Undersöka enheter i listan Microsoft Defender för slutpunktsenheter

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Undersök informationen om en avisering som upphöjts på en specifik enhet för att identifiera andra beteenden eller händelser som kan vara relaterade till aviseringen eller den möjliga omfattningen av intrånget.

Anteckning

Som en del av undersökningen eller svarsprocessen kan du samla in ett undersökningspaket från en enhet. Gör så här: Samla in undersökningspaket från enheter.

Du kan klicka på berörda enheter när du ser dem i portalen för att öppna en detaljerad rapport om enheten. Enheter som påverkas identifieras i följande områden:

När du undersöker en specifik enhet visas:

  • Enhetsinformation
  • Svarsåtgärder
  • Flikar (översikt, varningar, tidslinje, säkerhetsrekommendationer, programlager, identifierade säkerhetsproblem, saknade KB)
  • Kort (aktiva aviseringar, inloggade användare, säkerhetsbedömning)

Bild av enhetsvy.

Anteckning

På grund av produktbegränsningar överväger inte enhetsprofilen alla cyberbevis vid avgörande av tidsperioden "Senast sedd" (som visas på enhetens sida också). Till exempel kan värdet "Senast visa" på sidan Enhet visa en äldre tidsperiod även om nyare aviseringar eller data är tillgängliga på datorns tidslinje.

Enhetsinformation

Avsnittet med enhetsinformation innehåller information som enhetens domän, operativsystem och status. Om det finns ett undersökningspaket tillgängligt på enheten visas en länk som gör att du kan ladda ned paketet.

Svarsåtgärder

Svarsåtgärder löper högst upp på en specifik enhet och omfattar:

  • Hantera taggar
  • Identifiera enhet
  • Begränsa körning av program
  • Kör antivirusgenomsökning
  • Samla in undersökningspaket
  • Starta Live Response-session
  • Initiera en automatiserad undersökning
  • Konsultera en hotexpert
  • Åtgärdscenter

Du kan vidta åtgärder för svar i Åtgärdscenter, på en viss enhet eller på en viss filsida.

Mer information om hur du vidta åtgärder på en enhet finns i Vidta svarsåtgärder på en enhet.

Mer information finns i Undersöka användarenheter.

Flikar

Flikarna ger relevant information om säkerhet och skydd mot hot som är relaterade till enheten. På varje flik kan du anpassa de kolumner som visas genom att välja Anpassa kolumner från fältet ovanför kolumnrubrikerna.

Översikt

fliken Översikt visas korten för aktiva aviseringar, inloggade användare och säkerhetsbedömning.

Bild av översiktsfliken på enhetens sida.

Varningar

fliken Aviseringar finns en lista med aviseringar som är associerade med enheten. Den här listan är en filtrerad version av kön Aviseringar och visar en kort beskrivning av aviseringen, allvarlighetsgraden (hög, medium, låg, information), status i kön (ny, pågående, löst), klassificering (inte inställd, falsk avisering, verklig varning), undersökningstillstånd, kategori av avisering, vem som adresserar aviseringen och den senaste aktiviteten. Du kan också filtrera aviseringarna.

Bild på aviseringar relaterade till enheten.

När cirkelikonen till vänster om en avisering är markerad visas en utfällsymbol. Från den här panelen kan du hantera aviseringen och visa mer information, till exempel incidentnummer och relaterade enheter. Du kan välja flera aviseringar åt gången.

Om du vill se en helsida med en avisering som innehåller incidentdiagram och processträd väljer du aviseringens rubrik.

Tidslinje

fliken Tidslinje visas en kronologisk vy över händelserna och tillhörande aviseringar som har observerats på enheten. Det kan hjälpa dig korrelera händelser, filer och IP-adresser i relation till enheten.

På tidslinjen kan du även selektivt granska nedåt i händelser som inträffat under en viss tidsperiod. Du kan visa tidssekvensen av händelser som inträffat på en enhet under en viss tidsperiod. Om du vill ha mer kontroll över vyn kan du filtrera efter händelsegrupper eller anpassa kolumnerna.

Anteckning

För att brandväggshändelser ska visas måste du aktivera granskningsprincipen i Anslutning till granskningsfiltreringsplattform.

Brandväggen omfattar följande händelser:

  • 5025 – brandväggstjänsten har stoppats
  • 5031 – programmet kan inte acceptera inkommande anslutningar i nätverket
  • 5157 – blockerad anslutning

Bild av enhetens tidslinje med händelser.

