調查 Microsoft 365 Defender 中的事件

重要

改良的 Microsoft 365 安全性中心現在可用。 這個新的體驗會將適用於端點的 Defender、適用於 Office 365 的 Defender、Microsoft 365 Defender 和更多功能帶到 Microsoft 365 安全性中心。 了解新功能

適用於:

  • Microsoft 365 Defender

Microsoft 365 Defender 會將所有相關的警示、資產、調查和證據,全部從您的裝置、使用者和信箱匯總到事件中,讓您全面瞭解攻擊的整體廣度。

在事件內,您會分析影響網路的警示、瞭解其含義,以及對照證據來設計有效的修復計畫。

初始調查

深入瞭解詳細資料之前,請先查看事件的屬性與摘要。

您可以從選取 [核取記號] 欄開始選取該事件。 以下為範例。

從 [核取記號] 欄位中選取事件的範例。

當您這麼做時,會開啟摘要窗格,其中會顯示事件的重要資訊(例如嚴重性),以及MITRE ATT&CK ™ 類別的事件。 以下為範例。

事件摘要窗格的範例。

您可以從這裡選取 [ 開啟 incident] 頁面。 這會開啟此事件的主頁面,您可以在此找到更多摘要資訊和索引標籤,以取得提醒、裝置、使用者、調查和證據。

您也可以從事件佇列中選取事件名稱,以開啟事件的主版頁面。

摘要

[ 摘要 ] 頁面可讓您查看有關事件的最重要注意事項。

Microsoft 365 Defender 入口網站之事件摘要頁面的範例

資訊會組織在下列各節中。

區段 描述
警示和類別 視覺效果和數值視圖,說明攻擊如何對 kill 鏈進行的進展。 與其他 Microsoft 安全性產品一樣,Microsoft 365 Defender 會對應至MITRE ATT&CK ™ framework。 警示時程表會顯示每個警示的發生順序及其狀態和名稱。
範圍 顯示受影響裝置、使用者和信箱的數量,並依風險層級和調查優先順序列出實體的順序。
證據 顯示受事件影響的實體數目。
事件資訊 顯示事件的屬性,例如標記、狀態和嚴重性。

使用 [ 摘要 ] 頁面,評估事件的相對重要性,並快速存取相關聯的警示和受影響的實體。

警示

您可以在 [ 警示 ] 索引標籤上,查看與該事件相關之警示的警示佇列及其他相關資訊,例如:

  • 嚴重性。
  • 警示中所涉及的實體。
  • (microsoft defender for Identity、microsoft defender for Endpoint、microsoft defender for Office 365) 的警示來源。
  • 連結在一起的原因。

以下為範例。

事件提醒頁面的範例。

依預設,提醒會以時間順序排列,以讓您瞭解攻擊隨時間的變化。 當您在事件內選取警示時,Microsoft 365 Defender 會顯示針對整體事件內容的警示資訊。

您可以看到警示的事件,哪些其他觸發的警示會導致目前的警示,以及攻擊中所涉及的所有受影響實體和活動,包括裝置、檔案、使用者和信箱。

以下為範例。

事件中警示詳細資料頁面的範例。

「事件警示」頁面包含下列區段:

  • 警示案例,包含:

    • 發生了什麼事

    • 採取的動作

    • 相關事件

  • 在右窗格中的警示屬性 (狀態、詳細資料、描述及其他)

不是每個提醒都會在 [ 提醒案例 ] 區段中所有列出的小節。

瞭解如何在 調查提醒中使用警示佇列及警示頁面。

裝置

[ 裝置 ] 索引標籤會列出與該事件相關的所有裝置。 以下為範例。

事件的 [裝置] 頁面範例。

您可以選取裝置的核取記號,以查看裝置、目錄資料、作用中警示及已登入使用者的詳細資料。 選取裝置的名稱,以查看 Microsoft Defender for 端點裝置庫存中的裝置詳細資料。 以下為範例。

