Freigeben über


Seite "Geräteentität" in Microsoft Defender

Die Seite "Geräteentität" im Microsoft Defender-Portal hilft Ihnen bei der Untersuchung von Geräteentitäten. Die Seite enthält alle wichtigen Informationen zu einer bestimmten Geräteentität. Wenn eine Warnung oder ein Incident darauf hinweist, dass sich ein Gerät verdächtig verhält oder kompromittiert ist, untersuchen Sie die Details des Geräts, um andere Verhaltensweisen oder Ereignisse zu identifizieren, die mit der Warnung oder dem Incident in Zusammenhang stehen könnten, und ermitteln Sie den potenziellen Umfang der Sicherheitsverletzung. Sie können auch die Seite geräteentität verwenden, um einige allgemeine Sicherheitsaufgaben sowie einige Reaktionsaktionen auszuführen, um Sicherheitsbedrohungen zu mindern oder zu beheben.

Wichtig

Der auf der Geräteentitätsseite angezeigte Inhaltssatz kann je nach Registrierung des Geräts in Microsoft Defender für Endpunkt und Microsoft Defender for Identity geringfügig abweichen.

Wenn Ihre Organisation Microsoft Sentinel in das Defender-Portal integriert hat, werden zusätzliche Informationen angezeigt.

In Microsoft Sentinel werden Geräteentitäten auch als Hostentitäten bezeichnet. Weitere Informationen.

Microsoft Sentinel ist jetzt allgemein auf der Microsoft Unified Security Operations-Plattform im Microsoft Defender-Portal verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Geräteentitäten befinden sich in den folgenden Bereichen:

  • Geräteliste unter Assets
  • Benachrichtigungswarteschlange
  • Jede einzelne Warnung/jeder Incident
  • Entitätsseite für jeden einzelnen Benutzer
  • Jede einzelne Dateidetailseite
  • Ansicht "Alle IP-Adressen oder Domänendetails"
  • Aktivitätsprotokoll
  • Abfragen für die erweiterte Suche
  • Info-Center

Sie können Geräte auswählen, wenn sie im Portal angezeigt werden, um die Entitätsseite des Geräts zu öffnen, auf der weitere Details zum Gerät angezeigt werden. Beispielsweise können Sie die Details der Geräte anzeigen, die in den Warnungen zu einem Incident im Microsoft Defender-Portal unter Incidents & Warnungen > Incidents Incidents>> Assets > Devices aufgeführt sind.

Screenshot der Seite

Die Geräteentitätsseite stellt ihre Informationen in einem Registerkartenformat dar. In diesem Artikel werden die Arten von Informationen beschrieben, die auf den einzelnen Registerkarten verfügbar sind, sowie die Aktionen, die Sie auf einem bestimmten Gerät ausführen können.

Die folgenden Registerkarten werden auf der Geräteentitätsseite angezeigt:

Kopfzeile der Entitätsseite

Der oberste Abschnitt der Entitätsseite enthält die folgenden Details:

  • Entitätsname
  • Risikoschweregrad, Wichtigkeit und Gerätewertindikatoren
  • Tags , nach denen das Gerät klassifiziert werden kann. Kann von Defender für Endpunkt, Defender for Identity oder von Benutzern hinzugefügt werden. Tags aus Microsoft Defender for Identity können nicht bearbeitet werden.
  • Antwortaktionen befinden sich auch hier. Weitere Informationen finden Sie unten.

Registerkarte "Übersicht"

Die Standardregisterkarte ist Übersicht. Es bietet einen kurzen Überblick über die wichtigsten Sicherheitsdaten zum Gerät. Die Registerkarte Übersicht enthält die Randleiste für Gerätedetails und ein Dashboard mit einigen Karten, auf denen allgemeine Informationen angezeigt werden.

Gerätedetails

Auf der Randleiste werden der vollständige Name und die Expositionsstufe des Geräts aufgelistet. Es enthält auch einige wichtige grundlegende Informationen in kleinen Unterabschnitten, die erweitert oder reduziert werden können, z. B.:

Abschnitt Enthaltene Informationen
VM-Details Computer- und Domänennamen und IDs, Integritäts- und Onboardingstatus, Zeitstempel für die erste und letzte Anzeige, IP-Adressen und vieles mehr
Details zur DLP-Richtliniensynchronisierung Falls relevant
Konfigurationsstatus Details zur Konfiguration von Microsoft Defender für Endpunkt
Cloudressourcendetails Cloudplattform, Ressourcen-ID, Abonnementinformationen und vieles mehr
Hardware und Firmware VM-, Prozessor- und BIOS-Informationen und mehr
Geräteverwaltung Registrierungsstatus und Verwaltungsinformationen für Microsoft Defender für Endpunkt
Verzeichnisdaten UAC-Flags , SPNs und Gruppenmitgliedschaften.

