Untersuchen des Geräts

  • 7 Minuten

Untersuchen Sie die Details einer Warnung, die auf einem bestimmten Gerät ausgelöst wurde, um andere Verhaltensweisen oder Ereignisse zu identifizieren, die möglicherweise mit der Warnung oder dem potenziellen Umfang der Sicherheitsverletzung zusammenhängen.

Sie können betroffene Geräte auswählen, wenn sie im Portal angezeigt werden, um einen ausführlichen Bericht zum jeweiligen Gerät zu öffnen. Betroffene Geräte sind in den folgenden Bereichen angegeben:

  • Geräteliste

  • Warnungswarteschlange

  • Dashboard für Sicherheitsvorgänge

  • Jede einzelne Warnung

  • Jede einzelne Dateidetailansicht

  • Jede IP-Adresse oder Domänendetailansicht

Wenn Sie ein bestimmtes Gerät untersuchen, wird Folgendes angezeigt:

  • Gerätedetails

  • Antwortaktionen

  • Registerkarten: Übersicht, Warnungen, Zeitachse, Sicherheitsempfehlungen, Softwareinventur, erkannte Sicherheitsrisiken, fehlende KBs (Knowledge Base-IDs)

  • Karten (aktive Warnungen, angemeldete Benutzer, Sicherheitsbewertung)

Gerätedetails

Der Abschnitt mit Gerätedetails enthält Informationen wie die Domäne, das Betriebssystem und den Integritätsstatus des Geräts. Wenn auf dem Gerät ein Untersuchungspaket verfügbar ist, wird ein Link angezeigt, mit dem Sie das Paket herunterladen können.

Antwortaktionen

Antwortaktionen sind am oberen Rand der Seite für ein bestimmtes Gerät aufgeführt und umfassen Folgendes:

  • Tags verwalten

  • Gerät isolieren

  • App-Ausführung einschränken

  • Antivirenüberprüfung ausführen

  • Untersuchungspaket erfassen

  • Live Response-Sitzung initiieren

  • Automatisierte Untersuchung initiieren

  • Bedrohungsexperte kontaktieren

  • Info-Center

Sie können Antwortaktionen im Info-Center, auf der Seite für ein bestimmtes Gerät oder auf der Seite für eine bestimmte Datei durchführen.

Registerkarten

Übersicht

Auf der Registerkarte „Übersicht“ werden die Karten für aktive Warnungen, angemeldete Benutzer und Sicherheitsbewertungen angezeigt.

Aktive Warnungen

Sie können die Gesamtanzahl der in den letzten 30 Tagen in Ihrem Netzwerk aktiven Warnungen auf der Kachel anzeigen. Warnungen werden in Neu und In Bearbeitung unterteilt. Jede Gruppe ist weiter in die entsprechenden Warnungsschweregrade unterteilt. Wählen Sie die Anzahl der Warnungen in jedem Warnungsring aus, um eine sortierte Ansicht der Warteschlange dieser Kategorie anzuzeigen („Neu“ oder „In Bearbeitung“).

Angemeldete Benutzer

Die Karte „Angemeldete Benutzer“ zeigt, wie viele Benutzer sich in den letzten 30 Tagen angemeldet haben, und nennt die häufigsten und am wenigsten häufigen Benutzer. Wenn Sie auf den Link „Alle Benutzer anzeigen“ klicken, wird der Detailbereich geöffnet, in dem der Benutzertyp, der Anmeldetyp und der erste und letzte Besuchszeitpunkt des Benutzers angezeigt werden.

Sicherheitsbewertungen

Auf der Karte „Sicherheitsbewertungen“ werden die allgemeine Gefährdungsstufe, Sicherheitsempfehlungen, installierte Software und erkannte Sicherheitsrisiken angezeigt. Die Gefährdungsstufe eines Geräts wird anhand der kumulativen Auswirkungen der ausstehenden Sicherheitsempfehlungen bestimmt.

Alerts

Die Registerkarte „Warnungen“ enthält eine Liste mit Warnungen, die im Zusammenhang mit dem Gerät stehen. Diese Liste ist eine gefilterte Version der Warnungswarteschlange und zeigt eine kurze Beschreibung der Warnung, den Schweregrad (hoch, mittel, niedrig, Information), den Status in der Warteschlange (neu, in Bearbeitung, aufgelöst), die Klassifizierung (nicht festgelegt, falsche Warnung, echte Warnung), den Untersuchungsstatus, die Kategorie der Warnung, die Zuständigkeit für die Warnung und die letzte Aktivität an. Sie können die Warnungen auch filtern.

Zeitachse

Die Registerkarte „Zeitachse“ bietet eine chronologische Ansicht der Ereignisse und zugeordneten Warnungen, die auf dem Gerät beobachtet wurden. Dadurch können Sie Ereignisse, Dateien und IP-Adressen im Zusammenhang mit dem Gerät korrelieren.

Die Zeitachse ermöglicht es Ihnen auch, einen selektiven Drilldown in Ereignisse auszuführen, die innerhalb eines bestimmten Zeitraums aufgetreten sind. Sie können die zeitliche Abfolge von Ereignissen anzeigen, die auf einem Gerät während eines ausgewählten Zeitraums aufgetreten sind. Um die Ansicht weiter zu verfeinern, können Sie nach Ereignisgruppen filtern oder die Spalten anpassen.

