Prozkoumání zařízení v seznamu zařízení Microsoft Defender for Endpoint

Platí pro:

• Plán 2 pro Microsoft Defender pro koncový bod
• Microsoft Defender XDR

Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Prozkoumejte podrobnosti výstrahy vyvolané na konkrétním zařízení a identifikujte další chování nebo události, které můžou souviset s upozorněním nebo potenciálním rozsahem porušení zabezpečení.

Poznámka

V rámci procesu šetření nebo odpovědi můžete ze zařízení shromáždit balíček pro šetření. Tady je postup: Shromažďování balíčku pro šetření ze zařízení.

Když se na portálu zobrazí, můžete vybrat zařízení, kterých se to týká, a otevřít tak podrobnou sestavu o tomto zařízení. Ovlivněná zařízení jsou identifikována v následujících oblastech:

• Seznam zařízení
• Fronta upozornění
• Jakákoli jednotlivá výstraha
• Zobrazení podrobností o jednotlivých souborech
• Zobrazení všech IP adres nebo podrobností domény

Při zkoumání konkrétního zařízení se zobrazí:

• Podrobnosti o zařízení
• Akce odpovědí
• Karty (přehled, výstrahy, časová osa, doporučení zabezpečení, inventář softwaru, zjištěná ohrožení zabezpečení, chybějící znalostní báze)
• Karty (aktivní výstrahy, přihlášení uživatelé, posouzení zabezpečení, stav zařízení)

Poznámka

Vzhledem k omezením produktu profil zařízení při určování časového rámce "Naposledy viděno" (jak je vidět také na stránce zařízení) nezohlišťuje všechny kybernetické důkazy. Například hodnota Naposledy vidět na stránce Zařízení může zobrazit starší časový rámec, i když jsou na časové ose počítače k dispozici novější upozornění nebo data.

Podrobnosti o zařízení

Část s podrobnostmi o zařízení obsahuje informace, jako je doména, operační systém a stav zařízení. Pokud je na zařízení dostupný balíček pro šetření, zobrazí se odkaz, který vám umožní balíček stáhnout.

Akce odpovědí

Akce odpovědi se spouští v horní části stránky konkrétního zařízení a zahrnují:

• Zobrazit na mapě
• Hodnota zařízení
• Nastavit důležitost
• Správa značek
• Izolace zařízení
• Omezení spuštění aplikace
• Spuštění antivirové kontroly
• Získání balíčku prověřování
• Zahájení živé relace odpovědi
• Zahájení automatizovaného vyšetřování
• Konzultace s odborníkem na kybernetické hrozby
• Centrum akcí

Akce odpovědí můžete provádět v Centru akcí, na stránce konkrétního zařízení nebo na konkrétní stránce souboru.

Další informace o tom, jak provést akci na zařízení, najdete v tématu Provedení akce odpovědi na zařízení.

Další informace najdete v tématu Zkoumání entit uživatelů.

Poznámka

Zobrazení v mapě a nastavení důležitosti jsou funkce ze služby Microsoft Exposure Management, která je aktuálně ve verzi Public Preview.

Záložky

Karty poskytují relevantní informace o zabezpečení a prevenci hrozeb souvisejících se zařízením. Na každé kartě můžete přizpůsobit sloupce, které se zobrazí, výběrem možnosti Přizpůsobit sloupce na panelu nad záhlavími sloupců.

Přehled

Na kartě Přehled se zobrazují karty pro aktivní výstrahy, přihlášené uživatele a posouzení zabezpečení.

Incidenty a výstrahy

Karta Incidenty a výstrahy obsahuje seznam incidentů a výstrah přidružených k zařízení. Tento seznam je filtrovaná verze fronty upozornění a zobrazuje krátký popis incidentu, výstrahy, závažnosti (vysoká, střední, nízká, informační), stavu ve frontě (nový, probíhá, vyřešeno), klasifikace (nenastavené, falešné upozornění, skutečné upozornění), stavu šetření, kategorie upozornění, kdo řeší výstrahu a poslední aktivitu. Upozornění můžete také filtrovat.

Když je vybrána výstraha, zobrazí se informační panel. Na tomto panelu můžete výstrahu spravovat a zobrazit další podrobnosti, jako je číslo incidentu a související zařízení. Najednou je možné vybrat více výstrah.

Pokud chcete zobrazit celou stránku upozornění, vyberte název upozornění.

Časová osa

Karta Časová osa poskytuje chronologické zobrazení událostí a souvisejících výstrah, které byly na zařízení pozorovány. To vám může pomoct korelovat všechny události, soubory a IP adresy ve vztahu k zařízení.

