Microsoft Defender中的裝置實體頁面
Microsoft Defender入口網站中的裝置實體頁面可協助您調查裝置實體。 此頁面包含指定裝置實體的所有重要資訊。 如果警示或事件指出裝置的行為可疑或可能遭到入侵,請調查裝置的詳細數據,以找出其他可能與警示或事件相關的行為或事件,並探索缺口的潛在範圍。 您也可以使用裝置實體頁面來執行一些常見的安全性工作,以及一些回應動作來減輕或補救安全性威脅。
重要事項
裝置實體頁面上顯示的內容集可能會稍有不同,視裝置在 適用於端點的 Microsoft Defender 和 適用於身分識別的 Microsoft Defender 中的註冊而定。
如果您的組織已將 Microsoft Sentinel 上線至 Defender 入口網站,則會顯示其他資訊。
在 Microsoft Sentinel 中,裝置實體也稱為主機實體。 深入了解。
Microsoft Sentinel 已在 Microsoft Defender 入口網站中Microsoft的統一安全性作業平臺內正式推出。 如需預覽,Microsoft Sentinel 可在Defender入口網站中取得,而不需要 Microsoft Defender 全面偵測回應 或E5授權。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
您可以在下列區域中找到裝置實體:
- [裝置] 列表,位於 [資產] 底下
- 警示佇列
- 任何個別警示/事件
- 任何個別用戶實體頁面
- 任何個別檔案詳細數據檢視
- 任何IP位址或網域詳細數據檢視
- 活動記錄
- 進階搜捕查詢
- 控制中心
您可以在入口網站中看到裝置時選取裝置,以開啟裝置的實體頁面,以顯示裝置的更多詳細數據。 例如,您可以在 Microsoft Defender 入口網站的 [事件 & 警示事件資產>裝置] 查看事件警示中所列裝置的>>>詳細數據。
![Microsoft Defender 入口網站中事件的 [使用者] 頁面螢幕快照。](/zh-tw/defender/media/entity-page-device/device-incident-assets.png)
裝置實體頁面會以索引標籤格式呈現其資訊。 本文會配置每個索引標籤中可用的資訊類型,以及您可以在指定裝置上採取的動作。
下列索引標籤會顯示在裝置實體頁面上:
實體頁首
實體頁面的最上層區段包含下列詳細數據:
- 實體名稱
- 風險嚴重性、嚴重性和裝置價值指標
- 可分類裝置的標籤。 可由適用於端點的Defender、適用於身分識別的Defender或使用者新增。 無法編輯來自 適用於身分識別的 Microsoft Defender 的標記。
- 回應動作 也位於此處。 請參閱下方的詳細資訊。
[概觀] 索引 標籤
默認索引標籤是 [ 概觀]。 其可讓您快速查看有關裝置的最重要安全性事實。 [ 概觀] 索引 標籤包含 裝置詳細數據 提要字段和 儀錶板 ,其中包含一些顯示高階資訊的卡片。
裝置詳細數據
提要欄位會列出裝置的完整名稱和曝光層級。 它也會在小型子區段中提供一些重要的基本資訊,這些資訊可以展開或折疊,例如:
| 區段 | 包含的資訊 |
|---|---|
| VM 詳細數據 | 計算機和功能變數名稱和標識碼、健康情況和上線狀態、第一次和最後一次看見的時間戳、IP 位址等等 |
| DLP 原則同步處理詳細數據 | 如果相關 |
| 組態狀態 | 關於 適用於端點的 Microsoft Defender 組態的詳細數據 |
| 雲端資源詳細數據 | 雲端平臺、資源標識碼、訂用帳戶資訊等等 |
| 硬體和韌體 | VM、處理器和 BIOS 資訊等等 |
| 裝置管理 | 適用於端點的 Microsoft Defender 註冊狀態和管理資訊 |
| 目錄數據 | UAC 旗標、 SPN 和群組成員資格。 |
儀表板
[概 觀] 索引 標籤的主要部分會顯示數張儀錶板類型的顯示卡:
- 過去六個月內涉及裝置的作用中警示和風險層級,依嚴重性分組
- 裝置的安全性評量 和曝光層級
