Jaa

Laitteen entiteettisivu Microsoft Defender

  • Artikkeli
  • Koskee seuraavia::
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

laitteen entiteettisivu Microsoft Defender portaalissa auttaa sinua tutkimaan laiteentiteettejä. Sivu sisältää kaikki tärkeät tiedot tietystä laiteentiteetistä. Jos ilmoitus tai tapaus ilmaisee, että laite käyttäytyy epäilyttävästi tai saattaa olla vaarantunut, tutki laitteen tietoja tunnistaaksesi muita hälytykseen tai tapahtumaan mahdollisesti liittyviä toimintoja ja selvittääksesi rikkomuksen mahdollisen laajuuden. Voit myös käyttää laitteen entiteettisivua yleisten suojaustehtävien suorittamiseen sekä joihinkin vastaustoimintoihin tietoturvauhkien lieventämiseksi tai korjaamiseksi.

Tärkeää

Laitteen entiteettisivulla näytettävä sisältöjoukko saattaa hieman vaihdella sen mukaan, onko laite rekisteröitynyt Microsoft Defender for Endpoint ja Microsoft Defender for Identity.

Jos organisaatiosi on Microsoft Sentinel Defender-portaaliin, näkyviin tulee lisätietoja.

Microsoft Sentinel laiteentiteettejä kutsutaan myös isäntäentiteeteiksi. Lisätietoja.

Microsoft Sentinel on yleisesti saatavilla Microsoftin yhdistetyssä suojaustoimintojen ympäristössä Microsoft Defender-portaalissa. Esikatselua varten Microsoft Sentinel on käytettävissä Defender-portaalissa ilman Microsoft Defender XDR tai E5-käyttöoikeutta. Lisätietoja on Microsoft Defender-portaalin kohdassa Microsoft Sentinel.

Laitteen entiteetit löytyvät seuraavilta alueilta:

  • Laitteet-luettelo Assets-kohdassa
  • Ilmoitusjono
  • Yksittäiset hälytykset tai tapahtumat
  • Yksittäisen käyttäjän entiteettisivu
  • Yksittäisen tiedoston tietonäkymä
  • Mikä tahansa IP-osoite tai toimialueen tietojen näkymä
  • Toimintoloki
  • Kehittyneet metsästyskyselyt
  • Toimintokeskus

Voit avata laitteen entiteettisivun valitsemalla laitteet aina, kun näet ne portaalissa. Näin saat lisätietoja laitteesta. Voit esimerkiksi nähdä tiedot laitteista, jotka on lueteltu tapahtuman hälytyksissä Microsoft Defender-portaalissa kohdassa Tapaukset & hälytykset > Tapaukset TapausResurssien>>> laitteet.

Näyttökuva tapahtuman Käyttäjät-sivusta Microsoft Defender-portaalissa.

Laitteen entiteettisivu näyttää tiedot sarkainmuodossa. Tässä artikkelissa määritetään kussakin välilehdessä käytettävissä olevat tietotyypit ja myös toiminnot, joita voit suorittaa tietyssä laitteessa.

Seuraavat välilehdet näkyvät laitteen entiteettisivulla:

Entiteettisivun ylätunniste

Entiteettisivun ylin osa sisältää seuraavat tiedot:

  • Entiteetin nimi
  • Riskin vakavuus, kriittisyys ja laitteen arvoilmaisimet
  • Tunnisteet , joiden mukaan laite voidaan luokitella. Defender voi lisätä sen päätepisteelle, Defender for Identitylle tai käyttäjät. Microsoft Defender for Identity tunnisteita ei voi muokata.
  • Vastaustoiminnot ovat myös tässä. Lue lisää niistä alta.

Yleiskatsaus-välilehti

Oletusvälilehti on Yleiskatsaus. Se tarjoaa nopean katsauksen laitteen tärkeimpiin suojaustietoihin. Yleiskatsaus-välilehti sisältää laitteen tietojen sivupalkin ja koontinäytön, jossa jotkin kortit näyttävät korkean tason tietoja.

