Tidslinje för Microsoft Defender för Endpoint-enheter
Gäller för:
Obs!
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Tidslinjen för Defender för Endpoint-enheten hjälper dig att undersöka och undersöka avvikande beteende på dina enheter snabbare. Du kan utforska specifika händelser och slutpunkter för att granska potentiella attacker i din organisation. Du kan granska specifika tider för varje händelse, ange flaggor för uppföljning av potentiellt anslutna händelser och filtrera efter specifika datumintervall.
Anpassad tidsintervallväljare:
Processträdsupplevelse – panel på händelsesidan:
Alla MITRE-tekniker visas när det finns mer än en relaterad teknik:
Tidslinjehändelser länkas till den nya användarsidan:
Definierade filter visas nu överst på tidslinjen:
Tekniker i enhetens tidslinje
Du kan få mer information i en undersökning genom att analysera händelserna som inträffade på en specifik enhet. Välj först den enhet som är av intresse i listan Enheter. På enhetssidan kan du välja fliken Tidslinje för att visa alla händelser som har inträffat på enheten.
Förstå tekniker i tidslinjen
Viktigt
Viss information gäller en förhyrd produktfunktion i den offentliga förhandsversionen som kan ändras avsevärt innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.
I Microsoft Defender för Endpoint är tekniker ytterligare en datatyp i händelsetidslinjen. Tekniker ger mer insikt om aktiviteter som är associerade med MITRE ATT&CK-tekniker eller underteknik.
Den här funktionen förenklar undersökningsupplevelsen genom att hjälpa analytiker att förstå de aktiviteter som observerades på en enhet. Analytiker kan sedan besluta sig för att undersöka vidare.
Under förhandsversionen är Tekniker tillgängliga som standard och visas tillsammans med händelser när en enhets tidslinje visas.
Teknikerna är markerade i fetstil och visas med en blå ikon till vänster. Motsvarande MITRE ATT-&CK-ID och tekniknamn visas också som taggar under Ytterligare information.
Sök- och exportalternativ är också tillgängliga för Tekniker.
Undersök med hjälp av sidofönstret
Välj en teknik för att öppna motsvarande sidofönster. Här kan du se ytterligare information och insikter som relaterade ATT-&CK-tekniker, taktiker och beskrivningar.
Välj den specifika attacktekniken för att öppna sidan relaterad ATT&CK-teknik där du hittar mer information om den.
Du kan kopiera en entitets information när du ser en blå ikon till höger. Om du till exempel vill kopiera en relaterad fils SHA1 väljer du den blå sidikonen.
Du kan göra samma sak för kommandorader.
Undersöka relaterade händelser
Om du vill använda avancerad jakt för att hitta händelser relaterade till den valda tekniken väljer du Jaga efter relaterade händelser. Detta leder till sidan avancerad jakt med en fråga för att hitta händelser relaterade till tekniken.
Obs!
Om du kör frågor med knappen Jaga efter relaterade händelser från ett fönster på tekniksidan visas alla händelser som är relaterade till den identifierade tekniken, men inte själva tekniken i frågeresultatet.
EDR-klient (MsSense.exe) Resource Manager
När EDR-klienten på en enhet har ont om resurser går den in i kritiskt läge för att upprätthålla enhetens normala drift. Enheten bearbetar inte nya händelser förrän EDR-klienten återgår till ett normalt tillstånd. En ny händelse visas på tidslinjen för enheten som anger att EDR-klienten växlade till kritiskt läge.
När EDR-klientens resursanvändning återgår till normala nivåer återgår den automatiskt till normalt läge.
Anpassa enhetens tidslinje
Längst upp till höger på enhetens tidslinje kan du välja ett datumintervall för att begränsa antalet händelser och tekniker i tidslinjen.
Du kan anpassa vilka kolumner som ska exponeras. Du kan också filtrera efter flaggade händelser efter datatyp eller efter händelsegrupp.
Välj kolumner som ska exponeras
Du kan välja vilka kolumner som ska visas på tidslinjen genom att välja knappen Välj kolumner .
Därifrån kan du välja vilken information som ska inkluderas.
Filtrera om du bara vill visa tekniker eller händelser
Om du bara vill visa händelser eller tekniker väljer du Filter från enhetens tidslinje och väljer önskad datatyp att visa.
Händelseflaggor för tidslinjen
Händelseflaggor i tidslinjen för Defender för Endpoint-enheter hjälper dig att filtrera och organisera specifika händelser när du undersöker potentiella attacker.
Tidslinjen för Defender för Endpoint-enheten ger en kronologisk vy över händelser och associerade aviseringar som observerats på en enhet. Den här listan över händelser ger fullständig insyn i händelser, filer och IP-adresser som observerats på enheten. Listan kan ibland vara lång. Händelseflaggor för enhetens tidslinje hjälper dig att spåra händelser som kan vara relaterade.
När du har gått igenom en tidslinje för enheten kan du sortera, filtrera och exportera de specifika händelser som du har flaggat.
När du navigerar i enhetens tidslinje kan du söka efter och filtrera efter specifika händelser. Du kan ange händelseflaggor genom att:
- Markera de viktigaste händelserna
- Markera händelser som kräver djupdykning
- Skapa en tidslinje för ren överträdelse
Flagga en händelse
Leta upp den händelse som du vill flagga.
Välj flaggikonen i kolumnen Flagga.
Visa flaggade händelser
- I avsnittet Tidslinjefilter aktiverar du Flaggade händelser.
- Välj Använd. Endast flaggade händelser visas.
Du kan använda fler filter genom att klicka på tidsfältet. Detta visar bara händelser före den flaggade händelsen.
Tips
Vill du veta mer? Interagera med Microsoft Security-communityn i vår Tech Community: Microsoft Defender för Endpoint Tech Community.