Microsoft Defender 中的设备实体页
Microsoft Defender 门户中的设备实体页可帮助你调查设备实体。 该页包含有关给定设备实体的所有重要信息。 如果警报或事件指示设备的行为可疑或可能遭到入侵,请调查设备的详细信息,以确定可能与警报或事件相关的其他行为或事件,并发现潜在的违规范围。 还可以使用设备实体页执行一些常见的安全任务,以及一些响应操作来缓解或修正安全威胁。
重要
设备实体页上显示的内容集可能略有不同,具体取决于设备在 Microsoft Defender for Endpoint 和 Microsoft Defender for Identity 中的注册情况。
如果你的组织已Microsoft Sentinel 加入 Defender 门户,则将显示其他信息。
在 Microsoft Sentinel 中,设备实体也称为 主机 实体。 了解详细信息。
Microsoft Sentinel 现已在 Microsoft Defender 门户中的Microsoft统一安全操作平台中正式发布。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel。
可在以下区域找到设备实体:
- “资产”下的“设备”列表
- 警报队列
- 任何单独的警报/事件
- 任何单个用户实体页
- 任何单独的文件详细信息视图
- 任何 IP 地址或域详细信息视图
- 活动日志
- 高级搜寻查询
- 操作中心
每当在门户中看到设备时,都可以选择设备,以打开设备的实体页,其中显示有关设备的更多详细信息。 例如,可以在 Microsoft Defender 门户中>>>的“事件 & 警报事件资产>设备”中查看事件警报中列出的设备的详细信息。
设备实体页以选项卡式格式显示其信息。 本文介绍了每个选项卡中可用的信息类型,以及可以在给定设备上执行的操作。
以下选项卡显示在设备实体页上:
实体页标题
实体页的最上端部分包含以下详细信息:
- 实体名称
- 风险严重性、严重性和设备值指示器
- 可对其对设备进行分类的标记。 可由 Defender for Endpoint、Defender for Identity 或用户添加。 Microsoft Defender for Identity 的标记不可编辑。
- 响应操作 也位于此处。 在下面阅读有关它们的详细信息。
“概述”选项卡
默认选项卡为“ 概述”。 它提供关于设备的最重要安全事实的快速了解。 “ 概述 ”选项卡包含 设备详细信息 边栏和 仪表板 ,其中包含一些显示高级信息的卡片。
设备详细信息
边栏列出了设备的全名和公开级别。 它还在小节中提供了一些重要的基本信息,这些小节可以展开或折叠,例如:
| 节 | 包含的信息 |
|---|---|
| VM 详细信息 | 计算机和域名以及 ID、运行状况和载入状态、首次查看和最后一次查看的时间戳、IP 地址等 |
| DLP 策略同步详细信息 | 如果相关 |
| 配置状态 | 有关 Microsoft Defender for Endpoint 配置的详细信息 |
| 云资源详细信息 | 云平台、资源 ID、订阅信息等 |
| 硬件和固件 | VM、处理器和 BIOS 信息等 |
| 设备管理 | Microsoft Defender for Endpoint 注册状态和管理信息 |
| 目录数据 | UAC 标志、 SPN 和组成员身份。 |
仪表板
“ 概述 ”选项卡的主要部分显示多个仪表板类型的显示卡:
- 过去六个月内涉及设备的活动警报和风险级别,按严重性分组
- 设备的安全评估和暴露级别
- 过去 30 天内在设备上登录的用户
- 设备运行状况 状态以及有关设备最近扫描的其他信息。
提示
暴露级别与设备符合安全建议的程度相关,而风险级别根据多种因素计算,包括活动警报的类型和严重性。
“事件和警报 ”选项卡
“ 事件和警报 ”选项卡包含事件列表,这些事件包含已从多个Microsoft Defender 检测源(包括Microsoft Sentinel)在设备上引发的警报。 此列表是 事件队列的筛选版本,显示事件或警报的简短说明,其严重性 (高、中、低、信息性) ,它在队列中的状态 (新的、正在进行的、已解决的) 、其分类 (未设置、假警报、真实警报) 、调查状态、类别,分配用于解决它的人员, 和观察到的最后一个活动。
可以自定义为每个项显示的列。 还可以按严重性、状态或显示中的任何其他列筛选警报。
