Linha cronológica do dispositivo do Microsoft Defender para Endpoint

Aplica-se a:

Nota

Quer experimentar o Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.

A linha cronológica do dispositivo do Defender para Endpoint ajuda-o a pesquisar e investigar comportamentos anómalos nos seus dispositivos mais rapidamente. Pode explorar eventos e pontos finais específicos para rever potenciais ataques na sua organização. Pode rever horas específicas de cada evento, definir sinalizadores para dar seguimento a eventos potencialmente ligados e filtrar para intervalos de datas específicos.

  • Seletor de intervalo de tempo personalizado:

    Captura de ecrã do intervalo de tempo personalizado.

  • Experiência de árvore de processos – painel lateral do evento:

    Captura de ecrã do painel do lado do evento.

  • Todas as técnicas MITRE são mostradas quando existe mais do que uma técnica relacionada:

    Captura de ecrã de todas as técnicas MITRE.

  • Os eventos da linha cronológica estão ligados à nova página de utilizador:

    Captura de ecrã a mostrar os eventos da linha cronológica ligados à nova página de utilizador.

    Captura de ecrã a mostrar os eventos da linha cronológica ligados à nova página de utilizador 2.

  • Os filtros definidos estão agora visíveis na parte superior da linha cronológica:

    Captura de ecrã a mostrar os filtros definidos.

Técnicas na linha cronológica do dispositivo

Pode obter mais informações numa investigação ao analisar os eventos ocorridos num dispositivo específico. Primeiro, selecione o dispositivo de interesse na lista Dispositivos. Na página do dispositivo, pode selecionar o separador Linha Cronológica para ver todos os eventos ocorridos no dispositivo.

Compreender as técnicas na linha cronológica

Importante

Algumas informações estão relacionadas com uma funcionalidade de produto pré-lançada na pré-visualização pública, que pode ser substancialmente modificada antes de ser lançada comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, em relação às informações aqui fornecidas.

No Microsoft Defender para Endpoint, as técnicas são um tipo de dados adicional na linha cronológica do evento. As técnicas fornecem mais informações sobre as atividades associadas ao MITRE ATT& técnicas CK ou subtecniques.

Esta funcionalidade simplifica a experiência de investigação ao ajudar os analistas a compreender as atividades observadas num dispositivo. Os analistas podem então decidir investigar mais aprofundadamente.

Durante a pré-visualização, as técnicas estão disponíveis por predefinição e são apresentadas em conjunto com eventos quando a linha cronológica de um dispositivo é visualizada.

Captura de ecrã de todas as técnicas MITRE.

As técnicas são realçadas em texto a negrito e aparecem com um ícone azul à esquerda. O MITRE ATT correspondente&ID CK e o nome da técnica também aparecem como etiquetas em Informações adicionais.

As opções de Pesquisa e Exportação também estão disponíveis para Técnicas.

Investigar com o painel lateral

Selecione uma Técnica para abrir o painel lateral correspondente. Aqui, pode ver informações adicionais, como att relacionado&técnicas CK, táticas e descrições.

Selecione a técnica de Ataque específica para abrir a página técnica att&CK relacionada, onde pode encontrar mais informações sobre o mesmo.

Pode copiar os detalhes de uma entidade quando vir um ícone azul à direita. Por exemplo, para copiar o SHA1 de um ficheiro relacionado, selecione o ícone de página azul.

Captura de ecrã a mostrar os detalhes da entidade de cópia.

Captura de ecrã que mostra os detalhes do painel lateral.

Pode fazer o mesmo para linhas de comandos.

Captura de ecrã que mostra a opção para copiar a linha de comandos.

Para utilizar a investigação avançada para encontrar eventos relacionados com a Técnica selecionada, selecione Investigar eventos relacionados. Isto leva à página de investigação avançada com uma consulta para encontrar eventos relacionados com a Técnica.

Captura de ecrã que mostra a opção Procurar eventos relacionados.

Nota

A consulta através do botão Procurar eventos relacionados a partir de um painel lateral Técnica apresenta todos os eventos relacionados com a técnica identificada, mas não inclui a própria Técnica nos resultados da consulta.

Cliente EDR (MsSense.exe) Resource Manager

Quando o cliente EDR num dispositivo tem poucos recursos, entra no modo crítico para manter o funcionamento normal do dispositivo. O dispositivo não processará novos eventos até que o cliente EDR regresse a um estado normal. É apresentado um novo evento na Linha Cronológica desse dispositivo que indica que o cliente EDR mudou para o modo Crítico .

Quando a utilização de recursos do cliente EDR voltar aos níveis normais, voltará automaticamente ao modo normal.

Personalizar a linha cronológica do dispositivo

No canto superior direito da linha cronológica do dispositivo, pode escolher um intervalo de datas para limitar o número de eventos e técnicas na linha cronológica.

Pode personalizar as colunas a expor. Também pode filtrar eventos sinalizados por tipo de dados ou por grupo de eventos.

Escolher colunas a expor

Pode escolher as colunas a expor na linha cronológica ao selecionar o botão Escolher colunas .

Captura de ecrã que mostra o painel no qual pode personalizar colunas.

A partir daí, pode selecionar as informações que pretende incluir.

Filtrar para ver apenas técnicas ou eventos

Para ver apenas eventos ou técnicas, selecione Filtros na linha cronológica do dispositivo e escolha o tipo de Dados preferido a ver.

Captura de ecrã a mostrar o painel Filtros.

Sinalizadores de eventos da linha cronológica

Os sinalizadores de eventos na linha cronológica do dispositivo do Defender para Endpoint ajudam-no a filtrar e organizar eventos específicos quando estiver a investigar potenciais ataques.

A linha cronológica do dispositivo do Defender para Endpoint fornece uma vista cronológica dos eventos e alertas associados observados num dispositivo. Esta lista de eventos fornece visibilidade total sobre quaisquer eventos, ficheiros e endereços IP observados no dispositivo. Por vezes, a lista pode ser longa. Os sinalizadores de eventos da linha cronológica do dispositivo ajudam-no a controlar eventos que possam estar relacionados.

Depois de percorrer uma linha cronológica do dispositivo, pode ordenar, filtrar e exportar os eventos específicos que sinalizou.

Ao navegar na linha cronológica do dispositivo, pode procurar e filtrar eventos específicos. Pode definir sinalizadores de eventos ao:

  • Realçar os eventos mais importantes
  • Marcar eventos que requerem uma descrição aprofundada
  • Criar uma linha cronológica de falha de segurança limpa

Sinalizar um evento

  1. Localize o evento que pretende sinalizar.

  2. Selecione o ícone de sinalizador na coluna Sinalizador.

O sinalizador da linha cronológica do dispositivo

Ver eventos sinalizados

  1. Na secção Filtros da linha cronológica, ative Eventos sinalizados.
  2. Selecione Aplicar. Só são apresentados eventos sinalizados.

Pode aplicar mais filtros ao clicar na barra de tempo. Isto só mostrará eventos antes do evento sinalizado.

Captura de ecrã que mostra o sinalizador da linha cronológica do dispositivo com o filtro ativado.

Sugestão

Quer saber mais? Contacte a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.