Enhetsentitetssida i Microsoft Defender
Enhetsentitetssidan i Microsoft Defender-portalen hjälper dig att undersöka enhetsentiteter. Sidan innehåller all viktig information om en viss enhetsentitet. Om en avisering eller incident indikerar att en enhet beter sig misstänkt eller kan ha komprometterats undersöker du enhetens information för att identifiera andra beteenden eller händelser som kan vara relaterade till aviseringen eller incidenten och identifiera det potentiella omfånget för överträdelsen. Du kan också använda enhetsentitetssidan för att utföra några vanliga säkerhetsuppgifter, samt vissa svarsåtgärder för att åtgärda eller åtgärda säkerhetshot.
Viktigt
Innehållsuppsättningen som visas på enhetens entitetssida kan skilja sig något beroende på enhetens registrering i Microsoft Defender för Endpoint och Microsoft Defender för identitet.
Om din organisation har registrerat Microsoft Sentinel på Defender-portalen visas ytterligare information.
I Microsoft Sentinel kallas enhetsentiteter även för värdentiteter. Mer information.
Microsoft Sentinel är nu allmänt tillgängligt på Microsofts plattform för enhetliga säkerhetsåtgärder i Microsoft Defender-portalen. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.
Enhetsentiteter finns inom följande områden:
- Enhetslista under Tillgångar
- Varningskö
- Varje enskild avisering/incident
- Entitetssida för enskilda användare
- Alla enskilda filinformationsvyer
- Vyn IP-adress eller domäninformation
- Aktivitetslogg
- Avancerade jaktfrågor
- Åtgärdscenter
Du kan välja enheter när du ser dem i portalen för att öppna enhetens entitetssida, som visar mer information om enheten. Du kan till exempel se information om enheter som anges i aviseringarna för en incident i Microsoft Defender-portalen på Incidenter & aviseringar >Incidentincidenter>> Tillgångar > Enheter.
Enhetens entitetssida visar informationen i ett tabbformat. I den här artikeln beskrivs vilka typer av information som är tillgängliga på varje flik, samt vilka åtgärder du kan vidta på en viss enhet.
Följande flikar visas på enhetsentitetssidan:
- Översikt
- Incidenter och aviseringar
- Tidslinje
- Säkerhetsrekommendationer
- Inventeringar
- Identifierade sårbarheter
- Saknade KB:er
- Säkerhetsbaslinjer
- Säkerhetsprinciper
- Sentinel-händelser
Sidhuvud för entitet
Det översta avsnittet på entitetssidan innehåller följande information:
- Entitetsnamn
- Indikatorer för allvarlighetsgrad, allvarlighetsgrad och enhetsvärde
- Taggar som enheten kan klassificeras med. Kan läggas till av Defender för Endpoint, Defender för identitet eller av användare. Taggar från Microsoft Defender för identitet kan inte redigeras.
- Svarsåtgärder finns också här. Läs mer om dem nedan.
Fliken Översikt
Standardfliken är Översikt. Den ger en snabb titt på de viktigaste säkerhetsfaktana om enheten. Fliken Översikt innehåller sidopanelen för enhetsinformation och en instrumentpanel med vissa kort som visar information på hög nivå.
Enhetsinformation
I sidofältet visas enhetens fullständiga namn och exponeringsnivå. Den innehåller också viktig grundläggande information i små underavsnitt, som kan expanderas eller komprimeras, till exempel:
Sektion | Inkluderad information |
---|---|
Vm-information | Dator- och domännamn och ID:er, status för hälsa och registrering, tidsstämplar för första och sista gången, IP-adresser med mera |
Information om DLP-principsynkronisering | Om det är relevant |
Konfigurationsstatus | Information om Microsoft Defender för Endpoint-konfiguration |
Information om molnresurser | Molnplattform, resurs-ID, prenumerationsinformation med mera |
Maskinvara och inbyggd programvara | Information om virtuella datorer, processorer och BIOS med mera |
Enhetshantering | Registreringsstatus och hanteringsinformation för Microsoft Defender för Endpoint |
Katalogdata | UAC-flaggor , SPN:er och gruppmedlemskap. |
Instrumentpanel
Huvuddelen av fliken Översikt visar flera visningskort av instrumentpanelstyp:
- Aktiva aviseringar och risknivå som involverar enheten under de senaste sex månaderna, grupperade efter allvarlighetsgrad
- Säkerhetsbedömningar och exponeringsnivå för enheten
- Inloggade användare på enheten under de senaste 30 dagarna
- Enhetens hälsostatus och annan information om de senaste genomsökningarna av enheten.
