Поделиться через

Microsoft Defender для конечной точки отчеты

  • Статья

Область применения:

В этой статье представлен обзор отчетов, доступных Microsoft Defender для конечной точки пользователям. В нем содержатся сведения о различных отчетах, которые можно использовать для сбора данных, подведения итогов и получения рекомендуемых действий, если это применимо.

Сводка по безопасности за месяц

Ежемесячный сводный отчет по безопасности помогает организациям получить визуальную сводку ключевых выводов и общие профилактические действия, предпринятые для повышения общего состояния безопасности организации, завершенного за последние 30 или 90 дней. Она помогает определить области силы и улучшения, отслеживать прогресс с течением времени и определять приоритеты действий на основе риска и влияния.

Чтобы получить доступ к этому отчету, перейдите в раздел Отчеты > Endpoints > Monthly Security Summary .. Ежемесячный сводный отчет по безопасности содержит следующие разделы:

Раздел Описание
Оценка безопасности (Майкрософт) Оценка безопасности (Майкрософт) — это оценка состояния безопасности организации и того, насколько хорошо вы реализовали рекомендации и рекомендации по обеспечению безопасности на всех устройствах в организации. Оценка безопасности карта показывает, как за последний месяц улучшилась общая надежность кибербезопасности организации и как она сравнивается с другими компаниями с аналогичным количеством управляемых устройств.
Оценка безопасности по сравнению с другими организациями Эта оценка представляет собой оценку оценки безопасности организации по отношению к организациям аналогичного размера. Это способ оценить производительность организации при реализации мер безопасности по сравнению с другими организациями аналогичного размера.
Подключенные устройства Устройства карта содержат сведения о количестве устройств, которые были подключены в прошлом месяце, а также устройства, которые еще не подключены. Подключение устройств имеет важное значение для включения возможностей защиты и обнаружения.
Защита от определенных угроз В этом карта показано, насколько эффективна защита от распространенных векторов атак, таких как фишинг и программы-шантажисты. Большее число указывает на более эффективную защиту от фишинга и программ-шантажистов. В отчете показано, сколько угроз было заблокировано или устранено за последний месяц и как повышен уровень защиты.
Мониторинг и фильтрация веб-содержимого Показывает количество вредоносных URL-адресов, заблокированных Microsoft Defender для конечной точки за последний месяц. В отчете также показаны категории URL-адресов, которые были заблокированы, и количество щелчков для каждой категории.
Подозрительные или вредоносные действия Отслеживайте количество инцидентов и оповещений, которые были разрешены за последний месяц, с помощью карта инцидентов. В карта также отображаются все активные инциденты и оповещения, требующие внимания. Вы также сможете просмотреть список из 10 основных серьезных инцидентов, их состояние, количество оповещений, а также затронутые устройства и пользователей.

Вы можете создать отчет в формате PDF для сводки, выбрав Создать отчет в ФОРМАТЕ PDF. Созданный отчет представляет собой сводку за последние 30 дней.

Отчет о состоянии защиты от угроз

Для сбора данных о защите от угроз Defender для конечной точки можно использовать Microsoft Defender очередь оповещений портала или создавать расширенные запросы охоты. В следующих разделах содержатся рекомендации по использованию этих средств для поиска необходимых сведений.

Использование фильтра очереди оповещений на портале Microsoft Defender

Чтобы просмотреть текущее состояние оповещений для защищенных устройств, можно использовать представление оповещений портала Microsoft Defender, используя Defender для конечной точки в качестве источника обнаружения. Используйте фильтр Состояние , чтобы просмотреть новые, выполняется и Разрешенные оповещения. Дополнительные сведения об очереди оповещений.

Использование расширенных запросов охоты

Вы также можете использовать расширенные запросы охоты, чтобы найти сведения о защите от угроз Defender для конечной точки. Дополнительные сведения о расширенной охоте в Defender XDR. В следующих примерах расширенных запросов охоты отображаются сведения, связанные с оповещениями.

Сведения об оповещении по серьезности, источнику обнаружения и категории

// Severity
AlertInfo
| where Timestamp > startofday(now()) // Today
| summarize count() by Severity
| render columnchart

// Detection source
AlertInfo
| where Timestamp > startofday(now()) // Today
| summarize count() by DetectionSource
| render columnchart

// Detection category
AlertInfo
| where Timestamp > startofday(now()) // Today
| summarize count() by Category
| render columnchart

// Severity
AlertInfo
| where Timestamp > ago(30d)
| summarize count() by Severity , bin(Timestamp, 1d)
| render timechart

// Detection source
AlertInfo
| where Timestamp > ago(30d)
| summarize count() by DetectionSource , bin(Timestamp, 1d)
| render timechart

// Detection category
AlertInfo
| where Timestamp > ago(30d)
| summarize count() by Category , bin(Timestamp, 1d)
| render timechart

Отчеты о возможностях Defender для конечной точки

В следующих отчетах содержатся подробные сведения о событиях и действиях, связанных с возможностями Defender для конечной точки.

Создание пользовательских отчетов с помощью Power BI

Вы также можете создавать настраиваемые отчеты с помощью Power BI. Сведения о создании собственного отчета см. в статье Создание пользовательских отчетов с помощью Power BI.

Агрегированные отчеты

Вы можете просмотреть все сигналы, собранные Defender для конечной точки, включив агрегированные отчеты.

Чтобы включить агрегированные отчеты, перейдите в раздел Параметры > Конечные > точки Дополнительные функции. Переключение функции агрегированных отчетов . Узнайте больше об агрегированных отчетах в Defender для конечной точки.

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.