调查 Microsoft Defender for Endpoint 中的事件
适用于:
调查影响网络的事件,了解其含义,并整理证据以解决这些问题。
调查事件时,你将看到:
- 事件详细信息
- 事件注释和操作
- 选项卡 (警报、设备、调查、证据、图形)
分析事件详细信息
单击事件以查看 “事件”窗格。 选择“ 打开事件”页 以查看事件详细信息和相关信息, (警报、设备、调查、证据、图形) 。
警报
可以调查警报,并了解它们在事件中是如何链接在一起的。 警报根据以下原因分组到事件中:
- 自动调查 - 自动调查在调查原始警报时触发了链接警报
- 文件特征 - 与警报关联的文件具有类似的特征
- 手动关联 - 用户手动链接警报
- 近似时间 - 警报在特定时间范围内在同一设备上触发
- 同一文件 - 与警报关联的文件完全相同
- 相同 URL - 触发警报的 URL 完全相同
还可以管理警报并查看警报元数据以及其他信息。 有关详细信息,请参阅 调查警报。
设备
还可以调查属于或与给定事件相关的设备。 有关详细信息,请参阅 调查设备。
调查
选择“ 调查 ”,查看系统为响应事件警报而启动的所有自动调查。
浏览证据
Microsoft Defender for Endpoint自动调查警报中所有事件支持的事件和可疑实体,为你提供有关重要文件、进程、服务等的自动响应和信息。
分析的每个实体都将标记为受感染、已修正或可疑。
可视化关联的网络安全威胁
Microsoft Defender for Endpoint将威胁信息聚合到事件中,以便可以查看来自各种数据点的模式和相关性。 可以通过事件图查看此类关联。
事件图
图讲述了网络安全攻击的故事。 例如,它显示入口点是什么,哪个指示器在哪个设备上观察到了入侵或活动。 等。
可以单击事件图上的圆圈来查看恶意文件的详细信息、关联的文件检测、全球有多少个实例、是否在你的组织中观察到,如果是,则有多少实例。
相关主题
提示
想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区。