Tips
Exponeringsnivån avser hur mycket enheten följer säkerhetsrekommendationerna, medan risknivån beräknas baserat på ett antal faktorer, inklusive typer och allvarlighetsgrad för aktiva aviseringar.
Fliken Incidenter och aviseringar
Fliken Incidenter och aviseringar innehåller en lista över incidenter som innehåller aviseringar som har utlösts på enheten, från något av flera Microsoft Defender-identifieringskällor, inklusive, om de registreras, Microsoft Sentinel. Den här listan är en filtrerad version av incidentkön och visar en kort beskrivning av incidenten eller aviseringen, dess allvarlighetsgrad (hög, medel, låg, information), dess status i kön (ny, pågår, löst), dess klassificering (inte inställd, falsk avisering, sann avisering), undersökningstillstånd, kategori, vem som har tilldelats att åtgärda den och senaste aktivitet observerad.
Du kan anpassa vilka kolumner som visas för varje objekt. Du kan också filtrera aviseringarna efter allvarlighetsgrad, status eller någon annan kolumn i visningen.
Kolumnen påverkade entiteter refererar till alla enheter och användarentiteter som refereras i incidenten eller aviseringen.
När en incident eller avisering har valts visas en utfällning. I den här panelen kan du hantera incidenten eller aviseringen och visa mer information, till exempel incident-/aviseringsnummer och relaterade enheter. Flera aviseringar kan väljas samtidigt.
Om du vill se en helsidesvy över en incident eller avisering väljer du dess rubrik.
Fliken Tidslinje
Fliken Tidslinje visar en kronologisk vy över alla händelser som har observerats på enheten. Detta kan hjälpa dig att korrelera händelser, filer och IP-adresser i förhållande till enheten.
Valet av kolumner som visas i listan kan båda anpassas. Standardkolumnerna visar händelsetiden, aktiv användare, åtgärdstyp, associerade entiteter (processer, filer, IP-adresser) och ytterligare information om händelsen.
Du kan styra tidsperioden för vilken händelser visas genom att glida kantlinjerna för tidsperioden längs den övergripande tidslinjediagrammet överst på sidan. Du kan också välja en tidsperiod i listrutan överst i listan (standardvärdet är 30 dagar). Om du vill styra vyn ytterligare kan du filtrera efter händelsegrupper eller anpassa kolumnerna.
Du kan exportera upp till sju dagars händelser till en CSV-fil för nedladdning.
Öka detaljnivån för information om enskilda händelser genom att välja och händelse och visa dess information i den resulterande utfällbara panelen. Se Händelseinformation nedan.
Obs!
För att brandväggshändelser ska visas måste du aktivera granskningsprincipen i Anslutning till granskningsfiltreringsplattform.
Brandväggen omfattar följande händelser:
Händelseinformation
Välj en händelse om du vill visa relevant information om händelsen. En utfälld panel visas för att visa mycket mer information om händelsen. Vilka typer av information som visas beror på typen av händelse. När det är tillämpligt och data är tillgängliga kan du se ett diagram som visar relaterade entiteter och deras relationer, till exempel en kedja av filer eller processer. Du kan också se en sammanfattning av MITRE ATT-&CK-taktiker och tekniker som gäller för händelsen.
Om du vill granska händelsen och relaterade händelser ytterligare kan du snabbt köra en avancerad jaktfråga genom att välja Jaga efter relaterade händelser. Frågan returnerar den valda händelsen och listan över andra händelser som inträffade ungefär samtidigt på samma slutpunkt.
Fliken Säkerhetsrekommendationer
På fliken Säkerhetsrekommendationer visas åtgärder som du kan vidta för att skydda enheten. Om du väljer ett objekt i den här listan öppnas en utfälld meny där du kan få instruktioner om hur du tillämpar rekommendationen.
Precis som med föregående flikar kan du anpassa valet av kolumner som visas.
