Microsoft Defender for Endpoint报表
适用于:
本文概述了可供Microsoft Defender for Endpoint用户使用的报表。 它提供有关各种报告的信息,这些报告可用于收集数据、汇总发现结果以及获取建议的作(如果适用)。
每月安全摘要
每月安全摘要报告可帮助组织直观地了解关键发现和为增强组织在过去 30 或 90 天内完成的整体安全态势而采取的总体预防作。 它可帮助你确定力量和改进的领域,跟踪一段时间内的进度,并根据风险和影响确定作的优先级。
若要访问此报表,请导航到 “报表 > 终结点 > 每月安全摘要”。 每月安全摘要报告包含以下部分:
| 节 | 说明 |
|---|---|
| Microsoft 安全功能分数 | Microsoft安全功能分数是衡量组织的安全状况,以及在组织中实现安全最佳做法和建议的成效。 安全功能分数卡显示组织的整体网络安全实力在过去一个月中是如何提高的,以及它与具有类似数量托管设备的其他公司的比较。 |
| 与其他组织相比,安全功能分数 | 此分数是针对组织相对于类似规模的组织的安全分数的评估。 与其他同等规模的组织相比,这是一种衡量组织在实施安全措施方面表现的基准。 |
| 已载入的设备 | 卡的设备提供有关上个月载入的设备数以及尚未加入的设备数的信息。 载入设备对于启用保护和检测功能至关重要。 |
| 针对特定威胁的防护 | 此卡显示防御措施对网络钓鱼和勒索软件等常见攻击途径的有效性。 数字越大,就表示可以更好地防范网络钓鱼和勒索软件。 报告显示上个月阻止或缓解的威胁数量,以及保护级别如何提高。 |
| Web 内容监视和筛选 | 显示上个月Microsoft Defender for Endpoint阻止的恶意 URL 数。 报表还显示阻止的 URL 类别以及每个类别的单击次数。 |
| 可疑或恶意活动 | 使用事件卡跟踪过去一个月中解决的事件和警报数。 卡还显示需要注意的所有活动事件和警报。 还可以查看前 10 个严重事件的列表、其状态、警报数以及受影响的设备和用户。 |
可以通过选择“生成 PDF 报表”来 生成摘要的 PDF 报表。 生成的报表是过去 30 天的摘要。
威胁防护报告
若要收集有关 Defender for Endpoint 威胁防护信息的数据,可以使用Microsoft Defender门户的警报队列或创建高级搜寻查询。 以下部分提供了有关如何使用这些工具查找所需信息的指南。
在Microsoft Defender门户中使用警报队列筛选器
可以使用 Microsoft Defender 门户警报视图(使用 Defender for Endpoint 作为检测源)查看受保护设备的警报的当前状态。 使用 “状态” 筛选器可查看 “新建”、“ 正在进行”和 “已解决” 警报。 详细了解警报队列。
使用高级搜寻查询
还可以使用高级搜寻查询来查找 Defender for Endpoint 威胁防护信息。 详细了解Defender XDR中的高级搜寻。 以下示例高级搜寻查询显示了警报相关信息。
按严重性、检测源和类别列出的警报信息
// Severity
AlertInfo
| where Timestamp > startofday(now()) // Today
| summarize count() by Severity
| render columnchart
// Detection source
AlertInfo
| where Timestamp > startofday(now()) // Today
| summarize count() by DetectionSource
| render columnchart
// Detection category
AlertInfo
| where Timestamp > startofday(now()) // Today
| summarize count() by Category
| render columnchart
按严重性、检测源和类别的警报趋势
// Severity
AlertInfo
| where Timestamp > ago(30d)
| summarize count() by Severity , bin(Timestamp, 1d)
| render timechart
// Detection source
AlertInfo
| where Timestamp > ago(30d)
| summarize count() by DetectionSource , bin(Timestamp, 1d)
| render timechart
// Detection category
AlertInfo
| where Timestamp > ago(30d)
| summarize count() by Category , bin(Timestamp, 1d)
| render timechart
有关 Defender for Endpoint 功能的报告
以下报表提供有关与 Defender for Endpoint 功能相关的事件和作的深入信息:
使用 Power BI 创建自定义报表
还可以使用 Power BI 创建自定义报表。 若要创建自己的报表,请参阅 使用 Power BI 创建自定义报表。
聚合报告
可以通过启用聚合报告来查看 Defender for Endpoint 收集的所有信号。
若要启用聚合报告,请转到 “设置 > 终结点 > 高级功能”。 切换“ 聚合报告 ”功能。 详细了解 Defender for Endpoint 中的聚合报告。
提示
想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区。