Del via

Undersøk hendelser i Microsoft Defender for endepunkt

  • Artikkel

Gjelder for:

Undersøk hendelser som påvirker nettverket, forstå hva de betyr, og samle bevis for å løse dem.

Når du undersøker en hendelse, ser du:

  • Hendelsesdetaljer
  • Hendelseskommentarer og handlinger
  • Faner (varsler, enheter, undersøkelser, bevis, graf)

Analyser hendelsesdetaljer

Klikk en hendelse for å se Hendelse-ruten. Velg Åpne hendelse-siden for å se hendelsesdetaljene og relatert informasjon (varsler, enheter, undersøkelser, bevis, graf).

Detaljer om en hendelse

Varsler

Du kan undersøke varslene og se hvordan de ble koblet sammen i en hendelse. Varsler grupperes i hendelser basert på følgende årsaker:

  • Automatisert undersøkelse – Den automatiserte undersøkelsen utløste det koblede varselet mens du undersøkte det opprinnelige varselet
  • Filegenskaper – filene som er knyttet til varselet, har lignende egenskaper
  • Manuell tilknytning – En bruker koblet varslene manuelt
  • Proximate tid - Varslene ble utløst på samme enhet innen en viss tidsramme
  • Samme fil – filene som er knyttet til varselet, er nøyaktig de samme
  • Samme URL-adresse – URL-adressen som utløste varselet, er nøyaktig den samme

Varsler-fanen med siden med hendelsesdetaljer som viser årsakene til at varslene ble koblet sammen i den hendelsen

Du kan også behandle et varsel og se varselmetadata sammen med annen informasjon. Hvis du vil ha mer informasjon, kan du se Undersøke varsler.

Enheter

Du kan også undersøke enhetene som er en del av, eller er relatert til, en gitt hendelse. Hvis du vil ha mer informasjon, kan du se Undersøke enheter.

Siden Enheter-fanen i hendelsesdetaljer

Undersøkelser

Velg Undersøkelser for å se alle de automatiske undersøkelsene som startes av systemet som svar på hendelsesvarslingene.

Undersøkelsesfanen på siden med hendelsesdetaljer

Gå gjennom bevisene

Microsoft Defender for endepunkt undersøker automatisk alle hendelsenes støttede hendelser og mistenkelige enheter i varslene, noe som gir deg automatisk respons og informasjon om viktige filer, prosesser, tjenester og mer.

Hver av de analyserte enhetene merkes som infisert, utbedret eller mistenkelig.

Siden bevisfane i hendelsesdetaljer

Visualisering av tilknyttede trusler om cybersikkerhet

Microsoft Defender for endepunkt aggregerer trusselinformasjonen til en hendelse, slik at du kan se mønstrene og korrelasjonene som kommer inn fra ulike datapunkter. Du kan vise en slik korrelasjon gjennom hendelsesgrafen.

Hendelsesgraf

Graph forteller historien om cybersikkerhetsangrepet. Den viser deg for eksempel hva som var inngangspunktet, hvilken indikator for kompromiss eller aktivitet som ble observert på hvilken enhet. etc.

Hendelsesgrafen

Du kan klikke sirklene på hendelsesgrafen for å vise detaljene for skadelige filer, tilknyttede filgjenkjenninger, hvor mange forekomster som har vært over hele verden, om det har blitt observert i organisasjonen, i så fall hvor mange forekomster.

Siden med hendelsesdetaljer

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.