- 過去30天內登入裝置上的使用者
- 裝置健全狀況狀態 ,以及裝置最新掃描的其他資訊。
提示
暴露程度與裝置符合安全性建議的程度有關,而風險層級則是根據許多因素來計算,包括作用中警示的類型和嚴重性。
![Microsoft Defender 入口網站中裝置實體頁面的 [概觀] 索引卷標螢幕快照。](/zh-tw/defender/media/entity-page-device/entity-device-overview-tab.png#lightbox)
事件和警示索引標籤
[事件和警示] 索引標籤包含事件清單,其中包含已在裝置上引發的警示,來自任何 Microsoft Defender 偵測來源,包括,如果已上線,Microsoft Sentinel。 此清單是 事件佇列的篩選版本,並顯示事件或警示的簡短描述、其嚴重性 (高、中、低、資訊) 、其在佇列中的狀態 (新的、進行中、已解決的) ,其分類 (未設定、false 警示、true 警示) 、調查狀態、類別、指派給其解決的人員、 觀察到的最後一個活動。
您可以自訂要針對每個項目顯示哪些資料列。 您也可以依嚴重性、狀態或顯示器中的任何其他數據行來篩選警示。
受影響的實體數據行是指事件或警示中參考的所有裝置和用戶實體。
選取事件或警示時,會出現飛出視窗。 您可以從此面板管理事件或警示,並檢視更多詳細數據,例如事件/警示編號和相關裝置。 您可以一次選取多個警示。
若要查看事件或警示的完整頁面檢視,請選取其標題。
![Microsoft Defender 入口網站中裝置實體頁面的 [事件和警示] 索引標籤螢幕快照。](/zh-tw/defender/media/entity-page-device/entity-device-incidents-tab.png#lightbox)
[時程表] 索引標籤
[時程表] 索引標籤會顯示裝置上觀察到之所有事件的時間順序檢視。 這可協助您將與裝置相關的任何事件、檔案和IP位址相互關聯。
您可以自訂清單上顯示的數據列選擇。 默認數據行會列出事件時間、作用中用戶、動作類型、相關聯的實體 (進程、檔案、IP 位址) ,以及事件的其他相關信息。
您可以沿著頁面頂端的整體時間軸圖形滑動時間週期的框線,來管理顯示事件的時間週期。 您也可以從清單頂端的下拉式清單中挑選時間週期 (預設值為 30 天) 。 若要進一步控制您的檢視,您可以依事件群組篩選或自定義數據行。
您可以將最多七天的事件匯出至 CSV 檔案以供下載。
選取 和 事件,並在產生的飛出視窗面板中檢視其詳細數據,向下切入個別事件的詳細數據。 請參閱下面 的事件詳細數據 。
![Microsoft Defender 入口網站中裝置實體頁面的 [時程表] 索引標籤螢幕快照。](/zh-tw/defender/media/entity-page-device/entity-device-timeline-tab.png#lightbox)
事件詳細資料
選取事件以檢視該事件的相關詳細數據。 飛出視窗面板隨即顯示,以顯示更多有關事件的資訊。 顯示的信息類型取決於事件的類型。 當適用且數據可供使用時,您可能會看到顯示相關實體及其關聯性的圖表,例如檔案或進程鏈結。 您可能也會看到適用於事件的 MITRE ATT&CK 策略和技術的摘要描述。
若要進一步檢查事件和相關事件,您可以選取 [搜捕相關事件] 來快速執行進階搜捕查詢。 查詢會傳回選取的事件,以及相同端點上大約相同時間發生的其他事件清單。
安全性建議索引 標籤
[ 安全性建議 ] 索引標籤會列出您可以採取以保護裝置的動作。 選取此清單上的項目會開啟飛出視窗,您可以在其中取得如何套用建議的指示。
如同先前的索引標籤,可以自定義所顯示數據行的選擇。
默認檢視包含數據行,其中詳細說明已解決的安全性弱點、相關聯的威脅、受威脅影響的相關元件或軟體等等。 您可以依據建議的狀態來篩選專案。
深入瞭解 安全性建議。
![裝置實體頁面之 [安全性建議] 索引標籤的螢幕快照。](/zh-tw/defender/media/entity-page-device/entity-device-recommendations-tab.png#lightbox)