Laitteen tiedot

Sivupalkissa on lueteltu laitteen koko nimi ja altistustaso. Se tarjoaa myös joitakin tärkeitä perustietoja pienissä alakohdissa, joita voidaan laajentaa tai kutistaa, kuten:

Osa Sisällytetyt tiedot
Näennäiskoneen tiedot Koneiden ja toimialueiden nimet ja tunnukset, kunto- ja perehdytystilat, ensimmäisen ja viimeisen näkemän aikaleimat, IP-osoitteet ja paljon muuta
DLP-käytännön synkronointitiedot Tarvittaessa
Määrityksen tila Microsoft Defender for Endpoint määritystä koskevat tiedot
Pilviresurssin tiedot Pilviympäristö, resurssitunnus, tilaustiedot ja paljon muuta
Laitteisto ja laiteohjelmisto Näennäiskoneen, suorittimen ja BIOSin tiedot ja paljon muuta
Laitehallinta Microsoft Defender for Endpoint rekisteröintitilan ja hallinnan tiedot
Hakemistotiedot UAC-merkinnät , palvelun päänimet ja ryhmän jäsenyydet.

Koontinäyttö

Yleiskatsaus-välilehden pääosassa on useita koontinäytön tyyppisiä näyttökortteja:

  • Laitteeseen liittyvät aktiiviset hälytykset ja riskitaso viimeisten kuuden kuukauden aikana vakavuuden mukaan ryhmiteltynä
  • Suojausarvioinnit ja laitteen altistumistaso
  • Kirjautuneet käyttäjät laitteessa viimeisten 30 päivän aikana
  • Laitteen kuntotila ja muita tietoja laitteen uusimmista tarkistuksista.

Vihje

Altistustaso liittyy siihen, kuinka paljon laite noudattaa suojaussuosituksia, kun taas riskitaso lasketaan useiden tekijöiden perusteella, mukaan lukien aktiivisten hälytysten tyypit ja vakavuus.

Näyttökuva laitteen entiteettisivun Yleiskatsaus-välilehdestä Microsoft Defender portaalissa.

Tapaukset ja hälytykset -välilehti

Tapaukset ja hälytykset -välilehti sisältää luettelon tapauksista, jotka sisältävät laitteessa annettuja hälytyksiä mistä tahansa useista Microsoft Defender tunnistuslähteistä, mukaan lukien, jos ne on otettu käyttöön, Microsoft Sentinel. Tämä luettelo on tapahtumajonon suodatettu versio, ja se näyttää lyhyen kuvauksen tapahtumasta tai hälytyksestä, sen vakavuudesta (suuri, normaali, pieni, tiedottava), sen tilasta jonossa (uusi, käynnissä, ratkaistu), sen luokituksesta (ei määritetty, väärä ilmoitus, tosi hälytys), tutkintatilasta, luokasta, joka on määritetty käsittelemään sitä, ja viimeisestä havaitusta toiminnasta.

Voit mukauttaa kullekin kohteelle näytettävät sarakkeet. Voit myös suodattaa hälytykset vakavuuden, tilan tai minkä tahansa muun näytön sarakkeen mukaan.

Entiteettisarake, johon vaikutus vaikuttaa, viittaa kaikkiin laitteen ja käyttäjän entiteetteihin, joihin tapahtumassa tai hälytyksessä viitattiin.

Kun tapaus tai hälytys on valittuna, esiin tulee pikaikkuna. Tässä paneelissa voit hallita tapausta tai ilmoitusta ja tarkastella lisätietoja, kuten tapausten/hälytysten numeroa ja liittyviä laitteita. Kerrallaan voidaan valita useita ilmoituksia.

Jos haluat nähdä koko sivun näkymän tapahtumasta tai ilmoituksesta, valitse sen otsikko.

Näyttökuva tapahtumat ja hälytykset -välilehdestä laitteen entiteettisivulla Microsoft Defender portaalissa.

Aikajana-välilehti

Aikajana-välilehdessä näkyy kronologinen näkymä kaikista tapahtumista, jotka on havaittu laitteessa. Tämä voi auttaa korreloimaan mitä tahansa tapahtumia, tiedostoja ja IP-osoitteita suhteessa laitteeseen.

Luettelossa näkyvien sarakkeiden valintaa voidaan mukauttaa. Oletussarakkeet sisältävät tapahtuman ajan, aktiivisen käyttäjän, toimintotyypin, liittyvät entiteetit (prosessit, tiedostot, IP-osoitteet) ja lisätietoja tapahtumasta.

Voit hallita ajanjaksoa, jonka tapahtumat näytetään liu'uttamalla ajanjakson reunoja sivun yläreunassa olevan yleisen aikajanakaavion mukaisesti. Voit myös valita ajanjakson luettelon yläosassa olevasta avattavasta valikosta (oletusarvo on 30 päivää). Voit hallita näkymää tarkemmin suodattamalla tapahtumaryhmien mukaan tai mukauttamalla sarakkeita.

Voit viedä enintään seitsemän päivän tapahtumat CSV-tiedostoon ladattavaksi.

