Undersöka enheter i listan Microsoft Defender för Endpoint enheter

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Undersök information om en avisering som genereras på en specifik enhet för att identifiera andra beteenden eller händelser som kan vara relaterade till aviseringen eller det potentiella omfånget för överträdelsen.

Obs!

Som en del av undersöknings- eller svarsprocessen kan du samla in ett undersökningspaket från en enhet. Så här samlar du in undersökningspaket från enheter.

Du kan välja på berörda enheter när du ser dem i portalen för att öppna en detaljerad rapport om enheten. Berörda enheter identifieras inom följande områden:

  • Enhetslista
  • Varningskö
  • Alla enskilda aviseringar
  • Alla enskilda filinformationsvyer
  • Vyn IP-adress eller domäninformation

När du undersöker en specifik enhet ser du:

  • Enhetsinformation
  • Svarsåtgärder
  • Flikar (översikt, aviseringar, tidslinje, säkerhetsrekommendationer, programvaruinventering, identifierade sårbarheter, saknade KB:er)
  • Kort (aktiva aviseringar, inloggade användare, säkerhetsbedömning, enhetens hälsostatus)

Enhetsvyn

Obs!

På grund av produktbegränsningar tar enhetsprofilen inte hänsyn till alla cyberbevis vid fastställandet av tidsramen "Senaste sedda" (vilket även visas på enhetssidan). Värdet "Senast sett" på sidan Enhet kan till exempel visa en äldre tidsram även om nyare aviseringar eller data är tillgängliga i datorns tidslinje.

Enhetsinformation

Avsnittet med enhetsinformation innehåller information som enhetens domän, operativsystem och hälsotillstånd. Om det finns ett undersökningspaket tillgängligt på enheten visas en länk som gör att du kan ladda ned paketet.

Svarsåtgärder

Svarsåtgärder körs överst på en specifik enhetssida och omfattar:

  • Visa på karta
  • Enhetsvärde
  • Ange allvarlighetsgrad
  • Hantera taggar
  • Isolera enhet
  • Begränsa körning av program
  • Kör antivirusgenomsökning
  • Samla in undersökningspaket
  • Initiera livesvarssession
  • Starta automatiserad undersökning
  • Konsultera en hotexpert
  • Åtgärdscenter

Du kan vidta svarsåtgärder i åtgärdscentret, på en specifik enhetssida eller på en specifik filsida.

Mer information om hur du vidtar åtgärder på en enhet finns i Vidta svarsåtgärd på en enhet.

Mer information finns i Undersöka användarentiteter.

Obs!

Visa i mappning och ange allvarlighetsgrad är funktioner från Microsoft Exposure Management, som för närvarande är i offentlig förhandsversion.

Flikar

Flikarna innehåller relevant information om säkerhet och skydd mot hot som är relaterad till enheten. På varje flik kan du anpassa de kolumner som visas genom att välja Anpassa kolumner i fältet ovanför kolumnrubrikerna.

Översikt

Fliken Översikt visar korten för aktiva aviseringar, inloggade användare och säkerhetsutvärdering.

Fliken Översikt på enhetssidan

Incidenter och aviseringar

Fliken Incidenter och aviseringar innehåller en lista över incidenter och aviseringar som är associerade med enheten. Den här listan är en filtrerad version av aviseringskö och visar en kort beskrivning av incidenten, aviseringen, allvarlighetsgraden (hög, medel, låg, information), status i kön (ny, pågår, löst), klassificering (inte inställd, falsk avisering, sann avisering), undersökningstillstånd, kategori av avisering, vem som hanterar aviseringen och den senaste aktiviteten. Du kan också filtrera aviseringarna.

Fliken för de aviseringar som är relaterade till enheten

När en avisering har valts visas en utfällning. I den här panelen kan du hantera aviseringen och visa mer information, till exempel incidentnummer och relaterade enheter. Flera aviseringar kan väljas samtidigt.

Om du vill se en helsidesvy av en avisering väljer du aviseringens rubrik.

Tidslinje

Fliken Tidslinje innehåller en kronologisk vy över händelser och associerade aviseringar som har observerats på enheten. Detta kan hjälpa dig att korrelera händelser, filer och IP-adresser i förhållande till enheten.

