调查事件
事件页面提供以下信息和导航链接。
事件概述
利用概述页面可以一目了然地了解事件的主要信息。
通过攻击类别,可通过数字直观了解某个攻击的杀伤链进展情况。 与其他 Microsoft 安全产品一样,Microsoft Defender XDR 也遵循 MITRE ATT&CK™ 框架。
“范围”部分提供了此事件中受影响最大的资产的列表。 如果有关于此资产的特定信息,例如风险级别,调查优先级以及资产上的任何标记,也会在此部分中显示。
通过警报时间轴可一窥警报发生的时间顺序以及这些警报与该事件相关联的原因。
最后,“证据”部分提供了事件中包含多少不同工件以及其修正状态的摘要,以便可以快速确定是否需要采取任何措施。
此概括信息通过提供需要注意的事件主要特征的相关见解,可以帮助对事件进行初步会审。
警报
可以查看与事件相关的所有警报以及其他相关信息,例如严重性、警报中涉及的实体、警报的源(Microsoft Defender for Identity、Microsoft Defender for Endpoint、Microsoft Defender for Office 365),以及它们关联的原因。
默认情况下,警报按时间顺序排列,以便你可以先了解攻击随时间推移的变化情况。 单击每个警报可进入“相关警报页面”,在该页面上可以对警报进行深入调查。
设备
设备选项卡列出了显示了与事件相关的警报的所有设备。
单击发生攻击的计算机的名称链接可导航到其“设备”页面。 在“设备”页面中,可以查看对其触发的警报以及提供的可用于简化调查的相关活动。
用户
查看已确定从属于给定事件或与给定事件相关的用户。
单击用户名可导航到“用户的 Microsoft Defender for Cloud Apps 页面”,在其中可以进行深入调查。
邮箱
调查已确定从属于某个事件或与某个事件相关的邮箱。
应用
调查已确定从属于某个事件或与某个事件相关的应用。
调查
选择调查以查看由该事件中的警报触发的所有自动调查。 调查将执行修正操作或等待分析人员批准操作。
选择某个调查以导航至其“调查详细信息”页面,以获取有关调查和修正状态的完整信息。 如果调查期间有任何待批准的操作,会在“待处理操作”选项卡中显示。
证据和响应
Microsoft Defender XDR 会自动调查警报中所有事件的支持活动和可疑实体,并提供自动响应以及有关重要文件、进程、服务、电子邮件等的信息。 这有助于快速检测和抵御事件中的潜在威胁。
每个分析的实体都会标有一个裁定结果(恶意、可疑、无异常)和修正状态。 这可以帮助你了解整个事件的修正状态以及后续修正步骤。
Graph
该图将关联的网络安全威胁信息可视化为一个事件,方便你查看来自各个数据点的模式和关联。 可以通过事件图查看此类关联。
此图说明了网络安全攻击的案例。 例如,它显示入口点、在哪台设备上观察到哪个危害或活动的指标等信息。
你可以选择事件图上的圆圈,以查看有关恶意文件、关联的文件检测、全球范围内有多少个实例、是否在你的组织中观察到过(如果有,有多少实例)等指标的详细信息。