Microsoft Defender for endepunkt rapporter
Gjelder for:
- Microsoft Defender for endepunkt plan 1
- Microsoft Defender for endepunkt plan 2
- Microsoft Defender XDR
Denne artikkelen gir en oversikt over rapportene som er tilgjengelige for Microsoft Defender for endepunkt brukere. Den gir informasjon om ulike rapporter som kan brukes til å samle inn data, oppsummere funn og innhente anbefalte handlinger når det er aktuelt.
Månedlig sikkerhetssammendrag
Den månedlige rapporten over sikkerhetssammendrag hjelper organisasjoner med å få et visuelt sammendrag av viktige funn og generelle forebyggende tiltak for å forbedre organisasjonens generelle sikkerhetsstilling som er fullført i løpet av de siste 30 eller 90 dagene. Det hjelper deg med å identifisere områder med styrke og forbedringer, spore fremdriften over tid og prioritere handlinger basert på risiko og innvirkning.
Gå til Månedssikkerhetssammendrag > for rapporter >for å få tilgang til denne rapporten. Den månedlige sikkerhetssammendragsrapporten inneholder følgende deler:
| Seksjon | Beskrivelse |
|---|---|
| Microsoft Sikkerhetsvurdering | Microsoft Secure Score er en måling av organisasjonens sikkerhetsstilling og hvor godt du har implementert anbefalte fremgangsmåter og anbefalinger for sikkerhet på tvers av enhetene i organisasjonen. Kortet for sikker poengsum viser hvordan den generelle cybersikkerhetsstyrken til en organisasjon har forbedret seg den siste måneden, og hvordan den er sammenlignet med andre selskaper med tilsvarende antall administrerte enheter. |
| Sikker poengsum sammenlignet med andre organisasjoner | Denne poengsummen er en evaluering av en organisasjons sikkerhetspoengsum i forhold til organisasjoner av lignende størrelse. Det er en måte å måle ytelsen til en organisasjon på når det gjelder implementering av sikkerhetstiltak sammenlignet med andre organisasjoner av tilsvarende størrelse. |
| Enheter pålastet | Enhetskortet gir informasjon om antall enheter som var pålastet den siste måneden, samt enheter som fortsatt ikke er pålastet. Pålastingsenheter er avgjørende for å aktivere beskyttelses- og gjenkjenningsfunksjoner. |
| Beskyttelse mot spesifikke trusler | Dette kortet viser hvor effektivt forsvaret ditt er mot vanlige angrepsvektorer som phishing og ransomware. Et høyere tall indikerer bedre forsvar på plass mot phishing og løsepengevirus. Rapporten viser hvor mange trusler som ble blokkert eller redusert den siste måneden, og hvordan beskyttelsesnivået har økt. |
| Overvåking og filtrering av nettinnhold | Viser antall skadelige nettadresser som ble blokkert av Microsoft Defender for endepunkt den siste måneden. Rapporten viser også kategoriene med nettadresser som ble blokkert, og antall klikk for hver kategori. |
| Mistenkelige eller ondsinnede aktiviteter | Spor hvor mange hendelser og varsler som ble løst den siste måneden ved hjelp av hendelseskortet. Kortet viser også alle aktive hendelser og varsler som krever oppmerksomhet. Du kan også se en liste over de ti mest alvorlige hendelsene, statusen deres, antall varsler og de berørte enhetene og brukerne. |
Du kan generere en PDF-rapport av sammendraget ved å velge Generer PDF-rapport. Den genererte rapporten er et sammendrag av de siste 30 dagene.
Trusselbeskyttelsesrapport
Hvis du vil samle inn data om beskyttelsesinformasjon for Defender for endepunktstrusler, kan du bruke varslingskøen i Microsoft Defender portalen eller opprette avanserte jaktspørringer. Avsnittene nedenfor gir veiledning om hvordan du bruker disse verktøyene til å finne informasjonen du trenger.
Bruke varselkøfilteret i Microsoft Defender-portalen
Du kan bruke Microsoft Defender portalvarslingsvisning, ved hjelp av Defender for Endpoint som gjenkjenningskilde, for å se gjeldende status for varsler for beskyttede enheter. Bruk Status-filteret til å se nye, pågående og løste varsler. Mer informasjon om varselkøen.
Bruke avanserte jaktspørringer
Du kan også bruke avanserte jaktspørringer til å finne informasjon om Beskyttelse mot trusselbeskyttelse for Defender for endepunkt. Mer informasjon om avansert jakt i Defender XDR. Følgende eksempel på avanserte jaktspørringer viser varselrelatert informasjon.
Varselinformasjon etter alvorsgrad, gjenkjenningskilde og kategori
// Severity
AlertInfo
| where Timestamp > startofday(now()) // Today
| summarize count() by Severity
| render columnchart
// Detection source
AlertInfo
| where Timestamp > startofday(now()) // Today
| summarize count() by DetectionSource
| render columnchart
// Detection category
AlertInfo
| where Timestamp > startofday(now()) // Today
| summarize count() by Category
| render columnchart
Varslingstrender etter alvorsgrad, gjenkjenningskilde og kategori
// Severity
AlertInfo
| where Timestamp > ago(30d)
| summarize count() by Severity , bin(Timestamp, 1d)
| render timechart
// Detection source
AlertInfo
| where Timestamp > ago(30d)
| summarize count() by DetectionSource , bin(Timestamp, 1d)
| render timechart
// Detection category
AlertInfo
| where Timestamp > ago(30d)
| summarize count() by Category , bin(Timestamp, 1d)
| render timechart
Rapporter om Defender for endepunkt-funksjoner
Følgende rapporter gir detaljert informasjon om hendelser og handlinger relatert til Defender for Endpoint-funksjoner:
- Enhetstilstandsrapporter
- Rapportering av vertsbrannmur
- Overvåkingsrapport for webbeskyttelse
- Rapport om reduksjon av angrepsoverflate
- Rapport for enhetskontroll
Opprette egendefinerte rapporter ved hjelp av Power BI
Du kan også opprette tilpassede rapporter ved hjelp av Power BI. Hvis du vil opprette din egen rapport, kan du se Opprette egendefinerte rapporter ved hjelp av Power BI.
Aggregert rapportering
Du kan se gjennom alle signaler som samles inn av Defender for Endpoint, ved å slå på aggregert rapportering.
Hvis du vil aktivere aggregert > rapportering, kan du gå til Avanserte funksjoner for Innstillinger-endepunkter>. Aktiver/ deaktiver funksjonen for aggregert rapportering . Mer informasjon om aggregert rapportering i Defender for endepunkt.
Tips
Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.