Några av funktionerna omfattar:

  • Söka efter specifika händelser
    • Använd sökfältet för att söka efter specifika tidslinjehändelser.
  • Filtrera händelser från ett visst datum
    • Välj kalenderikonen uppe till vänster i tabellen om du vill visa händelser under den senaste dagen, veckan, 30 dagar eller det anpassade intervallet. Som standard är enhetens tidslinje inställd på att visa händelser från de senaste 30 dagarna.
    • Använd tidslinjen för att hoppa till en viss tidpunkt genom att markera avsnittet. Pilarna på tidslinjens pinpoint för automatiserade undersökningar
  • Exportera detaljerade tidslinjehändelser för enheter
    • Exportera enhetens tidslinje för det aktuella datumet eller ett angivet datumintervall upp till sju dagar.

Mer information om vissa händelser finns i avsnittet Ytterligare information. Den här informationen varierar beroende på typen av händelse, till exempel:

  • Finns av Application Guard – webbläsarhändelsen begränsades av en isolerad behållare
  • Aktiva hot upptäcktes – hotidentifieringen inträffade medan hoten kördes
  • Åtgärd lyckades inte – ett försök att åtgärda det identifierade hotet anropades men misslyckades
  • Åtgärd lyckades – det identifierade hotet har stoppats och åtgärdats
  • Varning som kringgås av användare – Windows Defender SmartScreen-varningen har avvisats och åsidosättts av en användare
  • Misstänkt skript har upptäckts – ett potentiellt skadligt skript hittades med
  • Aviseringskategorin – om händelsen ledde till en avisering genereras aviseringskategorin ("T.ex. aviseringsrörelse")

Händelseinformation

Välj en händelse om du vill visa relevant information om händelsen. En panel visas för att visa allmän händelseinformation. När tillämpliga data är tillgängliga visas även ett diagram som visar relaterade enheter och deras relationer.

Om du vill kontrollera händelsen ytterligare och relaterade händelser kan du snabbt köra en avancerad fråga om sökning genom att välja Sök efter relaterade händelser. Frågan returnerar den valda händelsen och listan med andra händelser som inträffade samtidigt på samma slutpunkt.

Bild på panelen med händelseinformation.

Säkerhetsrekommendationer

Säkerhetsrekommendationer genereras från Microsoft Defender för Endpoints funktion för & sårbarhetshantering. Om du väljer en rekommendation visas en panel där du kan se relevant information, till exempel en beskrivning av rekommendationen och potentiella risker som är förknippade med att inte anta den. Mer information finns i Säkerhetsrekommendationer.

Bild av fliken säkerhetsrekommendationer.

Programvaruinventering

fliken För inventering av programvara kan du visa programvara på enheten och se eventuella hot eller svagheter. Om du markerar namnet på programvaran kommer du till sidan med programvaruinformation där du kan se säkerhetsrekommendationer, identifierade säkerhetsproblem, installerade enheter och versionsdistribution. Se Inventering av programvara för mer information

Bild på fliken för programvaruinventering.

Upptäckta säkerhetsproblem

fliken Identifierade säkerhetsproblem visas namn, allvarlighetsgrad och information om hot om identifierade säkerhetsproblem på enheten. Om du väljer specifika säkerhetsproblem visas en beskrivning och information.

Bild av fliken identifierade säkerhetsproblem.

Saknade KBs

fliken saknade KB visas de säkerhetsuppdateringar som saknas för enheten.

Bild på fliken kbs som saknas.

Kort

Aktiva aviseringar

Kortet Azure Advanced Threat Protection visar en översikt över aviseringar relaterade till enheten och deras risknivå, om du har aktiverat funktionen Microsoft Defender för identitet och det finns aktiva aviseringar. Mer information finns i den granskande detaljgranskningen "Aviseringar".

Bild på aktiva varningskort.

Anteckning

Du måste aktivera integreringen på både Microsoft Defender för identitet och Defender för Endpoint om du vill använda den här funktionen. I Defender för Slutpunkt kan du aktivera den här funktionen i avancerade funktioner. Mer information om hur du aktiverar avancerade funktioner finns i Aktivera avancerade funktioner.

Inloggade användare

Kortet Inloggade användare visar hur många användare som har loggat in de senaste 30 dagarna, tillsammans med de mest och minst vanliga användarna. Om du väljer länken Visa alla användare öppnas informationsfönstret med information som användartyp, inloggningstyp och när användaren sågs för första och sista gången. Mer information finns i Undersöka användarenheter.

Bild av fönstret med användarinformation.

Anteckning

Värdet "Vanligast" beräknas endast baserat på bevis för användare som har loggat in interaktivt. Men sidofönstret "Alla användare" beräknar alla typer av användarinloggningar, vilket innebär att antalet användare som kommer att bli vanligare i sidofönstret förväntas, givet att dessa användare inte är interaktiva.

Säkerhetsutvärderingar

Kortet för säkerhetsutvärderingar visar den totala exponeringsnivån, säkerhetsrekommendationer, installerad programvara och identifierade säkerhetsproblem. Exponeringsnivån för en enhet bestäms av den kumulativa effekten av de väntande säkerhetsrekommendationerna.

Bild på kortet med säkerhetsutvärderingar.