Einige der Funktionen umfassen Folgendes:

  • Suchen nach bestimmten Ereignissen

    • Verwenden Sie die Suchleiste, um nach bestimmten Zeitachsenereignissen zu suchen.

  • Filtern von Ereignissen an einem bestimmten Datum

    • Wählen Sie das Kalendersymbol oben links in der Tabelle aus, um Ereignisse des letzten Tages, der letzten Woche, der letzten 30 Tage oder eines benutzerdefinierten Bereichs anzuzeigen. Standardmäßig ist die Gerätezeitachse so festgelegt, dass die Ereignisse der letzten 30 Tage angezeigt werden.

    • Verwenden Sie die Zeitachse, um zu einem bestimmten Zeitpunkt zu springen, indem Sie den Abschnitt markieren. Die Pfeile auf der Zeitleiste zeigen automatisierte Untersuchungen an.

  • Exportieren detaillierter Ereignisse auf der Gerätezeitachse

    • Exportieren Sie die Gerätezeitachse für das aktuelle Datum oder einen angegebenen Datumsbereich von bis zu sieben Tagen.

Weitere Details zu bestimmten Ereignissen werden bereitgestellt und unterscheiden sich je nach Ereignistyp. Beispiele:

  • In Application Guard enthalten: Das Webbrowserereignis wurde durch einen isolierten Container eingeschränkt.

  • Aktive Bedrohung erkannt: Die Bedrohungserkennung hat während der aktiven Bedrohung stattgefunden.

  • Korrektur nicht erfolgreich: Ein Versuch, die erkannte Bedrohung zu beheben, wurde unternommen, war jedoch nicht erfolgreich.

  • Korrektur erfolgreich: Die erkannte Bedrohung wurde beendet und bereinigt.

  • Warnung von Benutzer umgangen: Die Windows Defender SmartScreen-Warnung wurde von einem Benutzer verworfen und außer Kraft gesetzt.

  • Verdächtiges Skript erkannt: Die Ausführung eines potenziell schädlichen Skripts wurde entdeckt.

  • Warnungskategorie: Wenn das Ereignis zum Generieren einer Warnung geführt hat, wird die Warnungskategorie (z. B. „Lateral Movement“) angegeben.

Kennzeichnen eines Ereignisses

Beim Navigieren in der Gerätezeitachse können Sie nach bestimmten Ereignissen suchen und filtern. Ereignisflags können wie folgt festgelegt werden:

  • Hervorheben der wichtigsten Ereignisse

  • Markieren von Ereignissen, die eine weitere Überprüfung erfordern

  • Erstellen einer bereinigten Zeitachse für eine Sicherheitsverletzung

Suchen Sie das Ereignis, das Sie kennzeichnen möchten. Wählen Sie in der Spalte „Flag“ das Kennzeichnungssymbol aus.

Anzeigen gekennzeichneter Ereignisse

Aktivieren Sie im Abschnitt „Filter“ für die Zeitachse die Option „Nur gekennzeichnete Ereignisse“. Wählen Sie Übernehmen. Nur gekennzeichnete Ereignisse werden angezeigt. Sie können weitere Filter anwenden, indem Sie auf die Zeitleiste klicken. Dadurch werden nur Ereignisse vor dem gekennzeichneten Ereignis angezeigt.

Ereignisdetails

Wählen Sie ein Ereignis aus, um relevante Details zu diesem Ereignis anzuzeigen. Es wird ein Bereich mit allgemeinen Informationen zum Ereignis angezeigt. Wenn zutreffend und Daten verfügbar sind, wird außerdem ein Diagramm mit verwandten Entitäten und deren Beziehungen angezeigt.

Um das Ereignis und verwandte Ereignisse weiter zu untersuchen, können Sie schnell eine erweiterte Hunting-Abfrage ausführen, indem Sie die Option zum Suchen nach verwandten Ereignissen auswählen. Die Abfrage gibt das ausgewählte Ereignis und eine Liste mit anderen Ereignissen zurück, die ungefähr zur gleichen Zeit an demselben Endpunkt aufgetreten sind.

Sicherheitsempfehlungen

Sicherheitsempfehlungen werden von der Funktion für Bedrohungs- und Sicherheitsrisikomanagement von Microsoft Defender für Endpunkt generiert. Bei Auswahl einer Empfehlung wird ein Bereich angezeigt, in dem Sie relevante Details sehen können, z. B. die Beschreibung der Empfehlung und die möglichen Risiken, wenn diese nicht angewendet wird.

Softwareinventur

Auf der Registerkarte „Softwareinventur“ können Sie die Software auf dem Gerät zusammen mit möglichen Schwächen oder Bedrohungen anzeigen. Durch Klicken auf den Namen der Software gelangen Sie zur Seite mit den Softwaredetails, auf der Sie Sicherheitsempfehlungen, ermittelte Sicherheitsrisiken, installierte Geräte und die Versionsverteilung anzeigen können.

Erkannte Sicherheitsrisiken

Auf der Registerkarte „Erkannte Sicherheitsrisiken“ werden Name, Schweregrad und Erkenntnisse zur Bedrohung für erkannte Sicherheitsrisiken auf dem Gerät angezeigt. Bei Auswahl bestimmter Sicherheitsrisiken werden eine Beschreibung und Details angezeigt.

Fehlende Wissensdatenbanken

Auf der Registerkarte für fehlende Wissensdatenbanken werden die fehlenden Sicherheitsupdates für das Gerät aufgelistet.