Jaa


Vastaustoimintoihin ryhtyminen laitteessa

Koskee seuraavia:

Tärkeää

Jotkin tämän artikkelin tiedot liittyvät tuotteen ennakkojulkaisuversioon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna mitään takuita tässä annettujen tietojen suhteen.

Reagoi nopeasti havaittuihin hyökkäyksiin eristämällä laitteita tai keräämällä tutkimuspaketti. Kun olet ottanut toiminnon käyttöön laitteissa, voit tarkistaa toimintotiedot toimintokeskuksessa.

Vastaustoiminnot suoritetaan tietyn laitesivun yläosassa, ja ne sisältävät seuraavat:

  • Tunnisteiden hallinta
  • Aloita automatisoitu tutkinta
  • Aloita reaaliaikainen vastausistunto
  • Kerää tutkimuspaketti
  • Suorita virustarkistus
  • Rajoita sovelluksen suoritusta
  • Eristä laite
  • Sisältää laitteen
  • Ota yhteyttä uhka-asiantuntijaan
  • Toimintokeskus

Näyttökuva, joka näyttää vastaustoiminnot laitesivun yläreunassa Microsoft Defender portaalissa.

Huomautus

Defender for Endpoint Plan 1 sisältää vain seuraavat manuaaliset vastaustoiminnot:

  • Suorita virustarkistus
  • Eristä laite
  • Pysäytä ja aseta tiedosto karanteeniin
  • Lisää ilmaisin tiedoston estämiseksi tai sallimiseksi.

Microsoft Defender for Business ei tällä hetkellä sisällä Lopeta ja aseta tiedosto karanteeniin -toimintoa.

Tilauksesi on sisällettävä Defender for Endpoint -palvelupaketti 2, jotta kaikki tässä artikkelissa kuvatut vastaustoiminnot voidaan ottaa käyttöön.

Laitesivut ovat mistä tahansa seuraavista näkymistä:

  • Ilmoitusjono: Valitse ilmoitusjonosta laitteen nimi laitteen kuvakkeen vierestä.
  • Laiteluettelo: Valitse laitteen nimen otsikko laiteluettelosta.
  • Hakuruutu: Valitse avattavasta valikosta Laite ja anna laitteen nimi.

Tärkeää

Lisätietoja kunkin vastaustoiminnon saatavuudesta ja tuesta on kunkin ominaisuuden tuetuissa käyttöjärjestelmävaatimuksissa.

Tunnisteiden hallinta

Luo looginen ryhmäliitos lisäämällä tunnisteita tai hallitsemalla tunnisteita. Laitetunnisteet tukevat verkon asianmukaista yhdistämismääritystä, jonka avulla voit liittää eri tunnisteita kontekstin sieppaamiseksi ja ottaa käyttöön dynaamisen luettelon luomisen osana tapausta.

Lisätietoja laitteen tunnisteista on kohdassa Laitetunnisteiden luominen ja hallinta.

Aloita automatisoitu tutkinta

Voit aloittaa uuden, yleiskäyttöön perustuvan automatisoidun tutkinnan laitteessa tarvittaessa. Kun tutkimus on käynnissä, kaikki muut laitteesta luodut hälytykset lisätään meneillään olevaan automatisoituun tutkimukseen, kunnes tutkimus on valmis. Lisäksi jos sama uhka näkyy muissa laitteissa, nämä laitteet lisätään tutkintaan.

Lisätietoja automatisoiduista tutkimuksista on artikkelissa Yleiskatsaus automatisoiduista tutkimuksista.

Aloita reaaliaikainen vastausistunto

Reaaliaikainen vastaus on ominaisuus, jonka avulla voit käyttää laitetta välittömästi käyttämällä etäliittymäyhteyttä. Näin voit tehdä perusteellista tutkimustyötä ja ryhtyä välittömiin toimiin tunnistettujen uhkien nopeaan hillitsemiseen reaaliajassa.

Reaaliaikainen reagointi on suunniteltu parantamaan tutkimuksia siten, että voit kerätä rikosteknisiä tietoja, suorittaa komentosarjoja, lähettää epäilyttäviä entiteettejä analysoitaviksi, korjata uhkia ja etsiä ennakoivasti uusia uhkia.

Lisätietoja live-vastauksesta on kohdassa Laitteiden entiteettien tutkiminen reaaliaikaisen vastauksen avulla.

Tutkimuspaketin kerääminen laitteista

Osana tutkinta- tai vastausprosessia voit kerätä tutkimuspaketin laitteesta. Keräämällä tutkimuspaketin voit tunnistaa laitteen nykyisen tilan ja ymmärtää tarkemmin hyökkääjän käyttämiä työkaluja ja tekniikoita.

