Поделиться через

временная шкала устройства Microsoft Defender для конечной точки

  • Статья

Область применения:

Примечание.

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Временная шкала устройства Defender для конечной точки помогает быстрее исследовать аномальное поведение на устройствах. Вы можете изучить определенные события и конечные точки, чтобы проверить потенциальные атаки в организации. Вы можете просмотреть определенное время каждого события, задать флаги для выполнения потенциально связанных событий и отфильтровать их по определенным диапазонам дат.

  • Настраиваемое средство выбора диапазона времени:

    Снимок экрана: пользовательский диапазон времени.

  • Взаимодействие с деревом процессов — боковая панель событий:

    Снимок экрана: боковая панель события.

  • Все методы MITRE отображаются при наличии нескольких связанных методов:

    Снимок экрана: все методы MITRE.

  • События временной шкалы связаны с новой страницей пользователя:

    Снимок экрана: события временная шкала, связанные с новой страницей пользователя.

    Снимок экрана: события временная шкала, связанные со страницей нового пользователя 2.

  • Определенные фильтры теперь отображаются в верхней части временная шкала:

    Снимок экрана: определенные фильтры.

Методы в временная шкала устройства

Вы можете получить дополнительные сведения в исследовании, проанализировав события, произошедшие на определенном устройстве. Сначала выберите интересующее устройство в списке Устройства. На странице устройства можно выбрать вкладку Временная шкала , чтобы просмотреть все события, произошедшие на устройстве.

Общие сведения о методах в временная шкала

Важно!

Некоторые сведения относятся к предварительно выпущенной функции продукта в общедоступной предварительной версии, которая может быть существенно изменена до его коммерческого выпуска. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.

В Microsoft Defender для конечной точки методы являются дополнительным типом данных в временная шкала события. Методы предоставляют дополнительные сведения о действиях, связанных с MITRE ATT& методами CK или подтехнические компоненты.

Эта функция упрощает исследование, помогая аналитикам понять действия, которые наблюдались на устройстве. Затем аналитики могут принять решение о дальнейшем расследовании.

Во время предварительной версии методы доступны по умолчанию и отображаются вместе с событиями при просмотре временная шкала устройства.

Снимок экрана: все методы MITRE.

Методы выделены полужирным шрифтом и отображаются синим значком слева. Соответствующие mitre ATT&идентификатор CK и имя метода также отображаются в виде тегов в разделе Дополнительные сведения.

Параметры поиска и экспорта также доступны для методов.

Исследование с помощью боковой области

Выберите метод, чтобы открыть соответствующую боковую панель. Здесь можно просмотреть дополнительные сведения и аналитические сведения, такие как связанные методы ATT&CK, тактики и описания.

Выберите конкретный метод атаки , чтобы открыть соответствующую страницу ATT&технике CK, где можно найти дополнительные сведения о нем.

Сведения о сущности можно скопировать, когда справа отображается синий значок. Например, чтобы скопировать SHA1 связанного файла, щелкните значок синей страницы.

Снимок экрана: сведения о сущности копирования.

Снимок экрана: сведения о боковой области.

То же самое можно сделать для командных строк.

Снимок экрана: параметр копирования командной строки.

Чтобы использовать расширенную охоту для поиска событий, связанных с выбранной техникой, выберите Поиск связанных событий. Это приводит к расширенной странице охоты с запросом на поиск событий, связанных с техникой.

Снимок экрана: параметр

Примечание.

Запрос с помощью кнопки "Поиск связанных событий " на боковой панели "Метод" отображает все события, связанные с идентифицированным методом, но не включает сам метод в результаты запроса.

клиент EDR (MsSense.exe) Resource Manager

Когда клиент EDR на устройстве работает с нехваткой ресурсов, он переходит в критический режим для поддержания нормальной работы устройства. Устройство не будет обрабатывать новые события, пока клиент EDR не вернется в нормальное состояние. На временной шкале этого устройства появится новое событие, указывающее, что клиент EDR переключился в критический режим.

Когда использование ресурсов клиента EDR возвращается на обычный уровень, он автоматически вернется в обычный режим.

Настройка временная шкала устройства

В правом верхнем углу временная шкала устройства можно выбрать диапазон дат, чтобы ограничить количество событий и методов в временная шкала.

Вы можете настроить столбцы для предоставления. Вы также можете фильтровать помеченные события по типу данных или по группе событий.

Выбор столбцов для предоставления

Чтобы выбрать столбцы для предоставления в временная шкала, нажмите кнопку Выбрать столбцы.

Снимок экрана: панель, в которой можно настроить столбцы.

Здесь вы можете выбрать набор сведений для включения.

Фильтрация только для просмотра методов или событий

Чтобы просмотреть только события или методы, выберите Фильтры из временная шкала устройства и выберите предпочитаемый тип данных для просмотра.

Снимок экрана: панель

Флаги событий временной шкалы

Флаги событий на устройстве Defender для конечной точки временная шкала помогают фильтровать и упорядочивать определенные события при расследовании потенциальных атак.

Временная шкала устройства Defender для конечной точки предоставляет хронологическое представление событий и связанных оповещений, наблюдаемых на устройстве. Этот список событий обеспечивает полную видимость всех событий, файлов и IP-адресов, наблюдаемых на устройстве. Иногда список может быть длинным. Флаги событий временная шкала устройства помогают отслеживать события, которые могут быть связаны.

После прохождения временная шкала устройства можно сортировать, фильтровать и экспортировать определенные события, помеченные вами.

При переходе по временная шкала устройства можно выполнять поиск и фильтрацию по определенным событиям. Флаги событий можно задать следующими способами:

  • Выделение наиболее важных событий
  • Маркировка событий, требующих глубокого погружения
  • Создание чистого временная шкала нарушений

Пометка события

  1. Найдите событие, которое нужно пометить.

  2. Щелкните значок флага в столбце Флаг.

Флаг временная шкала устройства

Просмотр помеченных событий

  1. В разделе Фильтры временная шкала включите помеченные события.
  2. Нажмите Применить. Отображаются только помеченные события.

Дополнительные фильтры можно применить, щелкнув полосу времени. При этом будут отображаться только события до отмеченного события.

Снимок экрана: флаг временная шкала устройства с включенным фильтром.

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.