Dashboard

Der Hauptteil der Registerkarte Übersicht zeigt mehrere Anzeigekarten vom Typ Dashboard:

  • Aktive Warnungen und Risikostufe des Geräts in den letzten sechs Monaten, gruppiert nach Schweregrad
  • Sicherheitsbewertungen und Expositionsstufe des Geräts
  • Angemeldete Benutzer auf dem Gerät in den letzten 30 Tagen
  • Geräteintegritätsstatus und andere Informationen zu den letzten Überprüfungen des Geräts.

Tipp

Die Expositionsstufe bezieht sich darauf, wie stark das Gerät Sicherheitsempfehlungen erfüllt, während die Risikostufe basierend auf einer Reihe von Faktoren berechnet wird, einschließlich der Typen und des Schweregrads aktiver Warnungen.

Screenshot der Registerkarte

Registerkarte "Incidents and Alerts" (Incidents und Warnungen)

Die Registerkarte Vorfälle und Warnungen enthält eine Liste von Vorfällen, die Warnungen enthalten, die auf dem Gerät aus einer Reihe von Microsoft Defender-Erkennungsquellen ausgelöst wurden, einschließlich, falls integriert, Microsoft Sentinel. Diese Liste ist eine gefilterte Version der Incidentwarteschlange und enthält eine kurze Beschreibung des Incidents oder der Warnung, seines Schweregrads (hoch, mittel, niedrig, informativ), seines Status in der Warteschlange (neu, in Bearbeitung, gelöst), seiner Klassifizierung (nicht festgelegt, falscher Warnung, wahrer Warnung), des Untersuchungsstatus, der Kategorie, der person zugewiesen ist, um ihn zu beheben, und der letzten beobachteten Aktivität.

Sie können anpassen, welche Spalten für jedes Element angezeigt werden. Sie können die Warnungen auch nach Schweregrad, Status oder einer anderen Spalte in der Anzeige filtern.

Die Spalte betroffener Entitäten bezieht sich auf alle Geräte- und Benutzerentitäten, auf die in dem Incident oder der Warnung verwiesen wird.

Wenn ein Incident oder eine Warnung ausgewählt wird, wird ein Flyout angezeigt. In diesem Bereich können Sie den Incident oder die Warnung verwalten und weitere Details anzeigen, z. B. Incident-/Warnungsnummer und zugehörige Geräte. Es können mehrere Warnungen gleichzeitig ausgewählt werden.

Um eine vollständige Seitenansicht eines Incidents oder einer Warnung anzuzeigen, wählen Sie den Titel aus.

Screenshot der Registerkarte

Registerkarte "Zeitachse "

Auf der Registerkarte Zeitachse wird eine chronologische Ansicht aller Ereignisse angezeigt, die auf dem Gerät beobachtet wurden. Dies kann Ihnen helfen, Ereignisse, Dateien und IP-Adressen in Bezug auf das Gerät zu korrelieren.

Die Auswahl der in der Liste angezeigten Spalten kann beide angepasst werden. Die Standardspalten enthalten die Ereigniszeit, den aktiven Benutzer, den Aktionstyp, die zugeordneten Entitäten (Prozesse, Dateien, IP-Adressen) und zusätzliche Informationen zum Ereignis.

Sie können den Zeitraum steuern, für den Ereignisse angezeigt werden, indem Sie die Rahmen des Zeitraums entlang des gesamten Zeitachsendiagramms oben auf der Seite verschieben. Sie können auch einen Zeitraum aus der Dropdownliste oben in der Liste auswählen (der Standardwert ist 30 Tage). Um Ihre Ansicht weiter zu steuern, können Sie nach Ereignisgruppen filtern oder die Spalten anpassen.

Sie können Ereignisse im Wert von bis zu sieben Tagen zum Download in eine CSV-Datei exportieren.

Führen Sie einen Drilldown in die Details einzelner Ereignisse durch, indem Sie und das Ereignis auswählen und die zugehörigen Details im resultierenden Flyoutbereich anzeigen. Weitere Informationen finden Sie unten unter Ereignisdetails .