Voit ladata paketin (zip-kansio) ja tutkia laitteessa tapahtuneita tapahtumia seuraavasti:

  1. Valitse Kerää tutkimuspaketti laitteen sivun yläreunan vastaustoimintojen riviltä.

  2. Määritä tekstiruudussa, miksi haluat suorittaa tämän toiminnon. Valitse Vahvista.

  3. Zip-tiedosto ladataan.

Vaihtoehtoisesti voit tehdä tämän vaihtoehtoisesti:

  1. Valitse laitesivun vastaustoimintojen osiosta Kerää tutkimuspaketti .

    Kuva tutkintapaketin keräämisestä

  2. Lisää kommentteja ja valitse sitten Vahvista.

    Kuva kommentin vahvistamisesta

  3. Valitse toimintokeskus laitteen sivun vastaustoimintojen osiosta.

    Kuva toimintokeskuksesta

  4. Lataa kokoelmapaketti valitsemalla Pakettikokoelma-paketti .

    Kuva latauspaketista

Windows-laitteiden tutkimuspaketin sisältö

Windows-laitteissa paketti sisältää seuraavassa taulukossa kuvatut kansiot:

Kansio Kuvaus
Automaattiset ajot Sisältää joukon tiedostoja, jotka kukin edustavat tunnetun automaattisen käynnistyksen aloituspisteen (ASEP) rekisterin sisältöä, jotta voidaan tunnistaa hyökkääjän pysyvyys laitteessa.

Jos rekisteriavainta ei löydy, tiedosto sisältää seuraavan sanoman: "VIRHE: Järjestelmä ei löytänyt määritettyä rekisteriavainta tai -arvoa."
Asennetut ohjelmat Tämä .CSV tiedosto sisältää luettelon asennetuista ohjelmista, joiden avulla voidaan tunnistaa, mitä laitteeseen on asennettu. Lisätietoja on kohdassa Win32_Product luokka.
Verkkoyhteydet Tämä kansio sisältää joukon arvopisteitä, jotka liittyvät yhteystietoihin ja joiden avulla voidaan tunnistaa yhteydet epäilyttäviin URL-osoitteisiin, hyökkääjän komento- ja hallintainfrastruktuuriin (C&C), mahdollisiin sivuttaisiin siirtoihin tai etäyhteyksiin.

- ActiveNetConnections.txt: Näyttää protokollatilastot ja nykyiset TCP/IP-verkkoyhteydet. Tämän avulla voit etsiä epäilyttävää yhteyttä, jonka prosessi on tehnyt.

- Arp.txt: Näyttää nykyisen osoitteenratkaisuprotokollan (ARP) välimuistitaulukot kaikille liittymiä varten. ARP-välimuisti voi paljastaa muita verkon isäntiä, jotka olivat vaarantuneet tai epäilyttävät järjestelmät verkossa, joita voidaan käyttää sisäisen hyökkäyksen suorittamiseen.

- DnsCache.txt: Näyttää DNS-asiakkaan selvitystoiminnon välimuistin sisällön, joka sisältää sekä paikallisesta Hosts-tiedostosta esiladatut merkinnät että tietokoneen ratkaisemia nimikyselyitä koskevat äskettäin hankitut resurssitietueet. Tämä voi auttaa epäilyttävien yhteyksien tunnistamisessa.

- IpConfig.txt: Näyttää kaikkien sovitinten koko TCP/IP-määrityksen. Sovittimet voivat edustaa fyysisiä liittymiä, kuten asennettuja verkkosovittimia tai loogisia liittymiä, kuten puhelinverkkoyhteyksiä.

- FirewallExecutionLog.txt ja pfirewall.log

Tiedoston pfirewall.log on oltava kohteessa %windir%\system32\logfiles\firewall\pfirewall.log, joten se sisältyy tutkimuspakettiin. Lisätietoja palomuurin lokitiedoston luomisesta on kohdassa Windowsin palomuurin määrittäminen laajennetun suojauslokin avulla.
Tiedostojen ennakkosyötteenä Windows Prefetch -tiedostot on suunniteltu nopeuttamaan sovelluksen käynnistysprosessia. Sen avulla voidaan seurata kaikkia järjestelmässä viimeksi käytettyjä tiedostoja ja etsiä jäljitystä sovelluksista, jotka voidaan poistaa, mutta jotka löytyvät edelleen prefetch-tiedostoluettelosta.

- Prefetch folder: Sisältää esisyötteen tiedostojen kopion kohteesta %SystemRoot%\Prefetch. Suosittelemme, että lataat prefetch-tiedoston katseluohjelma, jotta voit tarkastella prefetch-tiedostoja.