Med tidslinjen kan du också selektivt öka detaljnivån för händelser som inträffat inom en viss tidsperiod. Du kan visa den tidsmässiga sekvensen av händelser som inträffat på en enhet under en vald tidsperiod. Om du vill styra vyn ytterligare kan du filtrera efter händelsegrupper eller anpassa kolumnerna.

Obs!

För att brandväggshändelser ska visas måste du aktivera granskningsprincipen i Anslutning till granskningsfiltreringsplattform.

Brandväggen omfattar följande händelser:

  • 5025 – brandväggstjänsten har stoppats
  • 5031 – programmet blockeras från att acceptera inkommande anslutningar i nätverket
  • 5157 – blockerad anslutning

Enhetens tidslinje med händelser

Några av funktionerna är:

  • Search för specifika händelser
    • Använd sökfältet för att leta efter specifika tidslinjehändelser.
  • Filtrera händelser från ett visst datum
    • Välj kalenderikonen längst upp till vänster i tabellen för att visa händelser under den senaste dagen, veckan, 30 dagarna eller det anpassade intervallet. Som standard är enhetens tidslinje inställd på att visa händelserna från de senaste 30 dagarna.
    • Använd tidslinjen för att hoppa till en viss tidpunkt genom att markera avsnittet. Pilarna på tidslinjen pekar ut automatiserade undersökningar
  • Exportera detaljerade händelser för enhetens tidslinje
    • Exportera enhetens tidslinje för aktuellt datum eller ett angivet datumintervall upp till sju dagar.

Mer information om vissa händelser finns i avsnittet Ytterligare information . Den här informationen varierar beroende på typen av händelse, till exempel:

  • Innehåller Application Guard – webbläsarhändelsen begränsades av en isolerad container
  • Aktivt hot har identifierats – hotidentifieringen inträffade när hotet kördes
  • Åtgärden misslyckades – ett försök att åtgärda det identifierade hotet anropades men misslyckades
  • Åtgärden lyckades – det identifierade hotet stoppades och rensades
  • Varning kringgås av användaren – Windows Defender SmartScreen-varningen har avvisats och åsidosatts av en användare
  • Misstänkt skript har identifierats – ett potentiellt skadligt skript hittades körande
  • Aviseringskategorin – om händelsen ledde till genereringen av en avisering tillhandahålls aviseringskategorin (till exempel lateral förflyttning)

Händelseinformation

Välj en händelse om du vill visa relevant information om händelsen. En panel visas för att visa allmän händelseinformation. När det är tillämpligt och data är tillgängliga visas också ett diagram som visar relaterade entiteter och deras relationer.

Om du vill granska händelsen och relaterade händelser ytterligare kan du snabbt köra en avancerad jaktfråga genom att välja Jaga efter relaterade händelser. Frågan returnerar den valda händelsen och listan över andra händelser som inträffade ungefär samtidigt på samma slutpunkt.

Panelen händelseinformation

Säkerhetsrekommendationer

Säkerhetsrekommendationer genereras från Microsoft Defender för Endpoint sårbarhetshantering. När du väljer en rekommendation visas en panel där du kan visa relevant information, till exempel beskrivning av rekommendationen och potentiella risker som är associerade med att inte genomföra den. Mer information finns i Säkerhetsrekommendations .

Säkerhetsprinciper

Fliken Säkerhetsprinciper visar de slutpunktssäkerhetsprinciper som tillämpas på enheten. Du ser en lista över principer, typ, status och senaste incheckningstid. Om du väljer namnet på en princip kommer du till sidan med principinformation där du kan se status för principinställningar, tillämpade enheter och tilldelade grupper.

Fliken Säkerhetsprinciper

Programvaruinventering

På fliken Programvaruinventering kan du visa programvara på enheten, tillsammans med eventuella svagheter eller hot. Om du väljer namnet på programvaran kommer du till sidan med programvaruinformation där du kan visa säkerhetsrekommendationer, identifierade säkerhetsrisker, installerade enheter och versionsdistribution. Mer information finns i Programvaruinventering .

