare
- Misstänkt skript har upptäckts – ett potentiellt skadligt skript hittades med
- Aviseringskategorin – om händelsen ledde till en avisering genereras aviseringskategorin ("T.ex. aviseringsrörelse")
Händelseinformation
Välj en händelse om du vill visa relevant information om händelsen. En panel visas för att visa allmän händelseinformation. När tillämpliga data är tillgängliga visas även ett diagram som visar relaterade enheter och deras relationer.
Om du vill kontrollera händelsen ytterligare och relaterade händelser kan du snabbt köra en avancerad fråga om sökning genom att välja Sök efter relaterade händelser. Frågan returnerar den valda händelsen och listan med andra händelser som inträffade samtidigt på samma slutpunkt.

Säkerhetsrekommendationer
Säkerhetsrekommendationer genereras från Microsoft Defender för Endpoints funktion för & sårbarhetshantering. Om du väljer en rekommendation visas en panel där du kan se relevant information, till exempel en beskrivning av rekommendationen och potentiella risker som är förknippade med att inte anta den. Mer information finns i Säkerhetsrekommendationer.

Programvaruinventering
På fliken För inventering av programvara kan du visa programvara på enheten och se eventuella hot eller svagheter. Om du markerar namnet på programvaran kommer du till sidan med programvaruinformation där du kan se säkerhetsrekommendationer, identifierade säkerhetsproblem, installerade enheter och versionsdistribution. Se Inventering av programvara för mer information

Upptäckta säkerhetsproblem
På fliken Identifierade säkerhetsproblem visas namn, allvarlighetsgrad och information om hot om identifierade säkerhetsproblem på enheten. Om du väljer specifika säkerhetsproblem visas en beskrivning och information.

Saknade KBs
På fliken saknade KB visas de säkerhetsuppdateringar som saknas för enheten.

Kort
Aktiva aviseringar
Kortet Azure Advanced Threat Protection visar en översikt över aviseringar relaterade till enheten och deras risknivå, om du har aktiverat funktionen Microsoft Defender för identitet och det finns aktiva aviseringar. Mer information finns i den granskande detaljgranskningen "Aviseringar".

Anteckning
Du måste aktivera integreringen på både Microsoft Defender för identitet och Defender för Endpoint om du vill använda den här funktionen. I Defender för Slutpunkt kan du aktivera den här funktionen i avancerade funktioner. Mer information om hur du aktiverar avancerade funktioner finns i Aktivera avancerade funktioner.
Inloggade användare
Kortet Inloggade användare visar hur många användare som har loggat in de senaste 30 dagarna, tillsammans med de mest och minst vanliga användarna. Om du väljer länken Visa alla användare öppnas informationsfönstret med information som användartyp, inloggningstyp och när användaren sågs för första och sista gången. Mer information finns i Undersöka användarenheter.

Anteckning
Värdet "Vanligast" beräknas endast baserat på bevis för användare som har loggat in interaktivt. Men sidofönstret "Alla användare" beräknar alla typer av användarinloggningar, vilket innebär att antalet användare som kommer att bli vanligare i sidofönstret förväntas, givet att dessa användare inte är interaktiva.
Säkerhetsutvärderingar
Kortet för säkerhetsutvärderingar visar den totala exponeringsnivån, säkerhetsrekommendationer, installerad programvara och identifierade säkerhetsproblem. Exponeringsnivån för en enhet bestäms av den kumulativa effekten av de väntande säkerhetsrekommendationerna.

Relaterade ämnen
- Visa och ordna kön Microsoft Defender för slutpunktsaviseringar
- Hantera Microsoft Defender för slutpunktsaviseringar
- Undersöka Microsoft Defender för slutpunktsaviseringar
- Undersöka en fil som är kopplad till en Defender för slutpunktsavisering
- Undersöka en IP-adress som är kopplad till en Defender för Slutpunktsavisering
- Undersöka en domän som är kopplad till en Defender för slutpunktsavisering
- Undersöka ett användarkonto i Defender för Slutpunkt
- Säkerhetsrekommendationer
- Programvaruinventering