- PrefetchFilesList.txt: Sisältää luettelon kaikista kopioiduista tiedostoista, joiden avulla voidaan seurata, onko prefetch-kansiossa kopiointivirheitä.
Vuorokausi Sisältää .CSV tiedoston, jossa luetellaan käynnissä olevat prosessit, ja sen avulla voidaan tunnistaa laitteessa käynnissä olevat nykyiset prosessit. Tästä voi olla hyötyä, kun tunnistetaan epäilyttävä prosessi ja sen tila.
Ajoitetut tehtävät Sisältää .CSV -tiedoston, jossa luetellaan ajoitetut tehtävät, joiden avulla voidaan tunnistaa rutiinit, jotka suoritetaan automaattisesti valitussa laitteessa, jotta voidaan etsiä epäilyttävää koodia, joka on määritetty suoritettavaksi automaattisesti.
Suojaustapahtumaloki Sisältää suojauksen tapahtumalokin, joka sisältää kirjautumis- tai uloskirjautumistoimintojen tietueet tai muut järjestelmän valvontakäytännössä määritetyt suojaukseen liittyvät tapahtumat.

Avaa tapahtumalokitiedosto tapahtumien katseluohjelmalla.
Palvelut Sisältää .CSV -tiedoston, jossa luetellaan palvelut ja niiden tilat.
Windows Server SMB (Message Block) -istunnot Lists tiedostojen, tulostimien ja sarjaporttien ja verkon solmujen välisen sekalaisen viestinnän jaettuja käyttöoikeuksia. Tämä voi auttaa tunnistamaan tietojen suodattimen tai sivuttaisen siirron.

Sisältää tiedostot ille SMBInboundSessions ja SMBOutboundSession. Jos istuntoja (saapuvia tai lähteviä) ei ole, saat tekstitiedoston, joka kertoo, että SMB-istuntoja ei löytynyt.
Järjestelmän tiedot SystemInformation.txt Sisältää tiedoston, jossa on luettelo järjestelmätiedoista, kuten käyttöjärjestelmän versioista ja verkkokorteista.
Tilapäiset hakemistot Sisältää tekstitiedostojoukon, jossa luetellaan tiedostot, jotka sijaitsevat %Temp% jokaiselle järjestelmän käyttäjälle. Tämä voi auttaa seuraamaan epäilyttäviä tiedostoja, jotka hyökkääjä on saattanut pudottaa järjestelmään.

Jos tiedosto sisältää seuraavan sanoman: "Järjestelmä ei löydä määritettyä polkua", se tarkoittaa, että tälle käyttäjälle ei ole väliaikaista hakemistoa, ja syynä voi olla se, että käyttäjä ei kirjautunut järjestelmään.
Käyttäjät ja Ryhmät Sisältää luettelon tiedostoista, jotka kukin edustavat ryhmää ja sen jäseniä.
WdSupportLogs Tarjoaa ja MPSupportFiles.cab-MpCmdRunLog.txtkohteen. Tämä kansio luodaan vain Windows 10 versiossa 1709 tai sitä uudemmassa versiossa, johon on asennettu helmikuun 2020 päivityskokoelma tai uudemmat versiot:

- Voitto10 1709 (RS3) -koontiversio 16299.1717: KB4537816

- Voitto10 1803 (RS4) -koontiversio 17134.1345: KB4537795

- Voitto10 1809 (RS5) -koontiversio 17763.1075: KB4537818

- Win10 1903/1909 (19h1/19h2) Koontiversiot 18362.693 ja 18363.693: KB4535996
CollectionSummaryReport.xls Tämä tiedosto on yhteenveto tutkimuspakettikokoelmasta, se sisältää arvopisteiden luettelon, tietojen poimimiseen käytetyn komennon, suorituksen tilan ja virhekoodin, jos virhe tapahtuu. Tämän raportin avulla voit seurata, sisältääkö paketti kaikki odotetut tiedot, ja tunnistaa, onko virheitä.