Poraudu alaspäin yksittäisten tapahtumien tietoihin valitsemalla ja tapahtuma ja tarkastelemalla sen tietoja tuloksena saatavassa pikaikkunapaneelissa. Katso tapahtuman tiedot alta.

Huomautus

Jotta palomuuritapahtumat tulevat näkyviin, sinun on otettava valvontakäytäntö käyttöön kohdassa Suodatuksen käyttöympäristön yhteys.

Palomuuri kattaa seuraavat tapahtumat:

  • 5025 - palomuuripalvelu pysäytettiin
  • 5031 – Sovellus on estänyt saapuvien yhteyksien hyväksymisen verkkoon
  • 5157 - estetty yhteys

Näyttökuva laitteen entiteettisivun Aikajana-välilehdestä Microsoft Defender portaalissa.

Tapahtuman tiedot

Valitse tapahtuma, jos haluat tarkastella tapahtuman olennaisia tietoja. Näyttöön avautuu pikaikkuna, jossa näkyy paljon lisätietoja tapahtumasta. Näytettävien tietojen tyypit riippuvat tapahtuman tyypistä. Kun käytettävissä ja tiedot ovat käytettävissä, saatat nähdä kaavion, joka näyttää liittyvät entiteetit ja niiden suhteet, kuten tiedostoketjun tai prosessit. Saatat myös nähdä yhteenvedon kuvauksen MITRE ATT&CK-taktiikoista ja -tekniikoista, jotka soveltuvat tapahtumaan.

Jos haluat tarkastaa tapahtuman ja siihen liittyvät tapahtumat tarkemmin, voit suorittaa nopeasti kehittyneen metsästyskyselyn valitsemalla Etsi aiheeseen liittyviä tapahtumia. Kysely palauttaa valitun tapahtuman ja luettelon muista tapahtumista, jotka tapahtuivat samaan aikaan samassa päätepisteessä.

Näyttökuva tapahtuman tietopaneelista.

Suojaussuositukset-välilehti

Suojaussuositukset-välilehdessä luetellaan toiminnot, jotka voit suorittaa laitteen suojaamiseksi. Tämän luettelon kohteen valitseminen avaa pikaikkunan, josta saat ohjeet suosituksen soveltamiseen.

Kuten edellisissäkin välilehdissä, näytettävien sarakkeiden valintaa voidaan mukauttaa.

Oletusnäkymä sisältää sarakkeita, jotka sisältävät yksityiskohtaiset tiedot käsiteltyistä suojauspuutteista, niihin liittyvästä uhasta, liittyvästä komponentista tai ohjelmistosta, johon uhka vaikuttaa, ja paljon muuta. Kohteet voidaan suodattaa suosituksen tilan mukaan.

Lue lisätietoja suojaussuosituksista.

Näyttökuva laitteen entiteettisivun Suojaussuositukset-välilehdestä.

Varastot-välilehti

Tässä välilehdessä näytetään neljän komponenttityypin varastot: ohjelmistot, haavoittuvat osat, selainlaajennukset ja varmenteet.

Ohjelmistoluettelo

Tässä kortissa luetellaan laitteeseen asennetut ohjelmistot.

Oletusnäkymä näyttää ohjelmistotoimittajan, asennetun versionumeron, tunnettujen ohjelmistojen heikkouksien määrän, uhkatiedot, tuotekoodin ja tunnisteet. Näytettävien kohteiden määrä ja näytettävät sarakkeet voidaan mukauttaa.

Kohteen valitseminen tästä luettelosta avaa pikaikkunan, joka sisältää lisätietoja valitusta ohjelmistosta sekä polun ja aikaleiman, kun ohjelmistoa viimeksi löydettiin.

Tämä luettelo voidaan suodattaa tuotekoodin, heikkouksien ja uhkien esiintymisen mukaan.

Näyttökuva laiteprofiilin Ohjelmistovarasto-välilehdestä Microsoft Defender-portaalissa

Haavoittuvat osat

Tässä kortissa on luettelo ohjelmisto-osista, jotka sisältävät haavoittuvuuksia.

Oletusnäkymä- ja suodatusasetukset ovat samat kuin ohjelmistossa.

Valitse kohde, jos haluat näyttää lisätietoja pikaikkunassa.

Selainlaajennukset

Tässä kortissa näkyvät laitteeseen asennetut selainlaajennukset. Näytetyt oletuskentät ovat laajennuksen nimi, selain, johon se on asennettu, versio, käyttöoikeusriski (laajennuksen pyytämien laitteiden tai sivustojen käyttöoikeuksien tyypin perusteella) ja tila. Vaihtoehtoisesti myös toimittaja voidaan näyttää.