[清查] 索引 標籤
此索引標籤會顯示四種元件類型的清查:軟體、易受攻擊的元件、瀏覽器延伸模組和憑證。
軟體清查
此卡片會列出裝置上安裝的軟體。
默認檢視會顯示軟體廠商、已安裝的版本號碼、已知軟體弱點的數目、威脅深入解析、產品程式代碼和標籤。 可以自定義顯示的項目數目和顯示的數據行。
從此清單中選取項目會開啟飛出視窗,其中包含所選軟體的詳細數據,以及上次找到軟體時的路徑和時間戳。
此清單可依產品程式代碼、弱點和威脅的存在進行篩選。
![Microsoft Defender 入口網站中裝置配置檔的 [軟體清查] 索引卷標螢幕快照](/zh-tw/defender/media/entity-page-device/entity-device-inventories-tab.png#lightbox)
易受攻擊的元件
此卡片會列出包含弱點的軟體元件。
默認檢視和篩選選項與軟體相同。
選取專案以在飛出視窗中顯示詳細資訊。
瀏覽器擴充功能
此卡片會顯示裝置上安裝的瀏覽器擴充功能。 顯示的預設欄位是擴充功能名稱、已安裝的瀏覽器、版本、許可權風險 (根據擴充功能) 要求的裝置或網站存取類型,以及狀態。 您也可以選擇性地顯示廠商。
選取專案以在飛出視窗中顯示詳細資訊。
憑證
此卡片會顯示裝置上安裝的所有憑證。
默認顯示的欄位為憑證名稱、發行日期、到期日、金鑰大小、簽發者、簽章演算法、金鑰使用方式和實例數目。
清單可以依狀態、自我簽署與否、金鑰大小、簽章哈希和密鑰使用方式進行篩選。
選取憑證以在飛出視窗中顯示詳細資訊。
探索到的弱點索引標籤
此索引標籤會列出任何可能影響裝置的常見弱點和 (CVE) 。
默認檢視會列出 CVE 的嚴重性、一般弱點分數 (CVSS) 、與 CVE 相關的軟體、發佈 CVE 時、第一次偵測到 CVE 和上次更新時,以及與 CVE 相關聯的威脅。
如同先前的索引標籤,可以自定義要顯示的數據行選擇。 清單可依嚴重性、威脅狀態、裝置曝光和標籤進行篩選。
從此清單中選取項目會開啟描述 CVE 的飛出視窗。
![Microsoft Defender 入口網站中裝置配置檔的 [探索到的弱點] 索引標籤螢幕快照](/zh-tw/defender/media/entity-page-device/entity-device-vulnerabilities-tab.png#lightbox)
遺漏 KB 索引標籤
[遺漏的 KB] 索引卷標會列出任何尚未套用至裝置的Microsoft 匯報。 有問題的「KB」是 知識庫文章,可描述這些更新;例如, KB4551762。
默認檢視會列出公告,其中包含更新、OS 版本、KB標識符、受影響的產品、尋址的 CVE 和標籤。
您可以自訂要顯示的數據列選擇。
選取項目會開啟連結至更新的飛出視窗。
Sentinel 事件索引標籤
如果您的組織已將 Microsoft Sentinel 上線至 Defender 入口網站,則此額外的索引卷標會在裝置實體頁面上。 此索引標籤會從 Microsoft Sentinel 匯入主機實體頁面。
Sentinel 時間軸
此時程表會顯示與裝置實體相關聯的警示,Microsoft Sentinel 中稱為主機實體。 這些警示包括 [事件和警示] 索引標籤上顯示的警示,以及由 Microsoft Sentinel 從第三方、非Microsoft數據源建立的警示。
此時程表也會顯示來自其他調查的書籤搜捕,這些調查會參考此用戶實體、來自外部數據源的用戶活動事件,以及 Microsoft Sentinel 異常規則所偵測到的異常行為。
Insights
實體深入解析是由Microsoft安全性研究人員所定義的查詢,可協助您更有效率且更有效率地調查。 這些深入解析會自動詢問裝置實體的相關重要問題,並以表格式數據和圖表的形式提供寶貴的安全性資訊。 這些深入解析包括登入、群組新增、進程執行、異常事件等相關數據,並包含可偵測異常行為的進階機器學習演算法。
以下是一些顯示的深入解析:
- 主機上所擷取的螢幕快照。