Mac- ja Linux-laitteiden tutkimuspaketin sisältö

Seuraavassa taulukossa on lueteltu Mac- ja Linux-laitteiden kokoelmapakettien sisältö:

Objekti macOS Linux
Sovellukset Luettelo kaikista asennetuista sovelluksista Ei käytettävissä
Levyasema - Vapaan tilan määrä
- Kaikkien käyttöön otettujen levyasemien luettelo
- Kaikkien osioiden luettelo
- Vapaan tilan määrä
- Kaikkien käyttöön otettujen levyasemien luettelo
- Kaikkien osioiden luettelo
Tiedosto Luettelo kaikista avoimista tiedostoista, jotka vastaavat näitä tiedostoja käyttäviä prosesseja Luettelo kaikista avoimista tiedostoista, jotka vastaavat näitä tiedostoja käyttäviä prosesseja
Historia Shell-historia Ei käytettävissä
Ytimen moduulit Kaikki ladatut moduulit Ei käytettävissä
Verkkoyhteydet - aktiiviset yhteydet
- aktiiviset kuunteluyhteydet
- ARP-taulukko
- Palomuurisäännöt
- Liittymämääritys
- Välityspalvelimen asetukset
- VPN-asetukset
- aktiiviset yhteydet
- aktiiviset kuunteluyhteydet
- ARP-taulukko
- Palomuurisäännöt
- IP-luettelo
- Välityspalvelimen asetukset
Vuorokausi Luettelo kaikista käynnissä olevista prosesseista Luettelo kaikista käynnissä olevista prosesseista
Palvelut ja ajoitetut tehtävät -Todistukset
- Määritysprofiilit
- Laitteistotiedot
- Suorittimen tiedot
- Laitteistotiedot
- Käyttöjärjestelmän tiedot
Järjestelmän suojaustiedot - Extensible Firmware Interface (EFI) -eheystiedot
- Palomuurin tila
- Haittaohjelmien poistotyökalun (MRT) tiedot
- Järjestelmän eheyden suojauksen (SIP) tila
Ei käytettävissä
Käyttäjät ja ryhmät - Kirjautumishistoria
- Sudoers
- Kirjautumishistoria
- Sudoers

Suorita virustentorjuntaohjelman Microsoft Defender laitteissa

Osana tutkinta- tai reagointiprosessia voit aloittaa virustentorjuntatarkistuksen etäyhteydellä tunnistaaksesi ja korjataksesi haittaohjelmia, jotka saattavat olla vaarantuneessa laitteessa.

Tärkeää

Olet valinnut Suorita virustentorjuntatarkistus, valitse suoritettava tarkistustyyppi (nopea tai täysi) ja lisää kommentti ennen tarkistuksen vahvistamista.

Ilmoitus pika tarkistuksen tai täyden tarkistuksen valitsemisesta ja kommentin lisäämisesta

Toimintokeskus näyttää tarkistustiedot ja laitteen aikajanalla on uusi tapahtuma, joka vastaa, että laitteeseen on lähetetty tarkistustoiminto. Microsoft Defender virustentorjuntahälytykset kuvastavat tarkistuksen aikana esiin nousseet tunnistuksia.

Huomautus

Kun käynnistät tarkistuksen Defender for Endpoint -vastaustoiminnon avulla, Microsoft Defender virustentorjuntaohjelman ScanAvgCPULoadFactor arvo on käytössä ja rajoittaa tarkistuksen suoritinvaikutusta. Jos ScanAvgCPULoadFactor tätä ei ole määritetty, oletusarvo on suorittimen enimmäiskuormitusraja tarkistuksen aikana 50 %. Lisätietoja on kohdassa configure-advanced-scan-types-microsoft-defender-antivirus.

Rajoita sovelluksen suoritusta

Sen lisäksi, että voit sisältää hyökkäyksen pysäyttämällä haitallisia prosesseja, voit myös lukita laitteen ja estää mahdollisesti haitallisten ohjelmien myöhempien yritysten suorittamisen.

Tärkeää

  • Tämä toiminto on käytettävissä laitteissa, joissa on Windows 10, versio 1709 tai uudempi versio, Windows 11 ja Windows Server 2019 tai uudempi versio.
  • Tämä ominaisuus on käytettävissä, jos organisaatiosi käyttää Microsoft Defender virustentorjuntaohjelmaa.
  • Tämän toiminnon on täytettävä Windows Defenderin sovellusohjausobjektin koodin eheyskäytäntömuodot ja allekirjoitusvaatimukset. Lisätietoja on artikkelissa Koodin eheyskäytännön muodot ja allekirjoittaminen.

Sovelluksen suorittamisen rajoittamiseksi käytetään koodin eheyskäytäntöä, joka sallii tiedostojen suorittamisen vain, jos ne on allekirjoitettu Microsoftin myöntämällä varmenteella. Tämä rajoitusmenetelmä voi auttaa estämään hyökkääjää hallitsemasta vaarantuneita laitteita ja suorittamasta muita haitallisia toimia.