“受影响的实体”列是指事件或警报中引用的所有设备和用户实体。
选择事件或警报后,将显示一个浮出控件。 在此面板中,可以管理事件或警报,并查看事件/警报编号和相关设备等更多详细信息。 一次可以选择多个警报。
若要查看事件或警报的全页视图,请选择其标题。
“时间线 ”选项卡
“ 时间线 ”选项卡显示设备上观察到的所有事件的时间顺序视图。 这可以帮助你关联与设备相关的任何事件、文件和 IP 地址。
可以自定义列表上显示的列的选择。 默认列列出了事件时间、活动用户、操作类型、关联的实体 (进程、文件、) IP 地址以及有关事件的其他信息。
可以通过沿页面顶部的总体时间线图滑动时间段的边框来控制事件的显示时间段。 还可以从列表顶部的下拉列表中选择一个时间段, (默认值为 30 天) 。 若要进一步控制视图,可以按事件组进行筛选或自定义列。
可以将长达 7 天的事件导出到 CSV 文件以供下载。
通过在生成的浮出控件面板中选择 和 事件并查看其详细信息,向下钻取到各个事件的详细信息。 请参阅下面的 事件详细信息 。
事件详情
选择事件以查看有关该事件的相关详细信息。 将显示浮出控件面板,以显示有关事件的详细信息。 显示的信息类型取决于事件的类型。 如果适用且数据可用,你可能会看到一个图形,其中显示了相关实体及其关系,例如文件或进程链。 还可能会看到适用于事件的 MITRE ATT&CK 策略和技术的摘要说明。
若要进一步检查事件和相关事件,可以通过选择“搜寻相关事件”来快速运行高级搜寻查询。 该查询返回所选事件以及同一终结点上大约同时发生的其他事件的列表。
“安全建议 ”选项卡
“ 安全建议 ”选项卡列出了为保护设备而可执行的操作。 选择此列表中的某个项将打开一个浮出控件,可在其中获取有关如何应用建议的说明。
与前面的选项卡一样,可以自定义显示的列的选择。
默认视图包括详细说明已解决的安全漏洞、相关威胁、受威胁影响的相关组件或软件等的列。 可以按建议的状态筛选项。
详细了解 安全建议。
“清单”选项卡
此选项卡显示四种类型的组件的清单:软件、易受攻击的组件、浏览器扩展和证书。
软件清单
此卡列出了设备上安装的软件。
默认视图显示软件供应商、安装的版本号、已知软件弱点数、威胁见解、产品代码和标记。 可以自定义显示的项数和显示的列数。
从此列表中选择某个项将打开一个浮出控件,其中包含有关所选软件的更多详细信息,以及上次找到软件的路径和时间戳。
此列表可以按产品代码、弱点和威胁的存在进行筛选。
易受攻击的组件
此卡列出了包含漏洞的软件组件。
默认视图和筛选选项与软件相同。
选择项目以在浮出控件中显示详细信息。
浏览器扩展
此卡显示设备上安装的浏览器扩展。 显示的默认字段是扩展名称、安装它的浏览器、版本、基于扩展) 请求的设备或站点访问类型的权限风险 (,以及状态。 (可选)也可以显示供应商。
选择项目以在浮出控件中显示详细信息。
证书
此卡显示设备上安装的所有证书。
默认情况下显示的字段包括证书名称、颁发日期、到期日期、密钥大小、颁发者、签名算法、密钥使用情况和实例数。
可以按状态、自签名与否、密钥大小、签名哈希和密钥使用情况筛选列表。
选择证书以在浮出控件中显示详细信息。
“发现漏洞 ”选项卡
此选项卡列出了可能影响设备的任何常见漏洞和攻击 (CVE) 。
默认视图列出了 CVE 的严重性、常见漏洞分数 (CVSS) 、与 CVE 相关的软件、发布 CVE 的时间、首次检测到 CVE 和上次更新 CVE 的时间以及与 CVE 关联的威胁。
与前面的选项卡一样,可以自定义要显示的列的选择。 可以按严重性、威胁状态、设备暴露和标记筛选列表。
从此列表中选择项将打开描述 CVE 的浮出控件。
缺少 KB 选项卡
“ 缺少 KB ”选项卡列出了尚未应用于设备的任何Microsoft更新。 有问题的“KB”是介绍这些更新的 知识库文章;例如, KB4551762。
默认视图列出了包含更新、OS 版本、KB ID 号、受影响的产品、已寻址的 CVE 和标记的公告。
可以自定义要显示的列的选择。
选择项目将打开链接到更新的浮出控件。
Sentinel 事件 选项卡
如果组织已Microsoft Sentinel 加入 Defender 门户,则此附加选项卡位于设备实体页上。 此选项卡 从 Microsoft Sentinel 导入“主机”实体页。
Sentinel 时间线
此时间线显示与设备实体关联的警报,Microsoft Sentinel 中称为 主机 实体。 这些警报包括在“ 事件和警报 ”选项卡上看到的警报,以及Microsoft Sentinel 从第三方非Microsoft数据源创建的警报。