Časová osa také umožňuje selektivně přejít k podrobnostem o událostech, ke kterým došlo v daném časovém období. Můžete zobrazit časovou posloupnost událostí, ke kterým došlo na zařízení během vybraného časového období. Pokud chcete zobrazení dále ovládat, můžete filtrovat podle skupin událostí nebo přizpůsobit sloupce.

Poznámka

Pokud chcete zobrazit události brány firewall, budete muset povolit zásady auditu, viz Připojení platformy filtrování auditu.

Brána firewall pokrývá následující události:

• 5025 – Služba brány firewall se zastavila
• 5031 – Aplikace zablokovaná v přijímání příchozích připojení v síti
• 5157 – zablokované připojení

Mezi funkce patří:

• Search pro konkrétní události
  • Pomocí panelu hledání vyhledejte konkrétní události časové osy.
• Filtrování událostí od určitého data
  • Výběrem ikony kalendáře v levém horním rohu tabulky zobrazíte události za poslední den, týden, 30 dní nebo vlastní rozsah. Ve výchozím nastavení je časová osa zařízení nastavená tak, aby zobrazovala události za posledních 30 dnů.
  • Pomocí časové osy můžete přejít na konkrétní okamžik v čase zvýrazněním oddílu. Šipky na časové ose upřesní automatizované šetření
• Export podrobných událostí časové osy zařízení
  • Exportujte časovou osu zařízení pro aktuální datum nebo zadaný rozsah dat až sedm dnů.

Další podrobnosti o určitých událostech najdete v části Další informace . Tyto podrobnosti se liší v závislosti na typu události, například:

• Obsaženo v Ochrana Application Guard – událost webového prohlížeče byla omezena izolovaným kontejnerem.
• Byla zjištěna aktivní hrozba – k detekci hrozeb došlo, když hrozba běžela.
• Náprava se nezdařila – byl vyvolán pokus o nápravu zjištěné hrozby, ale selhal.
• Úspěšná náprava – zjištěná hrozba se zastavila a vyčistila
• Upozornění vynechané uživatelem – uživatel zavřel a přepsal upozornění filtru SmartScreen Windows Defender.
• Zjistil se podezřelý skript – zjistilo se, že běží potenciálně škodlivý skript.
• Kategorie upozornění – pokud událost vedla ke generování výstrahy, je k dispozici kategorie výstrahy (například Lateral Movement).

Podrobnosti o události

Výběrem události zobrazíte relevantní podrobnosti o této události. Zobrazí se panel s obecnými informacemi o událostech. Pokud jsou k dispozici data a jsou k dispozici, zobrazí se také graf zobrazující související entity a jejich relace.

Pokud chcete událost a související události dále prozkoumat, můžete rychle spustit rozšířený dotaz proaktivního vyhledávání tak, že vyberete Proaktivní vyhledávání souvisejících událostí. Dotaz vrátí vybranou událost a seznam dalších událostí, ke kterým došlo přibližně ve stejnou dobu na stejném koncovém bodu.

Doporučení k zabezpečení

Doporučení k zabezpečení se generují z funkce správy ohrožení zabezpečení Microsoft Defender for Endpoint. Když vyberete doporučení, zobrazí se panel, kde si můžete prohlédnout relevantní podrobnosti, jako je popis doporučení a potenciální rizika spojená s jeho neuskuteřením. Podrobnosti najdete v tématu Doporučení k zabezpečení .

Zásady zabezpečení

Na kartě Zásady zabezpečení se zobrazují zásady zabezpečení koncového bodu, které se použijí na zařízení. Zobrazí se seznam zásad, typu, stavu a času posledního ohlášení. Výběrem názvu zásady přejdete na stránku s podrobnostmi o zásadách, kde uvidíte stav nastavení zásad, použitá zařízení a přiřazené skupiny.

Inventář softwaru

Karta Inventář softwaru umožňuje zobrazit software na zařízení spolu se všemi slabými místy nebo hrozbami. Výběrem názvu softwaru přejdete na stránku s podrobnostmi o softwaru, kde můžete zobrazit doporučení k zabezpečení, zjištěná ohrožení zabezpečení, nainstalovaná zařízení a distribuci verzí. Podrobnosti najdete v tématu Inventář softwaru .

Zjištěná ohrožení zabezpečení

Karta Zjištěná ohrožení zabezpečení zobrazuje název, závažnost a přehled hrozeb zjištěných ohrožení zabezpečení na zařízení. Pokud vyberete konkrétní ohrožení zabezpečení, zobrazí se popis a podrobnosti.

