調查裝置

  • 7 分鐘

調查特定裝置上所引發警示的詳細資料,以識別可能與警示相關的其他行為或事件,或可能發生安全性缺口的範圍。

當您在入口網站中看到受影響的裝置時,您可以選取該裝置,以開啟該裝置的詳細報告。 受影響的裝置會在下列區域中進行識別:

  • 裝置清單

  • 警示佇列

  • 安全性作業儀表板

  • 任何個別警示

  • 任何個別檔案詳細資料檢視

  • 任何 IP 位址或網域詳細資料檢視

當您調查特定裝置時,您會看到:

  • 裝置詳細資料

  • 回應動作

  • 索引標籤 - 概觀、警示、時程表、安全性建議、軟體清查、探索到的弱點、遺漏的 KB (知識庫識別碼)

  • 卡片 (作用中警示、已登入的使用者、安全性評量)

裝置詳細資料

[裝置詳細資料] 區段提供資訊,例如裝置的網域、作業系統和健全狀態。 如果裝置上有可用的調查套件,您將會看到可讓您下載套件的連結。

回應動作

回應動作會在特定裝置頁面的頂端執行,並包括:

  • 管理標籤

  • 隔離裝置

  • 限制應用程式執行

  • 執行防毒軟體掃描

  • 收集調查套件

  • 起始即時回應工作階段

  • 起始自動化調查

  • 洽詢威脅專家

  • 控制中心

您可以在控制中心、特定裝置頁面或特定檔案頁面上採取回應動作。

索引標籤

概觀

[概觀] 索引標籤會顯示作用中警示、已登入的使用者和安全性評量的卡片。

作用中警示

您可以在網路中,從圖格檢視過去 30 天內作用中警示的整體數目。 警示會分組為 [新增] 和 [進行中]。 每個群組都會進一步細分為其對應的警示嚴重性等級。 選取每個警示通道內的警示數目,以查看該類別佇列 ([新增] 或 [進行中]) 的已排序檢視。

已登入的使用者

[已登入的使用者] 卡片會顯示過去 30 天內有多少使用者登入,以及頻率最高和最低的使用者。 選取 [查看所有使用者] 連結會開啟詳細資料窗格,其中顯示使用者類型、登入類型,以及使用者第一次和最後一次出現的時間。

安全性評量

[安全性評量] 卡片會顯示整體暴露程度層級、安全性建議、已安裝的軟體,以及探索到的弱點。 裝置的暴露程度層級是由其擱置安全性建議的累計影響來決定。

警示

[警示] 索引標籤會提供與裝置相關聯的警示清單。 這份清單是警示佇列的篩選版本,會顯示警示的簡短描述、嚴重性 (高、中、低、資訊性)、佇列中的狀態 (新增、進行中、已解決)、分類 (未設定、False 警示、True 警示)、調查狀態、警示的類別、解決警示的人員,以及最後一個活動。 您也可以篩選警示。

時間表

[時間表] 索引標籤會提供在裝置上觀察到的事件和相關聯警示的時間順序檢視。 這可協助您讓任何與裝置相關的事件、檔案和 IP 位址相互關聯。

時間表也可讓您選擇性地向下切入到在指定時間期間內發生的事件。 您可以檢視在選取的時間期間內,於裝置上發生的事件時態順序。 若要進一步控制您的檢視,您可以依事件群組篩選或自訂資料行。

部分功能包括:

  • 搜尋特定事件

    • 使用搜尋列來尋找特定的時間軸事件。

  • 篩選來自特定服務的事件

    • 選取資料表左上角的行事曆圖示,以顯示過去一天、一週、30 天或自訂範圍內的事件。 根據預設,裝置時間表會設定為顯示過去 30 天內的事件。

    • 使用時間表,藉由醒目提示區段來跳至特定時間點。 時間表上的箭號會固定自動調查

  • 匯出詳細裝置時間表事件

    • 將目前日期的裝置時間表或最多七天的指定日期範圍匯出。

系統會提供特定事件的更多詳細資料,根據事件的類型而有所不同,例如:

  • 應用程式防護包含 - 網頁瀏覽器事件受隔離的容器限制

  • 偵測到作用中威脅 - 威脅正在執行時發生威脅偵測

  • 補救失敗 - 已叫用嘗試補救偵測到的威脅,但是失敗

  • 補救成功 - 已停止並清除偵測到的威脅

  • 使用者略過的警告 - 已關閉 Windows Defender SmartScreen 警告,並由使用者覆寫

  • 偵測到可疑的指令碼 - 找到執行中的潛在惡意指令碼

  • 警示類別 - 如果事件導致警示產生,則會提供警示類別 (例如「橫向移動」)

為事件加上旗標

在瀏覽裝置時間表時,您可以搜尋和篩選特定的事件。 您可以透過下列方式設定事件旗標:

  • 醒目提示最重要的事件

  • 標示需要深入探討的事件

  • 建立清除安全性缺口時間表

尋找您要加上旗標的事件。 選取 [旗標] 資料行中的旗標圖示。

檢視標示的事件

在時間表 [篩選] 區段中,啟用僅加上旗標的事件。 選取套用。 只會顯示已加上旗標的事件。 您可以按一下時間列,以套用更多篩選條件。 這只會顯示已加上旗標事件之前的事件。

事件詳細資料

選取事件以檢視該事件的相關詳細資料。 顯示一般事件資訊的面板隨即顯示。 當適用且資料可用時,也會顯示圖表,其中顯示相關實體及其關聯性。

若要進一步檢查事件和相關事件,您可以藉由選取 [搜尋相關事件] 來快速執行進階搜尋查詢。 此查詢會傳回選取的事件,以及在相同端點上發生的其他事件清單。

安全性建議

從適用於端點的 Microsoft Defender 的威脅和弱點管理功能產生安全性建議。 選取建議會顯示一個面板,您可以在其中檢視相關的詳細資料,例如建議的描述,以及未制定時相關聯的潛在風險。

軟體清查

[軟體清查] 索引標籤可讓您檢視裝置上的軟體,以及任何弱點或威脅。 選取軟體的名稱會帶您前往 [軟體詳細資料] 頁面,您可以在其中檢視安全性建議、探索到的弱點、已安裝的裝置,以及版本發佈。

探索到的弱點

[探索到的弱點] 索引標籤會顯示裝置上探索到的弱點名稱、嚴重性和威脅深入解析。 選取特定弱點會顯示描述和詳細資料。

遺漏知識庫

[遺漏 KB] 索引標籤會列出裝置的遺漏安全性更新。