Fliken Programvaruinventering

Identifierade sårbarheter

Fliken Identifierade sårbarheter visar namn, allvarlighetsgrad och hotinsikter för identifierade säkerhetsrisker på enheten. Om du väljer en specifik säkerhetsrisk visas en beskrivning och information.

Fliken Identifierade säkerhetsrisker

Saknade KB:er

På fliken Saknade KB:er visas de säkerhetsuppdateringar som saknas för enheten.

Fliken Saknade KB:er

Kort

Aktiva aviseringar

Kortet Azure Advanced Threat Protection visar en översikt över aviseringar som är relaterade till enheten och deras risknivå, om du använder Microsoft Defender for Identity-funktionen och det finns aktiva aviseringar. Mer information finns i ökad detaljnivå för aviseringar .

Kortet aktiva aviseringar

Obs!

Du måste aktivera integreringen på både Microsoft Defender for Identity och Defender för Endpoint för att kunna använda den här funktionen. I Defender för Endpoint kan du aktivera den här funktionen i avancerade funktioner. Mer information om hur du aktiverar avancerade funktioner finns i Aktivera avancerade funktioner.

Inloggade användare

Kortet Inloggade användare visar hur många användare som har loggat in under de senaste 30 dagarna, tillsammans med de mest och minst frekventa användarna. Om du väljer länken Visa alla användare öppnas informationsfönstret, som visar information som användartyp, inloggningstyp och när användaren först och senast visades. Mer information finns i Undersöka användarentiteter.

Fönstret med användarinformation

Obs!

Det "vanligaste" användarvärdet beräknas endast baserat på bevis på användare som har loggat in interaktivt. Sidofönstret Alla användare beräknar dock alla typer av användarinloggningar så att de förväntas se mer frekventa användare i sidofönstret, eftersom dessa användare kanske inte är interaktiva.

Säkerhetsutvärderingar

Kortet Säkerhetsutvärderingar visar den övergripande exponeringsnivån, säkerhetsrekommendationer, installerad programvara och identifierade sårbarheter. En enhets exponeringsnivå bestäms av den kumulativa effekten av dess väntande säkerhetsrekommendationer.

Kortet säkerhetsutvärderingar

Status för enhetens hälsotillstånd

Kortet Status för enhetens hälsotillstånd visar en sammanfattad hälsorapport för den specifika enheten. Ett av följande meddelanden visas överst på kortet för att ange enhetens övergripande status (listad i ordning efter högsta till lägsta prioritet):

  • Defender Antivirus är inte aktivt
  • Säkerhetsinformationen är inte uppdaterad
  • Motorn är inte uppdaterad
  • Snabbsökningen misslyckades
  • Fullständig genomsökning misslyckades
  • Plattformen är inte uppdaterad
  • Uppdateringsstatus för säkerhetsinformation är okänd
  • Motorns uppdateringsstatus är okänd
  • Snabbsökningsstatusen är okänd
  • Fullständig genomsökningsstatus är okänd
  • Status för plattformsuppdatering är okänd
  • Enheten är uppdaterad
  • Statusen är inte tillgänglig för macOS & Linux

Annan information på kortet är: den senaste fullständiga genomsökningen, den senaste snabbsökningen, uppdateringsversionen av säkerhetsinformationen, versionen av motoruppdateringen, plattformsuppdateringsversionen och Defender Antivirus-läget.

En grå cirkel anger att data är okända.

Obs!

Det övergripande statusmeddelandet för macOS- och Linux-enheter visas för närvarande som "Status är inte tillgänglig för macOS & Linux". För närvarande är statussammanfattningen endast tillgänglig för Windows-enheter. All annan information i tabellen är uppdaterad för att visa de enskilda tillstånden för varje enhets hälsosignal för alla plattformar som stöds.

Om du vill få en detaljerad vy över enhetens hälsorapport kan du gå till Rapporter > Enheters hälsa. Mer information finns i Rapporten om enhetshälsa och efterlevnad i Microsoft Defender för Endpoint.

Obs!

Datum och tid för Defender Antivirus-läget är för närvarande inte tillgängligt.

Kortet för enhetens hälsostatus

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.