- 偵測到Microsoft不帶正負號的進程。
- Windows 進程執行資訊。
- Windows 登入活動。
- 帳戶上的動作。
- 在主機上清除事件記錄檔。
- 群組新增專案。
- 主機、使用者、主機上群組的列舉。
- Microsoft Defender 應用程控。
- 透過熵計算處理不完全。
- 異常高數目的安全性事件。
- 預覽) (關注清單深入解析。
- Windows Defender 防毒軟體 事件。
深入解析是以下欄數據源為基礎:
- Syslog (Linux)
- SecurityEvent (Windows)
- AuditLogs (Microsoft Entra ID)
- SigninLogs (Microsoft Entra ID)
- OfficeActivity (Office 365)
- BehaviorAnalytics (Microsoft Sentinel UEBA)
- 活動訊號 (Azure 監視器代理程式)
- CommonSecurityLog (Microsoft Sentinel)
如果您想要進一步探索此面板中的任何深入解析,請選取隨附於深入解析的連結。 連結會帶您前往 [ 進階搜捕 ] 頁面,其中會顯示深入解析的基礎查詢及其原始結果。 您可以修改查詢或向下切入結果,以展開您的調查,或只滿足您的好奇心。
回應動作
回應動作提供分析、調查及防禦威脅的快捷方式。
![Microsoft Defender 入口網站中裝置實體頁面的 [動作列] 螢幕快照。](/zh-tw/defender/media/entity-page-device/entity-device-response-actions.png)
重要事項
- 只有當裝置已在 適用於端點的 Microsoft Defender 中註冊時,才可以使用回應動作。
- 註冊 適用於端點的 Microsoft Defender 的裝置可能會根據裝置的操作系統和版本號碼,顯示不同數目的回應動作。
回應動作會沿著特定裝置頁面的頂端執行,包括:
| 動作 | 描述 |
|---|---|
| 裝置值 | |
| 設定重要性 | |
| 管理標籤 | 匯報 已套用至此裝置的自定義標籤。 |
| 報告裝置不準確 | |
| 執行防病毒軟體掃描 | 匯報 Microsoft Defender 防病毒軟體定義,並立即執行防病毒軟體掃描。 選擇 [快速掃描] 或 [完整掃描]。 |
| 收集調查套件 | 收集裝置的相關信息。 當調查完成時,您可以下載它。 |
| 限制應用程式執行 | 防止未由Microsoft簽署的應用程式執行。 |
| 起始自動化調查 | 自動 調查和補救威脅。 雖然您可以手動觸發自動調查從此頁面執行, 但某些警示原則 會自行觸發自動調查。 |
| 起始即時回應會話 | 在裝置上載入遠端殼層,以進行 深入的安全性調查。 |
| 隔離裝置 | 將裝置與組織的網路隔離,同時讓它保持連線至 Microsoft Defender。 您可以選擇允許 Outlook、Teams 和 商務用 Skype 在隔離裝置時執行,以供通訊之用。 |
| 詢問 Defender 專家 | |
| 控制中心 | 顯示目前正在執行之任何回應動作的相關信息。 只有在已選取其他動作時才可使用。 |
| 從隔離腳本下載強制發行 | |
| Exclude | |
| 開始搜補 | |
| 開啟疑難解答模式 | |
| 原則同步處理 |
相關主題
- Microsoft Defender 全面偵測回應 概觀
- 開啟 Microsoft Defender 全面偵測回應
- Microsoft Defender中的用戶實體頁面
- Microsoft Defender中的IP位址實體頁面
- Microsoft Defender 全面偵測回應 與 Microsoft Sentinel整合
- 將 Microsoft Sentinel 連線至 Microsoft Defender 全面偵測回應
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。