Chybějící znalostní báze

Na kartě Chybějící znalostní báze jsou uvedené chybějící aktualizace zabezpečení pro dané zařízení.

Karty

Aktivní výstrahy

Karta Azure Advanced Threat Protection zobrazuje základní přehled výstrah týkajících se zařízení a jeho úrovně rizika, pokud používáte funkci Microsoft Defender for Identity a existují aktivní výstrahy. Další informace najdete v podrobnostech o upozorněních .

Poznámka

Abyste mohli tuto funkci používat, budete muset povolit integraci na Microsoft Defender for Identity i v Defenderu for Endpoint. V Defenderu for Endpoint můžete tuto funkci povolit v pokročilých funkcích. Další informace o tom, jak povolit pokročilé funkce, najdete v tématu Zapnutí pokročilých funkcí.

Přihlášení uživatelé

Karta Přihlášeni uživatelé zobrazuje, kolik uživatelů se přihlásilo za posledních 30 dnů, spolu s nejčastějšími a nejméně častými uživateli. Když vyberete odkaz Zobrazit všechny uživatele , otevře se podokno podrobností, ve kterém se zobrazí informace, jako je typ uživatele, typ přihlášení a kdy se uživatel poprvé a naposledy zobrazil. Další informace najdete v tématu Zkoumání entit uživatelů.

Poznámka

Hodnota "Nejčastější" uživatele se počítá pouze na základě důkazů o uživatelích, kteří se úspěšně přihlásili interaktivně. Boční podokno Všichni uživatelé ale vypočítává různé druhy přihlášení uživatelů, takže se očekává, že v bočním podokně uvidíte častější uživatele, vzhledem k tomu, že tito uživatelé nemusí být interaktivní.

Posouzení zabezpečení

Karta Posouzení zabezpečení zobrazuje celkovou úroveň ohrožení, doporučení zabezpečení, nainstalovaný software a zjištěná ohrožení zabezpečení. Úroveň expozice zařízení je určena kumulativním dopadem čekajících doporučení k zabezpečení.

Stav zařízení

Karta Stav zařízení zobrazuje souhrnnou zprávu o stavu konkrétního zařízení. V horní části karty se zobrazí jedna z následujících zpráv, která označuje celkový stav zařízení (v pořadí od nejvyšší po nejnižší prioritu):

• Antivirová ochrana v programu Defender není aktivní
• Informace o zabezpečení nejsou aktuální
• Modul není aktuální
• Rychlá kontrola selhala
• Úplná kontrola se nezdařila.
• Platforma není aktuální
• Stav aktualizace bezpečnostních informací je neznámý.
• Stav aktualizace modulu je neznámý.
• Stav rychlé kontroly je neznámý.
• Stav úplné kontroly je neznámý.
• Stav aktualizace platformy je neznámý.
• Zařízení je aktuální
• Stav není k dispozici pro macOS & Linux

Mezi další informace na kartě patří: poslední úplná kontrola, poslední rychlá kontrola, verze aktualizace bezpečnostních informací, verze aktualizace modulu, verze aktualizace platformy a režim Antivirová ochrana v programu Defender.

Šedý kruh označuje, že data jsou neznámá.

Poznámka

Celková stavová zpráva pro zařízení s macOS a Linuxem se v současné době zobrazuje jako Stav není k dispozici pro macOS & Linux. V současné době je souhrn stavu dostupný jenom pro zařízení s Windows. Všechny ostatní informace v tabulce jsou aktuální a zobrazují jednotlivé stavy jednotlivých signálů stavu zařízení pro všechny podporované platformy.

Pokud chcete získat podrobný přehled o sestavě stavu zařízení, můžete přejít na Sestavy > Stav zařízení. Další informace najdete v tématu Sestava stavu zařízení a dodržování předpisů v Microsoft Defender for Endpoint.

Poznámka

Datum a čas pro režim Antivirová ochrana v programu Defender v současné době není k dispozici.

Související články

• Zobrazení a uspořádání fronty upozornění Microsoft Defender for Endpoint
• Správa výstrah Microsoft Defender for Endpoint
• Zkoumání výstrah Microsoft Defender for Endpoint
• Prozkoumání souboru přidruženého k upozornění defenderu for Endpoint
• Prozkoumání IP adresy přidružené k upozornění Defenderu for Endpoint
• Prozkoumání domény přidružené k upozornění defenderu for Endpoint
• Prozkoumání uživatelského účtu v Defenderu for Endpoint
• Doporučení k zabezpečení
• Inventář softwaru

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.