raporty Ochrona punktu końcowego w usłudze Microsoft Defender
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
- Microsoft Defender XDR
Ten artykuł zawiera omówienie raportów dostępnych dla Ochrona punktu końcowego w usłudze Microsoft Defender użytkowników. Oferuje ona informacje o różnych raportach, które mogą służyć do zbierania danych, podsumowywanie wyników i uzyskiwanie zalecanych akcji, jeśli ma to zastosowanie.
Miesięczne podsumowanie zabezpieczeń
Miesięczny raport podsumowania zabezpieczeń pomaga organizacjom uzyskać wizualne podsumowanie kluczowych ustaleń i ogólnych działań zapobiegawczych podjętych w celu zwiększenia ogólnej kondycji zabezpieczeń organizacji ukończonej w ciągu ostatnich 30 lub 90 dni. Ułatwia identyfikowanie obszarów siły i poprawy, śledzenie postępów w czasie oraz określanie priorytetów działań na podstawie ryzyka i wpływu.
Aby uzyskać dostęp do tego raportu, przejdź do pozycji Raporty > Punkty końcowe > Miesięczne podsumowanie zabezpieczeń. Miesięczny raport podsumowania zabezpieczeń zawiera następujące sekcje:
| Sekcja | Opis |
|---|---|
| Wskaźnik bezpieczeństwa Microsoft | Wskaźnik bezpieczeństwa firmy Microsoft to pomiar stanu zabezpieczeń organizacji oraz tego, jak dobrze zaimplementowano najlepsze rozwiązania i zalecenia dotyczące zabezpieczeń na urządzeniach w organizacji. Karta wskaźnika bezpieczeństwa pokazuje, jak ogólna siła cyberbezpieczeństwa organizacji poprawiła się w ciągu ostatniego miesiąca i jak wypada ona w porównaniu z innymi firmami z podobną liczbą zarządzanych urządzeń. |
| Wskaźnik bezpieczeństwa w porównaniu z innymi organizacjami | Ten wynik jest oceną oceny bezpieczeństwa organizacji w odniesieniu do organizacji o podobnym rozmiarze. Jest to sposób na porównanie wydajności organizacji we wdrażaniu środków zabezpieczeń w porównaniu z innymi organizacjami o równoważnym rozmiarze. |
| Dołączone urządzenia | Karta urządzenia zawiera informacje o liczbie urządzeń, które zostały dołączone w ostatnim miesiącu, a także o urządzeniach, które nadal nie zostały dołączone. Urządzenia dołączania są niezbędne do zapewnienia ochrony i możliwości wykrywania. |
| Ochrona przed określonymi zagrożeniami | Ta karta pokazuje, jak skuteczne są twoje zabezpieczenia przed typowymi wektorami ataków, takimi jak wyłudzanie informacji i wymuszanie okupu. Większa liczba wskazuje na lepszą ochronę przed wyłudzaniem informacji i oprogramowaniem wymuszającym okup. Raport pokazuje, ile zagrożeń zostało zablokowanych lub zminimalizowanych w ostatnim miesiącu oraz jak poziom ochrony został zwiększony. |
| Monitorowanie i filtrowanie zawartości internetowej | Przedstawia liczbę złośliwych adresów URL, które zostały zablokowane przez Ochrona punktu końcowego w usłudze Microsoft Defender w ostatnim miesiącu. Raport zawiera również kategorie zablokowanych adresów URL oraz liczbę kliknięć dla każdej kategorii. |
| Podejrzane lub złośliwe działania | Śledź liczbę zdarzeń i alertów rozwiązanych w ciągu ostatniego miesiąca przy użyciu karty zdarzenia. Karta zawiera również wszystkie aktywne zdarzenia i alerty, które wymagają uwagi. Zobaczysz również listę 10 najważniejszych poważnych zdarzeń, ich stan, liczbę alertów oraz urządzenia i użytkowników, których dotyczy problem. |
Możesz wygenerować raport PDF podsumowania, wybierając pozycję Generuj raport PDF. Wygenerowany raport jest podsumowaniem ostatnich 30 dni.
Raport ochrony przed zagrożeniami
Aby zebrać dane w usłudze Defender for Endpoint Threat Protection, możesz użyć kolejki alertów portalu Microsoft Defender lub utworzyć zaawansowane zapytania wyszukiwania zagrożeń. Poniższe sekcje zawierają wskazówki dotyczące sposobu używania tych narzędzi do znajdowania potrzebnych informacji.
Używanie filtru kolejki alertów w portalu Microsoft Defender
Aby wyświetlić bieżący stan alertów dla chronionych urządzeń, możesz użyć widoku alertów portalu Microsoft Defender przy użyciu usługi Defender for Endpoint jako źródła wykrywania. Użyj filtru Stan , aby wyświetlić alerty Nowe, W toku i Rozwiązane . Dowiedz się więcej o kolejce alertów.
Korzystanie z zaawansowanych zapytań dotyczących wyszukiwania zagrożeń
Możesz również użyć zaawansowanych zapytań wyszukiwania zagrożeń, aby znaleźć informacje o ochronie przed zagrożeniami w usłudze Defender for Endpoint. Dowiedz się więcej na temat zaawansowanego wyszukiwania zagrożeń w Defender XDR. Poniższe przykładowe zaawansowane zapytania dotyczące wyszukiwania zagrożeń pokazują informacje związane z alertami.
Informacje o alertach według ważności, źródła wykrywania i kategorii
// Severity
AlertInfo
| where Timestamp > startofday(now()) // Today
| summarize count() by Severity
| render columnchart
// Detection source
AlertInfo
| where Timestamp > startofday(now()) // Today
| summarize count() by DetectionSource
| render columnchart
// Detection category
AlertInfo
| where Timestamp > startofday(now()) // Today
| summarize count() by Category
| render columnchart
Trendy alertów według ważności, źródła wykrywania i kategorii
// Severity
AlertInfo
| where Timestamp > ago(30d)
| summarize count() by Severity , bin(Timestamp, 1d)
| render timechart
// Detection source
AlertInfo
| where Timestamp > ago(30d)
| summarize count() by DetectionSource , bin(Timestamp, 1d)
| render timechart
// Detection category
AlertInfo
| where Timestamp > ago(30d)
| summarize count() by Category , bin(Timestamp, 1d)
| render timechart
Raporty dotyczące możliwości usługi Defender for Endpoint
Następujące raporty zawierają szczegółowe informacje o zdarzeniach i akcjach związanych z możliwościami usługi Defender for Endpoint:
- Raporty dotyczące kondycji urządzeń
- Raportowanie zapory hosta
- Raport monitorowania ochrony sieci Web
- Raport reguł zmniejszania obszaru ataków
- Raport kontroli urządzenia
Tworzenie raportów niestandardowych przy użyciu usługi Power BI
Możesz również tworzyć dostosowane raporty przy użyciu usługi Power BI. Aby utworzyć własny raport, zobacz Tworzenie raportów niestandardowych przy użyciu usługi Power BI.
Raportowanie zagregowane
Możesz przejrzeć wszystkie sygnały zebrane przez usługę Defender for Endpoint, włączając zagregowane raportowanie.
Aby włączyć zagregowane raportowanie, przejdź do pozycji Ustawienia > Funkcje zaawansowane punktów końcowych>. Przełącz funkcję Raportowanie zagregowane . Dowiedz się więcej o raportowaniu zagregowanym w usłudze Defender for Endpoint.
Porada
Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.