Valitse kohde, jos haluat näyttää lisätietoja pikaikkunassa.

Todistukset

Tämä kortti näyttää kaikki laitteeseen asennetut varmenteet.

Oletusarvoisesti näytettävät kentät ovat varmenteen nimi, myöntämispäivämäärä, vanhentumispäivämäärä, avaimen koko, myöntäjä, allekirjoitusalgoritmi, avaimen käyttö ja esiintymien määrä.

Luettelo voidaan suodattaa tilan, itse allekirjoitetun tai ei, avaimen koon, allekirjoituksen hajautuksen ja avaimen käytön mukaan.

Valitse varmenne, jos haluat näyttää lisätietoja pikaikkunassa.

Havaitut haavoittuvuudet -välilehti

Tässä välilehdessä luetellaan kaikki yleiset haavoittuvuudet ja hyödynnykset, jotka voivat vaikuttaa laitteeseen.

Oletusnäkymässä luetellaan CVE:n vakavuus, CVE:hen liittyvä Common Vulnerability Score (CVSS), CVE:hen liittyvä ohjelmisto, kun CVE julkaistiin, kun CVE havaittiin ensimmäisen kerran ja päivitettiin viimeksi, sekä CVE:hen liittyvät uhat.

Kuten edellisissäkin välilehdissä, näytettävien sarakkeiden valintaa voidaan mukauttaa. Luettelo voidaan suodattaa vakavuuden, uhkatilan, laitteen altistumisen ja tunnisteiden mukaan.

Kohteen valitseminen tästä luettelosta avaa pikaikkunan, joka kuvaa CVE:ta.

Näyttökuva laiteprofiilin Havaitut haavoittuvuudet -välilehdestä Microsoft Defender portaalissa

KBS-välilehti puuttuu

Puuttuvat suorituskykyilmaisimet -välilehdessä luetellaan kaikki Microsoft-Päivitykset, joita ei ole vielä otettu käyttöön laitteessa. Kyseiset "KB:t" ovat Knowledge Base -artikkeleita, joissa näitä päivityksiä kuvataan. esimerkiksi KB4551762.

Oletusnäkymässä on luettelo tietoturvatiedotteesta, joka sisältää päivitykset, käyttöjärjestelmän version, KB-tunnusnumeron, tuotteet, joihin tämä vaikuttaa, osoitetut CV:t ja tunnisteet.

Näytettävien sarakkeiden valintaa voidaan mukauttaa.

Kohteen valitseminen avaa pikaikkunan, joka linkittää päivitykseen.

Sentinel tapahtumat -välilehti

Jos organisaatiosi Microsoft Sentinel Defender-portaaliin, tämä lisävälilehti on laitteen entiteettisivulla. Tämä välilehti tuo Isäntä-entiteettisivun Microsoft Sentinel.

Sentinel aikajana

Tämä aikajana näyttää laitteen entiteettiin liittyvät ilmoitukset, jotka tunnetaan Microsoft Sentinel isäntäentiteettinä. Näitä ilmoituksia ovat esimerkiksi Tapaukset ja hälytykset -välilehdellä näkyvät hälytykset sekä kolmansien osapuolten, muiden kuin Microsoftin tietolähteiden Microsoft Sentinel luomat hälytykset.

Tämä aikajana näyttää myös kirjanmerkityt metsästykset muista tutkimuksista, jotka viittaavat tähän käyttäjäentiteettiin, ulkoisten tietolähteiden käyttäjän toimintatapahtumiin ja epätavallisiin käyttäytymisiin, joita Microsoft Sentinel poikkeamasäännöt havaitsevat.

Oivalluksia

Entiteetin merkitykselliset tiedot ovat Microsoftin suojaustutkijoiden määrittämiä kyselyjä, joiden avulla voit tutkia asiaa tehokkaammin ja tehokkaammin. Nämä merkitykselliset tiedot esittävät automaattisesti suuria kysymyksiä laitteen entiteetistä ja tarjoavat arvokkaita suojaustietoja taulukkomuotoisten tietojen ja kaavioiden muodossa. Merkitykselliset tiedot sisältävät kirjautumisia, ryhmien lisäyksiä, prosessin suorituksia, poikkeavia tapahtumia ja paljon muuta koskevia tietoja sekä kehittyneitä koneoppimisalgoritmeja poikkeavan käyttäytymisen havaitsemiseksi.