Huomautus

Voit milloin tahansa kumota sovellusten käytön rajoittamisen. Laitteen sivulla oleva painike muuttuu niin, että siinä lukee Poista sovellusrajoitukset, ja suoritat sitten samat vaiheet kuin sovelluksen suorittamisen rajoittaminen.

Kun olet valinnut laitteen sivulla Rajoita sovelluksen suorittamista , kirjoita kommentti ja valitse Vahvista. Toimintokeskus näyttää skannaustiedot ja laitteen aikajanalla on uusi tapahtuma.

Sovellusrajoitusilmoitus

Ilmoitus laitteen käyttäjälle

Kun sovellus on rajoitettu, näyttöön tulee seuraava ilmoitus, joka ilmoittaa käyttäjälle, että sovelluksen suorittamista on rajoitettu:

Sovellusrajoitussanoma

Huomautus

Ilmoitus ei ole saatavilla Windows Server 2016 ja Windows Server 2012 R2.

Eristä laitteet verkosta

Hyökkäyksen vakavuuden ja laitteen luottamuksellisuuden mukaan saatat haluta eristää laitteen verkosta. Tämä toiminto voi auttaa estämään hyökkääjää hallitsemasta vaarantunutta laitetta ja suorittamasta lisätoimia, kuten tietojen suodatusta ja sivuttaista siirtoa.

Tärkeät seikat, jotka on syytä pitää mielessä:

  • Laitteiden eristämistä verkosta tuetaan macOS:ssä asiakasversiossa 101.98.84 tai uudemman version kanssa. Voit myös käyttää reaaliaikaista vastausta toiminnon suorittamiseen. Lisätietoja live-vastauksesta on kohdassa Laitteiden entiteettien tutkiminen reaaliaikaisen vastauksen avulla
  • Täysi eristys on käytettävissä laitteissa, joissa on käytössä Windows 11, Windows 10 versio 1703 tai uudempi, Windows Server 2022, Windows Server 2019, Windows Server 2016 ja Windows Server 2012 R2.
  • Voit käyttää laitteen eristysominaisuutta kaikissa tuetuissa linux-Microsoft Defender for Endpoint, jotka on lueteltu järjestelmävaatimuksissa. Varmista, että seuraavat edellytykset ovat käytössä:
    • iptables
    • ip6tables
    • Linux-ydin, jossa on CONFIG_NETFILTER, CONFID_IP_NF_IPTABLESja CONFIG_IP_NF_MATCH_OWNER
  • Valikoiva eristys on käytettävissä laitteissa, joissa on käytössä Windows 10 versio 1709 tai uudempi versio ja Windows 11.
  • Kun laite eristetään, vain tietyt prosessit ja kohteet sallitaan. Täten täyden VPN-tunnelin takana olevat laitteet eivät pääse Microsoft Defender for Endpoint pilvipalveluun laitteen eristämisen jälkeen. Suosittelemme, että käytät jaettua tunnelointi-VPN:ää Microsoft Defender for Endpoint ja Microsoft Defender virustentorjuntaan pilvipohjaisessa suojaukseen liittyvässä liikenteessä.
  • Ominaisuus tukee VPN-yhteyttä.
  • Sinulla on oltava vähintään Active remediation actions määritetty rooli. Lisätietoja on artikkelissa Roolien luominen ja hallinta.
  • Sinulla on oltava laitteen käyttöoikeus laiteryhmän asetusten perusteella. Lisätietoja on kohdassa Laiteryhmien luominen ja hallinta.
  • Poissulkemisia, kuten sähköpostia, viestisovellusta ja muita sovelluksia sekä macOS- että Linux-eristykseen, ei tueta.
  • Eristetty laite poistetaan eristyksestä, kun järjestelmänvalvoja muokkaa tai lisää uuden iptable säännön eristettyun laitteeseen.
  • Microsoft Hyper-V suoritettavan palvelimen eristäminen estää verkkoliikenteen kaikkiin palvelimen ali näennäiskoneisiin.

Laitteen eristysominaisuus katkaisee vaarantuneen laitteen verkosta säilyttäen samalla yhteyden Defender for Endpoint -palveluun, joka jatkaa laitteen valvontaa. Windows 10 versiossa 1709 tai uudemmassa voit käyttää valikoivaa eristämistä, jotta voit hallita paremmin verkon eristystasoa. Voit myös ottaa Käyttöön Outlookin ja Microsoft Teamsin yhteyden.

Huomautus

Voit yhdistää laitteen uudelleen verkkoon milloin tahansa. Laitteen sivulla oleva painike muuttuu niin, että Vapauta eristyksestä, ja suoritat sitten samat vaiheet kuin laitteen eristäminen.