此时间线还显示引用此用户实体的其他调查的 书签搜寻 、来自外部数据源的用户活动事件,以及Microsoft Sentinel 的 异常规则检测到的异常行为。
Insights
实体见解是由Microsoft安全研究人员定义的查询,可帮助你更高效地进行调查。 这些见解会自动提出有关设备实体的大问题,以表格数据和图表的形式提供有价值的安全信息。 见解包括有关登录、组添加、进程执行、异常事件等的数据,并包括用于检测异常行为的高级机器学习算法。
下面是所示的一些见解:
- 在主机上拍摄的屏幕截图。
- 检测到Microsoft未签名的进程。
- Windows 进程执行信息。
- Windows 登录活动。
- 对帐户执行的操作。
- 主机上清除了事件日志。
- 组添加。
- 主机上主机、用户和组的枚举。
- Microsoft Defender 应用程序控制。
- 通过 entropy 计算处理稀有性。
- 异常高的安全事件数。
- 预览版) (监视列表见解。
- Windows Defender 防病毒事件。
见解基于以下数据源:
- Syslog (Linux)
- SecurityEvent (Windows)
- AuditLogs (Microsoft Entra ID)
- SigninLogs (Microsoft Entra ID)
- OfficeActivity (Office 365)
- BehaviorAnalytics (Microsoft Sentinel UEBA)
- 检测信号 (Azure Monitor 代理)
- CommonSecurityLog (Microsoft Sentinel)
若要进一步浏览此面板中的任何见解,请选择见解附带的链接。 该链接将转到 “高级搜寻 ”页,其中显示见解基础的查询及其原始结果。 可以修改查询或向下钻取结果,以扩展调查范围或满足你的好奇心。
响应操作
响应操作提供了分析、调查和防御威胁的快捷方式。
重要
- 仅当设备在 Microsoft Defender for Endpoint 中注册时,响应操作才可用。
- 在 Microsoft Defender for Endpoint 中注册的设备可能会根据设备的 OS 和版本号显示不同数量的响应操作。
响应操作沿着特定设备页的顶部运行,包括:
| 操作 | 说明 |
|---|---|
| 设备值 | |
| 设置严重性 | |
| 管理标签 | 更新已应用于此设备的自定义标记。 |
| 报告设备不准确 | |
| 运行防病毒扫描 | 更新Microsoft Defender 防病毒定义,并立即运行防病毒扫描。 在“快速扫描”或“完全扫描”之间进行选择。 |
| 收集调查包 | 收集有关设备的信息。 调查完成后,可以下载它。 |
| 限制应用执行 | 阻止未由Microsoft签名的应用程序运行。 |
| 启动自动调查 | 自动 调查和修正威胁。 尽管可以手动触发自动调查以从此页面运行, 但某些警报策略 会自行触发自动调查。 |
| 启动实时响应会话 | 在设备上加载远程 shell,以便 进行深入的安全调查。 |
| 隔离设备 | 将设备与组织的网络隔离,同时使其与 Microsoft Defender 保持连接。 出于通信目的,可以选择允许在设备隔离时运行 Outlook、Teams 和 Skype for Business。 |
| 咨询 Defender 专家 | |
| 操作中心 | 显示有关当前正在运行的任何响应操作的信息。 仅当已选择其他操作时可用。 |
| 从隔离脚本下载强制释放 | |
| Exclude | |
| 转到查寻 | |
| 打开故障排除模式 | |
| 策略同步 |
相关主题
- Microsoft Defender XDR 概述
- 打开 Microsoft Defender XDR
- Microsoft Defender 中的用户实体页
- Microsoft Defender 中的 IP 地址实体页
- Microsoft Defender XDR 与 Microsoft Sentinel 集成
- 将 Microsoft Sentinel 连接到 Microsoft Defender XDR
提示
想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区。