Översikt över identifiering och åtgärd på slutpunkt
Gäller för:
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Defender för identifiering och åtgärd på slutpunkt tillhandahåller avancerade attackidentifieringar som är nästan i realtid och kan användas. Säkerhetsanalytiker kan effektivt prioritera varningar, få synlighet över helheten av ett intrång och vidta åtgärder för att åtgärda hot.
När ett hot identifieras skapas aviseringar i systemet för att en analytiker ska undersöka det. Varningar med samma attacktekniker eller förser samma attack med samma attacker aggregeras i en enhet som kallas för en incident. Att samla aviseringar på det här sättet gör det enkelt för analytiker att gemensamt undersöka och reagera på hot.
Med inspiration från "anta intrång" är Defender för Endpoint kontinuerligt insamlad beteenderelaterad cyber telemetri. Det omfattar processinformation, nätverksaktiviteter, djupoptisk in i kernel och minneshanteraren, användarinloggningsaktiviteter, ändringar av register- och filsystem m.m. Informationen lagras i sex månader så att en analytiker kan färdas tillbaka i tiden till början av en attack. Analytikern kan sedan pivotera i olika vyer och närmar sig en undersökning genom flera vektorer.
Med svarsfunktionerna kan du snabbt åtgärda hot genom att agera på de berörda enheterna.