Kun olet valinnut laitesivulta Eristä laite , kirjoita kommentti ja valitse Vahvista. Toimintokeskus näyttää skannaustiedot ja laitteen aikajanalla on uusi tapahtuma.

Eristetyn laitteen tietosivu

Huomautus

Laite pysyy yhteydessä Defender for Endpoint -palveluun, vaikka se olisi eristetty verkosta. Jos olet ottanut Käyttöön Outlookin ja Skype for Business tietoliikenteen, pystyt viestimään käyttäjälle, kun laite on eristetty. Valikoiva eristys toimii vain Outlookin ja Microsoft Teamsin perinteisissä versioissa.

Vapauta laite väkisin eristyksestä

Laitteen eristysominaisuus on korvaamaton työkalu laitteiden suojaamiseksi ulkoisilta uhilta. On kuitenkin tapauksia, joissa eristetyt laitteet eivät vastaa.

Näille esiintymille on ladattava komentosarja, jonka avulla voit vapauttaa laitteet väkisin eristyksestä. Komentosarja on käytettävissä käyttöliittymässä olevan linkin kautta.

Huomautus

  • Järjestelmänvalvojat ja suojausasetusten hallinta tietoturvakeskuksessa voivat vapauttaa laitteita väkisin eristyksestä.
  • Komentosarja on kelvollinen vain tietylle laitteelle.
  • Komentosarja vanhenee kolmen päivän kuluttua.

Laitteen vapauttaminen väkisin eristyksestä:

  1. Valitse laitteen sivulla Lataa komentosarja, jos haluat pakottaa laitteen vapauttamisen eristyksestä toimintovalikosta.

  2. Valitse oikealla olevassa ruudussa Lataa komentosarja.

Laitteen vapautuksen vähimmäisvaatimukset

Jos haluat vapauttaa laitteen väkisin eristyksestä, laitteessa on oltava Windows käytössä. Seuraavia versioita tuetaan:

  • Windows 10 21H2 ja 22H2 yhdessä KB-KB5023773 kanssa.
  • Windows 11 versiossa 21H2 kaikki versiot, joissa on KB5023774.
  • Windows 11 versio 22H2, kaikki versiot, joissa on KB5023778.

Ilmoitus laitteen käyttäjälle

Kun laite eristetään, näyttöön tulee seuraava ilmoitus, joka ilmoittaa käyttäjälle, että laite eristetään verkosta:

Ei verkkoyhteyttä -viesti

Huomautus

Ilmoitus ei ole käytettävissä muissa kuin Windows-ympäristöissä.

Sisältää laitteet verkosta

Kun olet tunnistanut hallitsemattoman laitteen, joka on vaarantunut tai mahdollisesti vaarantunut, haluat ehkä sisältää kyseisen laitteen verkosta estääksesi mahdollisen hyökkäyksen siirtymisen sivuttain verkon läpi. Kun sisällytät laitteen, mikä tahansa Microsoft Defender for Endpoint perehdytetyssä laitteessa estää saapuvan ja lähtevän tietoliikenteen kyseisen laitteen kanssa. Tämä toiminto voi auttaa estämään naapurilaitteiden vaarantumisen samalla, kun suojaustoimintojen analyytikko paikantaa, tunnistaa ja korjaa uhan vaarantuneessa laitteessa.

Huomautus

Saapuvan ja lähtevän tietoliikenteen estämistä "suljetulla" laitteella tuetaan perehdytetyissä Microsoft Defender for Endpoint Windows 10 ja Windows Server 2019+ -laitteissa.

Kun laitteet on eristetty, suosittelemme tutkimaan ja korjaamaan uhan laitteissa mahdollisimman pian. Korjauksen jälkeen sinun tulee poistaa laitteet eristyksestä.

Laitteen sisällytys

  1. Siirry Laitteen varasto -sivulle ja valitse sisällytettävä laite.

  2. Valitse Laitteen pikaikkunan Toiminnot-valikosta Sisällytä laite .

    Näyttökuva laitteen sisältävän ponnahdusikkunan viestistä.

  3. Kirjoita Sisällytä laite -ponnahdusikkunaan kommentti ja valitse Vahvista.

Näyttökuva laitteen sisältävän valikon kohteesta.

Tärkeää

Jos laitteita on paljon, ne saattavat aiheuttaa suorituskykyongelmia Defenderissä päätepisteillä kytketyissä laitteissa. Microsoft suosittelee, että enintään 100 laitetta sisältää kerrallaan enintään 100 laitetta ongelmien välttämiseksi.

Laitteen sisällytys laitteen sivulta

Laite voidaan sisältää myös laitteen sivulla valitsemalla Toimintoriviltä Sisällytä laite :

Näyttökuva laitteen sivun laitteen sisältävän valikon kohteesta.

