Linha cronológica do dispositivo do Microsoft Defender para Endpoint
Aplica-se a:
Nota
Quer experimentar o Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.
A linha cronológica do dispositivo do Defender para Endpoint ajuda-o a pesquisar e investigar comportamentos anómalos nos seus dispositivos mais rapidamente. Pode explorar eventos e pontos finais específicos para rever potenciais ataques na sua organização. Pode rever horas específicas de cada evento, definir sinalizadores para dar seguimento a eventos potencialmente ligados e filtrar para intervalos de datas específicos.
Seletor de intervalo de tempo personalizado:
Experiência de árvore de processos – painel lateral do evento:
Todas as técnicas MITRE são mostradas quando existe mais do que uma técnica relacionada:
Os eventos da linha cronológica estão ligados à nova página de utilizador:
Os filtros definidos estão agora visíveis na parte superior da linha cronológica:
Técnicas na linha cronológica do dispositivo
Pode obter mais informações numa investigação ao analisar os eventos ocorridos num dispositivo específico. Primeiro, selecione o dispositivo de interesse na lista Dispositivos. Na página do dispositivo, pode selecionar o separador Linha Cronológica para ver todos os eventos ocorridos no dispositivo.
Compreender as técnicas na linha cronológica
Importante
Algumas informações estão relacionadas com uma funcionalidade de produto pré-lançada na pré-visualização pública, que pode ser substancialmente modificada antes de ser lançada comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, em relação às informações aqui fornecidas.
No Microsoft Defender para Endpoint, as técnicas são um tipo de dados adicional na linha cronológica do evento. As técnicas fornecem mais informações sobre as atividades associadas ao MITRE ATT& técnicas CK ou subtecniques.
Esta funcionalidade simplifica a experiência de investigação ao ajudar os analistas a compreender as atividades observadas num dispositivo. Os analistas podem então decidir investigar mais aprofundadamente.
Durante a pré-visualização, as técnicas estão disponíveis por predefinição e são apresentadas em conjunto com eventos quando a linha cronológica de um dispositivo é visualizada.
As técnicas são realçadas em texto a negrito e aparecem com um ícone azul à esquerda. O MITRE ATT correspondente&ID CK e o nome da técnica também aparecem como etiquetas em Informações adicionais.
As opções de Pesquisa e Exportação também estão disponíveis para Técnicas.
Investigar com o painel lateral
Selecione uma Técnica para abrir o painel lateral correspondente. Aqui, pode ver informações adicionais, como att relacionado&técnicas CK, táticas e descrições.
Selecione a técnica de Ataque específica para abrir a página técnica att&CK relacionada, onde pode encontrar mais informações sobre o mesmo.
Pode copiar os detalhes de uma entidade quando vir um ícone azul à direita. Por exemplo, para copiar o SHA1 de um ficheiro relacionado, selecione o ícone de página azul.
Pode fazer o mesmo para linhas de comandos.
Investigar eventos relacionados
Para utilizar a investigação avançada para encontrar eventos relacionados com a Técnica selecionada, selecione Investigar eventos relacionados. Isto leva à página de investigação avançada com uma consulta para encontrar eventos relacionados com a Técnica.
Nota
A consulta através do botão Procurar eventos relacionados a partir de um painel lateral Técnica apresenta todos os eventos relacionados com a técnica identificada, mas não inclui a própria Técnica nos resultados da consulta.
Cliente EDR (MsSense.exe) Resource Manager
Quando o cliente EDR num dispositivo tem poucos recursos, entra no modo crítico para manter o funcionamento normal do dispositivo. O dispositivo não processará novos eventos até que o cliente EDR regresse a um estado normal. É apresentado um novo evento na Linha Cronológica desse dispositivo que indica que o cliente EDR mudou para o modo Crítico .
Quando a utilização de recursos do cliente EDR voltar aos níveis normais, voltará automaticamente ao modo normal.
Personalizar a linha cronológica do dispositivo
No canto superior direito da linha cronológica do dispositivo, pode escolher um intervalo de datas para limitar o número de eventos e técnicas na linha cronológica.
Pode personalizar as colunas a expor. Também pode filtrar eventos sinalizados por tipo de dados ou por grupo de eventos.
Escolher colunas a expor
Pode escolher as colunas a expor na linha cronológica ao selecionar o botão Escolher colunas .
A partir daí, pode selecionar as informações que pretende incluir.
Filtrar para ver apenas técnicas ou eventos
Para ver apenas eventos ou técnicas, selecione Filtros na linha cronológica do dispositivo e escolha o tipo de Dados preferido a ver.
Sinalizadores de eventos da linha cronológica
Os sinalizadores de eventos na linha cronológica do dispositivo do Defender para Endpoint ajudam-no a filtrar e organizar eventos específicos quando estiver a investigar potenciais ataques.
A linha cronológica do dispositivo do Defender para Endpoint fornece uma vista cronológica dos eventos e alertas associados observados num dispositivo. Esta lista de eventos fornece visibilidade total sobre quaisquer eventos, ficheiros e endereços IP observados no dispositivo. Por vezes, a lista pode ser longa. Os sinalizadores de eventos da linha cronológica do dispositivo ajudam-no a controlar eventos que possam estar relacionados.
Depois de percorrer uma linha cronológica do dispositivo, pode ordenar, filtrar e exportar os eventos específicos que sinalizou.
Ao navegar na linha cronológica do dispositivo, pode procurar e filtrar eventos específicos. Pode definir sinalizadores de eventos ao:
- Realçar os eventos mais importantes
- Marcar eventos que requerem uma descrição aprofundada
- Criar uma linha cronológica de falha de segurança limpa
Sinalizar um evento
Localize o evento que pretende sinalizar.
Selecione o ícone de sinalizador na coluna Sinalizador.
Ver eventos sinalizados
- Na secção Filtros da linha cronológica, ative Eventos sinalizados.
- Selecione Aplicar. Só são apresentados eventos sinalizados.
Pode aplicar mais filtros ao clicar na barra de tempo. Isto só mostrará eventos antes do evento sinalizado.
Sugestão
Quer saber mais? Contacte a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.