Hinweis

Damit Firewallereignisse angezeigt werden, müssen Sie die Überwachungsrichtlinie aktivieren. Weitere Informationen finden Sie unter Überwachen der Filterplattformverbindung.

Die Firewall deckt die folgenden Ereignisse ab:

  • 5025 – Firewalldienst beendet
  • 5031 : Die Anwendung kann keine eingehenden Verbindungen im Netzwerk akzeptieren.
  • 5157 – Blockierte Verbindung

Screenshot der Registerkarte

Ereignisdetails

Wählen Sie ein Ereignis aus, um relevante Details zu diesem Ereignis anzuzeigen. Ein Flyoutbereich wird angezeigt, um weitere Informationen zum Ereignis anzuzeigen. Welche Arten von Informationen angezeigt werden, hängt vom Typ des Ereignisses ab. Wenn zutreffend und Daten verfügbar sind, wird möglicherweise ein Diagramm mit verwandten Entitäten und deren Beziehungen angezeigt, z. B. eine Kette von Dateien oder Prozessen. Möglicherweise sehen Sie auch eine zusammenfassende Beschreibung der MITRE ATT&CK-Taktiken und -Techniken, die für das Ereignis gelten.

Um das Ereignis und die zugehörigen Ereignisse weiter zu untersuchen, können Sie schnell eine erweiterte Huntingabfrage ausführen, indem Sie nach verwandten Ereignissen suchen auswählen. Die Abfrage gibt das ausgewählte Ereignis und die Liste anderer Ereignisse zurück, die ungefähr zur gleichen Zeit auf demselben Endpunkt aufgetreten sind.

Screenshot des Bereichs

Registerkarte "Sicherheitsempfehlungen"

Auf der Registerkarte Sicherheitsempfehlungen sind Aktionen aufgeführt, die Sie zum Schutz des Geräts ausführen können. Wenn Sie ein Element in dieser Liste auswählen, wird ein Flyout geöffnet, in dem Sie Anweisungen zum Anwenden der Empfehlung erhalten können.

Wie bei den vorherigen Registerkarten kann die Auswahl der angezeigten Spalten angepasst werden.

Die Standardansicht enthält Spalten, in denen die behandelten Sicherheitsschwächen, die zugehörige Bedrohung, die von der Bedrohung betroffene zugehörige Komponente oder Software und vieles mehr beschrieben werden. Elemente können nach dem Status der Empfehlung gefiltert werden.

Erfahren Sie mehr über Sicherheitsempfehlungen.

Screenshot der Registerkarte

Registerkarte "Inventare"

Auf dieser Registerkarte werden Inventare von vier Komponententypen angezeigt: Software, anfällige Komponenten, Browsererweiterungen und Zertifikate.

Softwareinventar

Diese Karte listet die auf dem Gerät installierte Software auf.

In der Standardansicht werden der Softwarehersteller, die installierte Versionsnummer, die Anzahl bekannter Softwareschwächen, Bedrohungserkenntnisse, Der Produktcode und Tags angezeigt. Die Anzahl der angezeigten Elemente und die angezeigten Spalten können angepasst werden.

Wenn Sie ein Element aus dieser Liste auswählen, wird ein Flyout geöffnet, das weitere Details zur ausgewählten Software sowie den Pfad und den Zeitstempel für das letzte Mal enthält, als die Software gefunden wurde.

Diese Liste kann nach Produktcode, Schwachstellen und dem Vorhandensein von Bedrohungen gefiltert werden.

Screenshot der Registerkarte

Anfällige Komponenten

Diese Karte listet Softwarekomponenten auf, die Sicherheitsrisiken enthalten.

Die Standardansichts- und Filteroptionen sind identisch mit denen für Software.

Wählen Sie ein Element aus, um weitere Informationen in einem Flyout anzuzeigen.

Browsererweiterungen

Diese Karte zeigt die auf dem Gerät installierten Browsererweiterungen an. Die angezeigten Standardfelder sind der Name der Erweiterung, der Browser, für den sie installiert ist, die Version, das Berechtigungsrisiko (basierend auf der Art des Zugriffs auf Geräte oder Websites, die von der Erweiterung angefordert werden) und der Status. Optional kann auch der Anbieter angezeigt werden.

Wählen Sie ein Element aus, um weitere Informationen in einem Flyout anzuzeigen.

