Omówienie wykrywania i reagowania na punkty końcowe
Dotyczy:
Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.
Funkcje wykrywania punktów końcowych i reagowania na nie w usłudze Defender for Endpoint zapewniają zaawansowane wykrywanie ataków niemal w czasie rzeczywistym i możliwość akcji. Analitycy zabezpieczeń mogą efektywnie ustalać priorytety alertów, uzyskiwać wgląd w pełny zakres naruszenia i podejmować działania reagowania w celu skorygowania zagrożeń.
Po wykryciu zagrożenia w systemie są tworzone alerty umożliwiające analitykowi badanie. Alerty z tymi samymi technikami ataku lub przypisywane tej samej atakującej są agregowane w jednostkę o nazwie zdarzenie. Agregowanie alertów w ten sposób ułatwia analitykom zbiorcze badanie zagrożeń i reagowanie na nie.
Uwaga
Wykrywanie punktu końcowego w usłudze Defender nie ma być rozwiązaniem do inspekcji ani rejestrowania, które rejestruje każdą operację lub działanie wykonywane w danym punkcie końcowym. Nasz czujnik ma wewnętrzny mechanizm ograniczania przepustowości, dzięki czemu wysoka częstotliwość powtarzania identycznych zdarzeń nie zalewa dzienników.
Ważna
Usługa Defender for Endpoint Plan 1 i Microsoft Defender dla Firm obejmują tylko następujące ręczne akcje odpowiedzi:
- Uruchomiono skanowanie antywirusowe
- Izolowanie urządzenia
- Zatrzymywanie i kwarantanna pliku
- Dodawanie wskaźnika w celu zablokowania lub zezwolenia na plik
Zainspirowany nastawieniem "przyjmij naruszenie", usługa Defender for Endpoint stale zbiera behawioralne dane telemetryczne. Obejmuje to informacje o procesach, działania sieciowe, głęboką optykę w jądrze i menedżerze pamięci, działania logowania użytkowników, zmiany rejestru i systemu plików oraz inne. Informacje są przechowywane przez sześć miesięcy, dzięki czemu analityk może cofnąć się w czasie do początku ataku. Analityk może następnie przestawić się w różnych widokach i podejść do badania za pośrednictwem wielu wektorów.
Możliwości reagowania umożliwiają szybkie korygowanie zagrożeń przez działanie na jednostkach, których dotyczy problem.
Zobacz też
Porada
Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.