Seuraavassa on joitakin näytettyjä merkityksellisiä tietoja:

  • Näyttökuva isännästä.
  • Microsoft havaitsi prosesseja, joita Microsoft ei ole allekirjoittanut.
  • Windowsin prosessin suoritustiedot.
  • Windowsin kirjautumistoiminta.
  • Tilien toiminnot.
  • Tapahtumalokit tyhjennys isännässä.
  • Ryhmän lisäykset.
  • Isäntien, käyttäjien ja isäntien ryhmien luettelointi.
  • Microsoft Defender Sovellusohjausobjekti.
  • Käsittele harvinaisuus entropy-laskutoimituksen avulla.
  • Suojaustapahtuman poikkeavan suuri määrä.
  • Katseluluettelon merkitykselliset tiedot (esikatselu).
  • Windows Defenderin virustentorjunta -tapahtumat.

Merkitykselliset tiedot perustuvat seuraaviin tietolähteisiin:

  • Syslog (Linux)
  • SecurityEvent (Windows)
  • AuditLogs (Microsoft Entra ID)
  • SigninLogs (Microsoft Entra ID)
  • OfficeActivity (Office 365)
  • BehaviorAnalytics (Microsoft Sentinel UEBA)
  • Syke (Azure Monitor -agentti)
  • CommonSecurityLog (Microsoft Sentinel)

Näyttökuva käyttäjän entiteettisivun Sentinel tapahtumien välilehdestä.

Jos haluat tutustua tarkemmin johonkin tämän paneelin merkityksellisiin tietoihin, valitse merkityksellisiä tietoja sisältävä linkki. Linkki vie sinut Kehittyneen metsästyksen sivulle, jossa se näyttää kyselyn merkityksellisten tietojen pohjana sekä sen raakatulokset. Voit muokata kyselyä tai porautua tuloksiin laajentaaksesi tutkimustasi tai vain tyydyttääksesi uteliaisuutesi.

Näyttökuva Kehittyneen metsästyksen näytöstä, jossa on merkityksellisten tietojen kysely.

Vastaustoiminnot

Vastaustoiminnot tarjoavat pikakuvakkeita uhkien analysointiin, tutkimiseen ja suojaamiseen.

Näyttökuva laitteen entiteettisivun toimintopalkista Microsoft Defender portaalissa.

Tärkeää

  • Vastaustoiminnot ovat käytettävissä vain, jos laite on rekisteröity Microsoft Defender for Endpoint.
  • Laitteet, jotka on rekisteröity Microsoft Defender for Endpoint, voivat näyttää eri määrän vastaustoimintoja laitteen käyttöjärjestelmän ja versionumeron perusteella.

Vastaustoiminnot suoritetaan tietyn laitesivun yläosassa, ja ne sisältävät seuraavat:

Toiminta Kuvaus
Laitteen arvo
Määritä kriittisyys
Tunnisteiden hallinta Päivitykset mukautettuja tunnisteita, joita olet käyttänyt tässä laitteessa.
Raporttilaitteen epätarkkuus
Suorita virustentorjuntatarkistus Päivitykset Microsoft Defender virustentorjuntaohjelman määrityksiä ja suorittaa heti virustentorjuntatarkistuksen. Valitse pikatarkistus- tai Täysi tarkistus -vaihtoehdon välillä.
Tutkimuspaketin kerääminen Kerää tietoja laitteesta. Kun tutkimus on valmis, voit ladata sen.
Rajoita sovelluksen suoritusta Estää Microsoftin allekirjoittamia sovelluksia suorittamasta.
Aloita automatisoitu tutkinta Tutkii ja korjaa uhat automaattisesti. Vaikka voit manuaalisesti käynnistää automaattisia tutkimuksia, jotka suoritetaan tältä sivulta, tietyt ilmoituskäytännöt käynnistävät automaattiset tutkimukset itse.
Aloita reaaliaikainen vastausistunto Lataa laitteelle etäliittymän perusteellista suojaustutkimusta varten.
Eristä laite Eristää laitteen organisaatiosi verkosta ja pitää sen yhteydessä Microsoft Defender. Voit sallia Outlookin, Teamsin ja Skype for Business suorittamisen, kun laite on eristetty, viestintätarkoituksiin.
Kysy Defenderin asiantuntijoilta
Toimintokeskus Näyttää parhaillaan käynnissä olevien vastaustoimintojen tiedot. Käytettävissä vain, jos toinen toiminto on jo valittu.
Lataa pakotetun julkaisun eristyskomentosarjasta
Sulkea pois
Mene metsästämään
Ota vianmääritystila käyttöön
Käytännön synkronointi

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.