Zertifikate

Auf dieser Karte werden alle auf dem Gerät installierten Zertifikate angezeigt.

Die standardmäßig angezeigten Felder sind Der Zertifikatname, das Ausgabedatum, das Ablaufdatum, die Schlüsselgröße, der Aussteller, der Signaturalgorithmus, die Schlüsselverwendung und die Anzahl der Instanzen.

Die Liste kann nach Status, selbstsigniert oder nicht, Schlüsselgröße, Signaturhash und Schlüsselverwendung gefiltert werden.

Wählen Sie ein Zertifikat aus, um weitere Informationen in einem Flyout anzuzeigen.

Registerkarte "Ermittelte Sicherheitsrisiken"

Auf dieser Registerkarte werden alle allgemeinen Sicherheitsrisiken und Exploits (COMMON Vulnerabilities and Exploits, CVEs) aufgelistet, die sich auf das Gerät auswirken können.

In der Standardansicht werden der Schweregrad der CVE, die allgemeine Sicherheitsrisikobewertung (Common Vulnerability Score, CVSS), die Software im Zusammenhang mit der CVE, wann die CVE veröffentlicht wurde, wann die CVE zum ersten Mal erkannt und zuletzt aktualisiert wurde, sowie bedrohungen aufgeführt, die der CVE zugeordnet sind.

Wie bei den vorherigen Registerkarten kann die Auswahl der anzuzeigenden Spalten angepasst werden. Die Liste kann nach Schweregrad, Bedrohungsstatus, Geräteexposition und Tags gefiltert werden.

Wenn Sie ein Element aus dieser Liste auswählen, wird ein Flyout geöffnet, das die CVE beschreibt.

Screenshot der Registerkarte

Registerkarte "Fehlende KBs "

Auf der Registerkarte Fehlende KBs werden alle Microsoft-Updates aufgelistet, die noch auf das Gerät angewendet werden müssen. Bei den fraglichen "KBs" handelt es sich um Knowledge Base-Artikel, in denen diese Updates beschrieben werden. beispiel: KB4551762.

Die Standardansicht listet das Bulletin mit den Updates, der Betriebssystemversion, der KB-ID-Nummer, den betroffenen Produkten, den adressierten CVEs und tags auf.

Die Auswahl der anzuzeigenden Spalten kann angepasst werden.

Wenn Sie ein Element auswählen, wird ein Flyout geöffnet, das mit dem Update verknüpft ist.

Registerkarte "Sentinel-Ereignisse "

Wenn Ihre Organisation Microsoft Sentinel in das Defender-Portal integriert hat, befindet sich diese zusätzliche Registerkarte auf der Seite mit der Geräteentität. Diese Registerkarte importiert die Seite Hostentität aus Microsoft Sentinel.

Sentinel-Zeitachse

Diese Zeitachse zeigt Warnungen im Zusammenhang mit der Geräteentität, die in Microsoft Sentinel als Hostentität bezeichnet wird. Zu diesen Warnungen gehören Warnungen, die auf der Registerkarte Incidents und Warnungen angezeigt werden, und die warnungen, die von Microsoft Sentinel aus Datenquellen von Drittanbietern erstellt wurden, die nicht von Microsoft stammen.

Diese Zeitachse zeigt auch Mit Lesezeichen versehene Huntings aus anderen Untersuchungen, die auf diese Benutzerentität verweisen, Benutzeraktivitätsereignisse aus externen Datenquellen und ungewöhnliche Verhaltensweisen, die von den Anomalieregeln von Microsoft Sentinel erkannt wurden.

Einblicke

Entitätserkenntnisse sind Abfragen, die von Microsoft-Sicherheitsexperten definiert werden, damit Sie effizienter und effektiver untersuchen können. Diese Erkenntnisse stellen automatisch die großen Fragen zu Ihrer Geräteentität und liefern wertvolle Sicherheitsinformationen in Form von tabellarischen Daten und Diagrammen. Die Erkenntnisse umfassen Daten zu Anmeldungen, Gruppenerfügungen, Prozessausführungen, anomalen Ereignissen und mehr sowie erweiterte Algorithmen für maschinelles Lernen, um anomales Verhalten zu erkennen.

