Поделиться через

Исследование инцидентов в Microsoft Defender для конечной точки

  • Статья

Область применения:

Изучите инциденты, влияющие на вашу сеть, поймите, что они означают, и соберите доказательства для их устранения.

При расследовании инцидента вы увидите следующее:

  • Сведения об инциденте
  • Комментарии и действия инцидента
  • Вкладки (оповещения, устройства, исследования, доказательства, граф)

Анализ сведений об инциденте

Щелкните инцидент, чтобы открыть область Инцидент. Выберите Открыть страницу инцидента , чтобы просмотреть сведения об инциденте и соответствующую информацию (оповещения, устройства, исследования, доказательства, график).

Сведения об инциденте

Оповещения

Вы можете исследовать оповещения и узнать, как они были связаны друг с другом в инциденте. Оповещения группируются по инцидентам по следующим причинам:

  • Автоматическое исследование— автоматическое исследование активировало связанное оповещение при изучении исходного оповещения.
  • Характеристики файла — файлы, связанные с оповещением, имеют аналогичные характеристики.
  • Сопоставление вручную . Пользователь вручную связал оповещения
  • Прокси-время — оповещения были активированы на одном устройстве в течение определенного периода времени.
  • Тот же файл — файлы, связанные с оповещением, точно такие же.
  • Тот же URL-адрес — URL-адрес, который активировал оповещение, точно такой же.

Вкладка Оповещения со страницей сведений об инциденте с причинами, по которым оповещения были связаны в этом инциденте

Вы также можете управлять оповещением и просматривать метаданные оповещений вместе с другими сведениями. Дополнительные сведения см. в разделе Исследование оповещений.

Устройства

Вы также можете исследовать устройства, которые являются частью данного инцидента или связаны с ним. Дополнительные сведения см. в разделе Исследование устройств.

Вкладка Устройства на странице сведений об инциденте

Исследования

Выберите Исследования , чтобы просмотреть все автоматические расследования, запущенные системой в ответ на оповещения об инцидентах.

Вкладка

Прохождение доказательств

Microsoft Defender для конечной точки автоматически исследует все поддерживаемые события инцидентов и подозрительные сущности в оповещениях, предоставляя вам автоответ и сведения о важных файлах, процессах, службах и многом другом.

Каждая из проанализированных сущностей будет помечена как зараженная, исправленная или подозрительная.

Вкладка

Визуализация связанных угроз кибербезопасности

Microsoft Defender для конечной точки объединяет сведения об угрозах в инцидент, чтобы вы могли видеть закономерности и корреляции, поступающие из различных точек данных. Эту корреляцию можно просмотреть с помощью графа инцидентов.

График инцидентов

Граф рассказывает историю атаки кибербезопасности. Например, он показывает, какая точка входа, какой индикатор компрометации или активности наблюдался на каком устройстве. и так далее.

График инцидентов

Вы можете щелкнуть круги на графе инцидентов, чтобы просмотреть сведения о вредоносных файлах, связанных с ними обнаружениях файлов, количестве экземпляров по всему миру, о том, наблюдалось ли это в вашей организации, сколько экземпляров.

Страница сведений об инциденте

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.