Huomautus

Saattaa kestää jopa viisi minuuttia, ennen kuin uuden laitteen tiedot tavoittavat Microsoft Defender for Endpoint perehdytetyissä laitteissa.

Tärkeää

  • Jos sisällytetty laite muuttaa IP-osoitettaan, kaikki Microsoft Defender for Endpoint perehdytetyissä laitteissa tunnistavat tämän ja alkavat estää yhteydenpidon uuteen IP-osoitteeseen. Alkuperäistä IP-osoitetta ei enää estetä (muutosten näkeminen voi kestää jopa viisi minuuttia).
  • Jos laitteen sisältämää IP-osoitetta käytetään verkon toisessa laitteessa, laitteen sisältävässä laitteessa on varoitus, jossa on linkki kehittyneeseen metsästykseen (esitäytetyllä kyselyllä). Tämä tarjoaa näkyvyyden muille laitteille, jotka käyttävät samaa IP-osoitetta ja auttavat sinua tekemään tietoisen päätöksen, jos haluat jatkaa laitteen sisältämistä.
  • Jos sisällytetty laite on verkkolaite, näyttöön tulee varoitus, joka ilmoittaa, että tämä voi aiheuttaa verkkoyhteysongelmia (esimerkiksi sisältää reitittimen, joka toimii oletusyhdyskäytävänä). Tässä vaiheessa voit valita, haluatko sisältää laitteen vai et.

Kun olet sisältänyt laitteen, jos toiminta ei vastaa odotettua, varmista, että BFE (Base Filtering Engine) -palvelu on käytössä Defender for Endpoint -laitteissa.

Lopeta laitteen lisääminen

Voit lopettaa laitteen sisältämisen milloin tahansa.

  1. Valitse laite laitteen varastosta tai avaa laitesivu.

  2. Valitse toimintovalikosta Vapauta eristystoiminnosta . Tämä toiminto palauttaa tämän laitteen yhteyden verkkoon.

Sisällytä verkon käyttäjä

Kun verkon käyttäjätiedot saattavat vaarantua, sinun on estettävä käyttäjätietoja käyttämästä verkkoa ja eri päätepisteitä. Defender for Endpoint voi sisältää identiteetin, estää sen käytön ja auttaa ehkäisemään hyökkäyksiä, erityisesti kiristysohjelmia. Kun käyttäjätiedot sisältyvät, kaikki tuetut Microsoft Defender for Endpoint perehdytetyssä laitteessa estävät saapuvan liikenteen tiettyihin hyökkäyksiin liittyviin protokolliin (verkkokirjautumiset, RPC, SMB, RDP), lopettavat meneillään olevat etäistunnot ja uloskirjaavat olemassa olevat RDP-yhteydet (itse istunnon päättäminen, mukaan lukien kaikki siihen liittyvät prosessit), ja ottaa laillisen liikenteen käyttöön. Tämä toiminto voi auttaa vähentämään merkittävästi hyökkäyksen vaikutusta. Kun käyttäjätiedot on sisällytetty, suojaustoimintojen analyytikoilla on ylimääräistä aikaa paikantaa, tunnistaa ja korjata vaarantuneen identiteetin uhka.

Huomautus

Saapuvan tietoliikenteen estämistä "eristyneen" käyttäjän kanssa tuetaan perehdytetyissä Microsoft Defender for Endpoint Windows 10 ja 11 laitteessa (sense-versio 8740 tai uudempi), Windows Server 2019+ -laitteissa sekä Windows Servers 2012R2- ja 2016-laitteissa modernin agentin kanssa.

Tärkeää

Kun Sisällytä käyttäjä -toiminto on otettu käyttöön toimialueen ohjauskoneessa, se käynnistää GPO-päivityksen oletustoimialueen ohjauskonekäytännössä. Ryhmäkäytäntöobjektin muutos aloittaa synkronoinnin ympäristösi toimialueen ohjauskoneissa. Tämä on odotettua toimintaa, ja jos valvot ympäristöäsi AD GPO -muutosten vuoksi, saatat saada ilmoituksen tällaisista muutoksista. Jos Kumoat Sisällytä käyttäjä -toiminnon, ryhmäkäytäntöobjektin muutokset palautetaan aiempaan tilaan, jolloin AD-ryhmäkäytäntöobjektit synkronoidaan uudelleen ympäristössäsi. Lue lisätietoja toimialueen ohjauskoneiden suojauskäytäntöjen yhdistämisestä.