Im Folgenden sind einige der gezeigten Erkenntnisse aufgeführt:

  • Screenshot, der auf dem Host erstellt wurde.
  • Prozesse ohne Vorzeichen von Microsoft erkannt.
  • Windows-Prozessausführungsinformationen.
  • Windows-Anmeldeaktivität.
  • Aktionen für Konten.
  • Ereignisprotokolle, die auf dem Host gelöscht wurden.
  • Gruppenzufügungen.
  • Enumeration von Hosts, Benutzern, Gruppen auf dem Host.
  • Microsoft Defender-Anwendungssteuerung.
  • Verarbeitungsrarität per Entropieberechnung.
  • Anomale hohe Anzahl eines Sicherheitsereignisses.
  • Watchlist-Erkenntnisse (Vorschau)
  • Windows Defender Antivirus-Ereignisse.

Die Erkenntnisse basieren auf den folgenden Datenquellen:

  • Syslog (Linux)
  • SecurityEvent (Windows)
  • AuditLogs (Microsoft Entra-ID)
  • SigninLogs (Microsoft Entra ID)
  • OfficeActivity (Office 365)
  • BehaviorAnalytics (Microsoft Sentinel UEBA)
  • Heartbeat (Azure Monitor-Agent)
  • CommonSecurityLog (Microsoft Sentinel)

Screenshot der Registerkarte

Wenn Sie die Erkenntnisse in diesem Bereich weiter untersuchen möchten, wählen Sie den Link aus, der die Erkenntnis begleitet. Über den Link gelangen Sie zur Seite Erweiterte Suche , auf der die Abfrage angezeigt wird, die der Erkenntnis zugrunde liegt, sowie die unformatierten Ergebnisse. Sie können die Abfrage ändern oder einen Drilldown in die Ergebnisse ausführen, um Ihre Untersuchung zu erweitern oder einfach Nur Ihre Neugier zu befriedigen.

Screenshot des Bildschirms

Antwortaktionen

Reaktionsaktionen bieten Tastenkombinationen zum Analysieren, Untersuchen und Schützen von Bedrohungen.

Screenshot der Aktionsleiste für die Geräteentitätsseite im Microsoft Defender-Portal.

Wichtig

  • Antwortaktionen sind nur verfügbar, wenn das Gerät bei Microsoft Defender für Endpunkt registriert ist.
  • Geräte, die in Microsoft Defender für Endpunkt registriert sind, zeigen je nach Betriebssystem und Versionsnummer des Geräts möglicherweise eine unterschiedliche Anzahl von Antwortaktionen an.

Antwortaktionen werden am oberen Rand einer bestimmten Geräteseite ausgeführt und umfassen Folgendes:

Aktion Beschreibung
Gerätewert
Festlegen der Wichtigkeit
Verwalten von Kategorien Aktualisiert benutzerdefinierte Tags, die Sie auf dieses Gerät angewendet haben.
Melden von Geräteungenauigkeiten
Ausführen der Antivirenüberprüfung Aktualisiert Microsoft Defender Antivirus-Definitionen und führt sofort eine Antivirenüberprüfung aus. Wählen Sie zwischen Schnellscan oder Vollständiger Scan.
Untersuchungspaket sammeln Sammelt Informationen zum Gerät. Wenn die Untersuchung abgeschlossen ist, können Sie sie herunterladen.
Einschränken der App-Ausführung Verhindert die Ausführung von Anwendungen, die nicht von Microsoft signiert wurden.
Initiieren einer automatisierten Untersuchung Untersucht und beseitigt Bedrohungen automatisch. Obwohl Sie die Ausführung automatisierter Untersuchungen auf dieser Seite manuell auslösen können, lösen bestimmte Warnungsrichtlinien selbst automatische Untersuchungen aus.
Initiieren einer Liveantwortsitzung Lädt eine Remoteshell auf das Gerät für eingehende Sicherheitsuntersuchungen.
Gerät isolieren Isoliert das Gerät vom Netzwerk Ihrer Organisation, während es mit Microsoft Defender verbunden bleibt. Sie können die Ausführung von Outlook, Teams und Skype for Business zulassen, während das Gerät isoliert ist, zu Kommunikationszwecken.
Defender Experten fragen
Info-Center Zeigt Informationen zu allen derzeit ausgeführten Antwortaktionen an. Nur verfügbar, wenn bereits eine andere Aktion ausgewählt wurde.
Herunterladen des Skripts zum Erzwingen der Freigabe aus der Isolation
Exclude
Suche starten
Aktivieren des Problembehandlungsmodus
Richtliniensynchronisierung

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.