Standardvyn innehåller kolumner som beskriver de säkerhetsbrister som åtgärdas, det associerade hotet, den relaterade komponenten eller programvaran som påverkas av hotet med mera. Objekt kan filtreras efter rekommendationens status.
Läs mer om säkerhetsrekommendationer.
Fliken Inventeringar
På den här fliken visas inventeringar av fyra typer av komponenter: Programvara, sårbara komponenter, webbläsartillägg och certifikat.
Programvaruinventering
Det här kortet visar en lista över programvara som är installerad på enheten.
Standardvyn visar programvaruleverantören, det installerade versionsnumret, antalet kända programvarubrister, hotinsikter, produktkod och taggar. Antalet objekt som visas och vilka kolumner som visas kan båda anpassas.
Om du väljer ett objekt i den här listan öppnas en utfälld meny som innehåller mer information om den valda programvaran och sökvägen och tidsstämpeln för den senaste gången programvaran hittades.
Den här listan kan filtreras efter produktkod, svagheter och förekomst av hot.
Sårbara komponenter
Det här kortet visar programvarukomponenter som innehåller säkerhetsrisker.
Standardalternativen för vy och filtrering är samma som för programvara.
Välj ett objekt om du vill visa mer information i en utfälld meny.
Webbläsartillägg
Det här kortet visar webbläsartilläggen som är installerade på enheten. Standardfälten som visas är tilläggsnamnet, webbläsaren som det är installerat för, versionen, behörighetsrisken (baserat på vilken typ av åtkomst till enheter eller webbplatser som begärs av tillägget) och statusen. Alternativt kan leverantören också visas.
Välj ett objekt om du vill visa mer information i en utfälld meny.
Certifikaten
Det här kortet visar alla certifikat som är installerade på enheten.
Fälten som visas som standard är certifikatets namn, utfärdandedatum, förfallodatum, nyckelstorlek, utfärdare, signaturalgoritm, nyckelanvändning och antal instanser.
Listan kan filtreras efter status, självsignerad eller inte, nyckelstorlek, signaturhash och nyckelanvändning.
Välj ett certifikat om du vill visa mer information i en utfälld meny.
Fliken Identifierade sårbarheter
På den här fliken visas alla vanliga sårbarheter och sårbarheter (CVE:er) som kan påverka enheten.
Standardvyn visar allvarlighetsgraden för CVE, Common Vulnerability Score (CVSS), programvaran som är relaterad till CVE, när CVE publicerades, när CVE först upptäcktes och senast uppdaterades, samt hot som är associerade med CVE.
Precis som med föregående flikar kan du anpassa valet av kolumner som ska visas. Listan kan filtreras efter allvarlighetsgrad, hotstatus, enhetsexponering och taggar.
Om du väljer ett objekt i den här listan öppnas en utfälld meny som beskriver CVE.
Fliken KBs saknas
På fliken Saknade KB:er visas alla Microsoft-uppdateringar som ännu inte har tillämpats på enheten. De aktuella "KB:erna" är kunskapsbasartiklar som beskriver dessa uppdateringar. till exempel KB4551762.
I standardvyn visas den bulletin som innehåller uppdateringar, OS-version, KB-ID-nummer, produkter som påverkas, adresserade CVE:er och taggar.
Du kan anpassa valet av kolumner som ska visas.
Om du väljer ett objekt öppnas en utfälld meny som länkar till uppdateringen.
Fliken Sentinel-händelser
Om din organisation registrerade Microsoft Sentinel på Defender-portalen finns den här ytterligare fliken på enhetens entitetssida. På den här fliken importeras sidan Värdentitet från Microsoft Sentinel.
Sentinel-tidslinje
Den här tidslinjen visar aviseringar som är associerade med enhetsentiteten, som i Microsoft Sentinel kallas värdentitet. Dessa aviseringar omfattar de som visas på fliken Incidenter och aviseringar och de som skapats av Microsoft Sentinel från datakällor från tredje part som inte kommer från Microsoft.
Den här tidslinjen visar också bokmärkta jakter från andra undersökningar som refererar till den här användarentiteten, händelser för användaraktivitet från externa datakällor och ovanliga beteenden som identifieras av Microsoft Sentinels avvikelseregler.