Käyttäjän sisällytys

Tällä hetkellä sisältävät käyttäjät ovat käytettävissä automaattisesti vain automaattisen hyökkäyshäiriön avulla. Kun Microsoft havaitsee käyttäjän vaarantuvan Sisällytä käyttäjä -käytäntö määritetään automaattisesti.

Näytä käyttäjän toimintojen sisällytys

Kun käyttäjä on sisällytetty, voit tarkastella toimintoa toimintokeskuksen historianäkymässä. Tässä näet, milloin toiminto tapahtui ja ketkä organisaatiosi käyttäjät olivat sisällä:

Näytä käyttäjän sisältämä toiminto toimintokeskuksessa

Lisäksi sen jälkeen, kun käyttäjätietoja pidetään "sisällytettyinä", Defender for Endpoint estää tämän käyttäjän, eikä hän voi suorittaa haitallisia sivuttaisliikkeitä tai etäsalausta laitteessa tai millekään tuetulle Defender for Endpoint -laitteelle. Nämä lohkot näkyvät hälytyksinä, joiden avulla näet nopeasti laitteet, joita vaarantunut käyttäjä yritti käyttää, ja mahdolliset hyökkäystekniikat:

Näyttää käyttäjän sisältävän sivuttaisen siirtolohkotapahtuman

Kumoa käyttäjän toimintojen sisällytys

Voit vapauttaa käyttäjän lohkot ja eristämisen milloin tahansa:

  1. Valitse Sisällytä käyttäjä -toiminto toimintokeskuksessa. Valitse sivuruudussa Kumoa.

  2. Valitse käyttäjä joko käyttäjävarastosta, Tapaus-sivun sivuruudusta tai ilmoituksen sivuruudusta ja valitse Kumoa.

Tämä toiminto palauttaa käyttäjän yhteyden verkkoon.

Näyttää toimintokeskuksen käyttäjän kumousasetuksen

Tutkintaan liittyvät ominaisuudet, joissa on käyttäjä

Kun käyttäjä on hallinnassa, voit tutkia mahdollisen uhan tarkastelemalla vaarantuneen käyttäjän estämiä toimintoja. Laitteen aikajananäkymässä näet tietoja tietyistä tapahtumista, kuten protokollan ja käyttöliittymän askelvälistä sekä siihen liittyvästä MITRE-tekniikasta.

Näyttää estettyjen tapahtumien tiedot tietyille käyttäjille

Lisäksi voit laajentaa tutkimusta käyttämällä kehittynyttä metsästystä. Etsi taulukossa mikä tahansa toimintotyyppi, joka alkaa merkkijonolla .DeviceEvents Sen jälkeen voit tarkastella kaikkia eri yksittäislohkotapahtumia suhteessa vuokraajasi käyttäjän lisäämiseen, syventyä tarkemmin kunkin lohkon kontekstiin ja poimia kyseisiin tapahtumiin liittyvät eri entiteetit ja tekniikat.

Näyttää käyttäjän kehittyneen metsästyksen sisältävät tapahtumia

Ota yhteyttä uhka-asiantuntijaan

Voit pyytää Microsoftin uhka-asiantuntijalta lisätietoja mahdollisesti vaarantuneesta laitteesta tai jo vaarantuneista laitteista. Microsoftin uhka-asiantuntijat voidaan käyttää suoraan Microsoft Defender XDR sisällä oikea-aikaista ja tarkkaa vastausta varten. Asiantuntijat tarjoavat merkityksellisiä tietoja paitsi mahdollisesti vaarantuneesta laitteesta, myös ymmärtääkseen paremmin monimutkaisia uhkia, saamiasi kohdennettuja hyökkäysilmoituksia tai jos tarvitset lisätietoja ilmoituksista tai uhkatietokontekstista, jonka näet portaalin koontinäytössä.

Lisätietoja on kohdassa Päätepisteiden hyökkäysilmoitusten määrittäminen ja hallinta .

Toiminnon tietojen tarkistaminen toimintokeskuksessa

Toimintokeskus (https://security.microsoft.com/action-center) antaa tietoja laitteessa tai tiedostossa tehdyistä toiminnoista. Voit tarkastella seuraavia tietoja:

  • Tutkimuspaketin kerääminen
  • Virustentorjuntatarkistus
  • Sovellusrajoitus
  • Laitteen eristys

Näytetään myös kaikki muut liittyvät tiedot, kuten lähetyspäivämäärä/-kellonaika, käyttäjän lähettäminen ja se, onnistuiko vai epäonnistuiko toiminto.

Toimintokeskus, jossa on tietoja

Tutustu myös seuraaviin ohjeartikkeleihin:

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.