Microsoft Defender 端點的裝置頁面範例。

在 [裝置] 頁面上,您可以收集裝置的其他相關資訊,例如其所有警示、時程表及安全性建議。 例如,在 [ 時程表 ] 索引標籤中,您可以在機器時程表中向內移動,並以時間順序查看機器上所觀察到的所有事件和行為,並與所引發的警示交錯。

提示

您可以在裝置頁面上執行手動掃描。 在 Microsoft 365 Defender 入口網站中,選擇 [端點 > 裝置庫存]。 選取具有警示的裝置,然後執行防病毒掃描。 在 [ 裝置庫存 ] 頁面上追蹤並顯示的動作(例如防病毒掃描)。 若要深入瞭解,請參閱執行 Microsoft Defender 防毒軟體掃描裝置

使用者

[ 使用者 ] 索引標籤會列出已識別為屬於該事件或與其相關之所有使用者。 以下為範例。

事件的使用者頁面範例。

您可以為使用者選取核取記號,以查看使用者帳戶威脅、公開和連絡人資訊的詳細資料。 選取使用者名稱以查看其他使用者帳戶詳細資料。

瞭解如何在 調查使用者中查看其他使用者資訊及管理事件的使用者。

信箱

[ 信箱 ] 索引標籤會列出已識別為屬於該事件或與其相關的所有信箱。 以下為範例。

事件信箱頁面的範例。

您可以選取信箱的核取記號,以查看作用中的警示清單。 選取信箱名稱,以查看 Microsoft Defender for Office 365 的 Explorer 頁面上的其他信箱詳細資料。

調查

[ 調查 ] 索引標籤會列出此事件中的警示所觸發的所有 自動調查 。 自動調查會執行修正動作,或等候分析員的動作核准,視您如何設定自動調查,以在 Microsoft Defender for Endpoint 和 Defender for Office 365 中執行。

事件之調查頁面的範例。

選取調查以流覽至其詳細資料頁面,以取得調查和修正狀態的完整資訊。 如果有任何動作出于調查的一部分而待核准,它們就會出現在 [ 擱置的動作記錄 ] 索引標籤中。採取動作做為事件修復的一部分。

此外,還會顯示一個 調查圖表 索引標籤:

  • 組織中受影響資產的警示連接。
  • 哪些實體與哪些警示相關,以及如何成為攻擊本文的一部分。
  • 事件的警示。

調查圖表可協助您透過連線屬於攻擊一部分相關資產(如使用者、裝置和信箱)的不同可疑實體,快速瞭解攻擊的完整範圍。

如需詳細資訊,請參閱Microsoft 365 Defender 中的自動化調查和回應

證據與回應

[ 證據與回應 ] 索引標籤會顯示事件中的警示中所有支援的事件及可疑的實體。 以下為範例。

事件的證據與回應頁面範例。

Microsoft 365 Defender 會自動調查警示中的所有事件支援事件和可疑實體,以提供重要電子郵件、檔案、程式、服務、IP 位址等相關資訊。 這可協助您快速偵測並封鎖事件中的潛在威脅。

每個分析的實體都會以判定為序 (惡意、可疑、清除) 和修正狀態。 這可協助您瞭解整個事件的修復狀態,以及可以採取的後續步驟。

Graph (預覽)

[ Graph ] 索引標籤會顯示攻擊的完整範圍、攻擊在一段時間內如何透過您的網路傳播、它的開始時間,以及攻擊者的進入程度。 其相關資產(如使用者、裝置和信箱)會連接屬於攻擊一部分的不同可疑實體。

在 [ Graph ] 索引標籤中,您可以:

  1. 隨著時間的 chronology,在圖表上播放警示及節點,以瞭解攻擊的。

    在 [Graph] 頁面上播放警示及節點的範例

  2. 開啟實體窗格,可讓您複查實體詳細資料,並對修正動作採取行動,例如刪除檔案或隔離裝置。

    Graph 頁面上實體窗格的範例

  3. 根據與其相關的實體,反白顯示警示。

    Graph 頁面上警示醒目提示的範例

下一步

視需要:

另請參閱