Insikter
Entitetsinsikter är frågor som definieras av Microsofts säkerhetsforskare för att hjälpa dig att undersöka mer effektivt och effektivt. Dessa insikter ställer automatiskt de stora frågorna om enhetentiteten och ger värdefull säkerhetsinformation i form av tabelldata och diagram. Insikterna omfattar data om inloggningar, grupptillägg, processkörningar, avvikande händelser med mera och inkluderar avancerade maskininlärningsalgoritmer för att identifiera avvikande beteende.
Följande är några av de insikter som visas:
- Skärmbild som tagits på värden.
- Processer som inte har signerats av Microsoft har identifierats.
- Windows-processkörningsinformation.
- Windows-inloggningsaktivitet.
- Åtgärder för konton.
- Händelseloggar rensas på värden.
- Grupptillägg.
- Uppräkning av värdar, användare, grupper på värden.
- Microsoft Defender-programkontroll.
- Processraritet via entropy-beräkning.
- Avvikande stort antal säkerhetshändelser.
- Visningslista insikter (förhandsversion).
- Windows Defender Antivirus-händelser.
Insikterna baseras på följande datakällor:
- Syslog (Linux)
- SecurityEvent (Windows)
- AuditLogs (Microsoft Entra-ID)
- SigninLogs (Microsoft Entra-ID)
- OfficeActivity (Office 365)
- BehaviorAnalytics (Microsoft Sentinel UEBA)
- Pulsslag (Azure Monitor-agent)
- CommonSecurityLog (Microsoft Sentinel)
Om du vill utforska någon av insikterna i den här panelen ytterligare väljer du länken som medföljer insikten. Länken tar dig till sidan Avancerad jakt , där den visar frågan som ligger till grund för insikten, tillsammans med dess råresultat. Du kan ändra frågan eller öka detaljnivån i resultaten för att utöka undersökningen eller bara tillfredsställa din nyfikenhet.
Svarsåtgärder
Svarsåtgärder erbjuder genvägar för att analysera, undersöka och skydda mot hot.
Viktigt
- Svarsåtgärder är endast tillgängliga om enheten har registrerats i Microsoft Defender för Endpoint.
- Enheter som har registrerats i Microsoft Defender för Endpoint kan visa olika antal svarsåtgärder, baserat på enhetens operativsystem och versionsnummer.
Svarsåtgärder körs överst på en specifik enhetssida och omfattar:
Åtgärd | Beskrivning |
---|---|
Enhetsvärde | |
Ange allvarlighetsgrad | |
Hantera taggar | Uppdaterar anpassade taggar som du har tillämpat på den här enheten. |
Rapportera enhetsaccuracy | |
Kör antivirusgenomsökning | Uppdaterar Microsoft Defender Antivirus-definitioner och kör omedelbart en antivirusgenomsökning. Välj mellan Snabbsökning eller Fullständig genomsökning. |
Samla in undersökningspaket | Samlar in information om enheten. När undersökningen är klar kan du ladda ned den. |
Begränsa körning av program | Förhindrar att program som inte är signerade av Microsoft körs. |
Starta automatiserad undersökning | Undersöker och åtgärdar hot automatiskt. Även om du kan utlösa automatiserade undersökningar manuellt för att köra från den här sidan utlöser vissa aviseringsprinciper automatiska undersökningar på egen hand. |
Initiera livesvarssession | Läser in ett fjärrgränssnitt på enheten för djupgående säkerhetsundersökningar. |
Isolera enhet | Isolerar enheten från organisationens nätverk samtidigt som den är ansluten till Microsoft Defender. Du kan välja att tillåta att Outlook, Teams och Skype för företag körs medan enheten är isolerad i kommunikationssyfte. |
Fråga Defender-experter | |
Åtgärdscenter | Visar information om eventuella svarsåtgärder som körs för närvarande. Endast tillgängligt om en annan åtgärd redan har valts. |
Ladda ned framtvinga version från isoleringsskript | |
Utesluta | |
Gå på jakt | |
Aktivera felsökningsläge | |
Principsynkronisering |
Relaterade ämnen
- Översikt över Microsoft Defender XDR
- Aktivera Microsoft Defender XDR
- Sidan Användarentitet i Microsoft Defender
- Entitetssida för IP-adress i Microsoft Defender
- Microsoft Defender XDR-integrering med Microsoft Sentinel
- Ansluta Microsoft Sentinel till Microsoft Defender XDR
Tips
Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.