Megosztás a következőn keresztül:

Eszközentitás lap a Microsoft Defender

  • Cikk
  • A következőre érvényes::
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Az eszközentitások Microsoft Defender portálon található oldala segít az eszközentitások vizsgálatában. Az oldal az adott eszközentitásra vonatkozó összes fontos információt tartalmazza. Ha egy riasztás vagy incidens azt jelzi, hogy egy eszköz gyanúsan viselkedik, vagy feltörték, vizsgálja meg az eszköz részleteit, hogy azonosítsa a riasztással vagy incidenssel kapcsolatos egyéb viselkedéseket vagy eseményeket, és felderítse az incidens lehetséges hatókörét. Az eszközentitás oldalán gyakori biztonsági feladatokat, valamint a biztonsági fenyegetések mérséklésére vagy elhárítására szolgáló válaszműveleteket is végrehajthat.

Fontos

Az eszköz entitáslapján megjelenő tartalomkészlet kissé eltérhet attól függően, hogy az eszköz regisztrálva van-e Végponthoz készült Microsoft Defender és Microsoft Defender for Identity.

Ha a szervezete Microsoft Sentinel a Defender portálra, további információk jelennek meg.

A Microsoft Sentinel az eszközentitásokat gazdaentitásoknak is nevezik. További információ.

Microsoft Sentinel általánosan elérhető a Microsoft egységes biztonsági üzemeltetési platformján a Microsoft Defender portálon. Előzetes verzióként a Microsoft Sentinel Microsoft Defender XDR vagy E5 licenc nélkül érhető el a Defender portálon. További információ: Microsoft Sentinel az Microsoft Defender portálon.

Az eszközentitások a következő területeken találhatók:

  • Eszközök lista az Eszközök területen
  • Értesítések várakozási sora
  • Minden egyéni riasztás/incidens
  • Bármely egyéni felhasználói entitás oldala
  • Minden egyes fájl részleteinek nézete
  • Bármely IP-cím vagy tartomány részletei nézet
  • Tevékenységnapló
  • Speciális keresési lekérdezések
  • Műveletközpont

A portálon bármikor kiválaszthat eszközöket az eszköz entitásoldalának megnyitásához, amely további részleteket jelenít meg az eszközről. Az incidensek riasztásai között szereplő eszközök adatait például a Vizsgálat & válasz > Incidensek & riasztások>>> incidenseszközök > eszköz című Microsoft Defender portálon tekintheti meg.

Képernyőkép egy incidens Felhasználók lapjáról a Microsoft Defender portálon.

Az eszközentitás lap lapja többlapos formában jeleníti meg az információkat. Ez a cikk az egyes lapokon elérhető információtípusokat, valamint az adott eszközön elvégezhető műveleteket ismerteti.

Az eszköz entitáslapján a következő fülek jelennek meg:

Entitás oldalfejléce

Az entitásoldal legfelső szakasza a következő részleteket tartalmazza:

  • Entitás neve
  • Kockázati súlyosság, kritikusság és eszközérték-mutatók
  • Címkék , amelyek alapján az eszköz besorolható. Hozzáadhatja a Végponthoz készült Defendert, az Identitáshoz készült Defendert vagy a felhasználókat. A Microsoft Defender for Identity címkéi nem szerkeszthetők.
  • Itt találhatók a válaszműveletek is. Ezekről az alábbiakban olvashat bővebben.

Áttekintés lap

Az alapértelmezett lap az Áttekintés. Gyors áttekintést nyújt az eszköz legfontosabb biztonsági adatairól. Az Áttekintés lap az eszközadatok oldalsávját és egy irányítópultot tartalmaz, amelyen néhány kártya magas szintű információkat jelenít meg.

Eszközadatok

Az oldalsáv az eszköz teljes nevét és expozíciós szintjét jeleníti meg. Emellett néhány fontos alapvető információt is tartalmaz kis alszakaszokban, amelyek kibonthatók vagy összecsukhatók, például:

Szakasz Tartalmazott információk
Virtuális gép részletei Gép- és tartománynevek és -azonosítók, állapot- és előkészítési állapotok, az első és utolsó látható időbélyegek, AZ IP-címek és egyebek
DLP-szabályzat szinkronizálásának részletei Ha releváns
Konfiguráció állapota A Végponthoz készült Microsoft Defender konfigurációval kapcsolatos részletek
Felhőbeli erőforrás részletei Felhőplatform, erőforrás-azonosító, előfizetési adatok és egyebek
Hardver és belső vezérlőprogram Virtuális gépekkel, processzorokkal és BIOS-okkal kapcsolatos információk és egyebek
Eszközkezelés Végponthoz készült Microsoft Defender regisztrációs állapotra és felügyeleti adatokra
Címtáradatok UAC-jelzők , egyszerű szolgáltatásnevek és csoporttagságok.

Irányítópult

Az Áttekintés lap fő része több irányítópult típusú megjelenítési kártyát jelenít meg:

  • Az eszközt érintő aktív riasztások és kockázati szint az elmúlt hat hónapban, súlyosság szerint csoportosítva
  • Az eszköz biztonsági értékelései és expozíciós szintje
  • Bejelentkezett felhasználók az eszközön az elmúlt 30 napban
  • Az eszköz állapotával és az eszköz legutóbbi vizsgálatával kapcsolatos egyéb információk.

Tipp

Az expozíciós szint azt határozza meg, hogy az eszköz mennyire felel meg a biztonsági javaslatoknak, míg a kockázati szint kiszámítása számos tényező alapján történik, beleértve az aktív riasztások típusait és súlyosságát.

Képernyőkép az eszköz entitáslapjának Áttekintés lapjáról a Microsoft Defender portálon.

Incidensek és riasztások lap

Az Incidensek és riasztások lap az eszközön kiváltott riasztásokat tartalmazó incidensek listáját tartalmazza, amelyek számos Microsoft Defender észlelési forrásból származnak, beleértve a Microsoft Sentinel is, ha előkészítették. Ez a lista az incidensek várólistájának szűrt verziója, és megjeleníti az incidens vagy riasztás rövid leírását, súlyosságát (magas, közepes, alacsony, tájékoztató), állapotát az üzenetsorban (új, folyamatban, feloldva), besorolását (nincs beállítva, hamis riasztás, valódi riasztás), vizsgálati állapotot, kategóriát, a címzetthez rendelt kategóriát és a legutóbbi megfigyelt tevékenységet.

Testre szabhatja, hogy mely oszlopok jelenjenek meg az egyes elemekhez. A riasztásokat súlyosság, állapot vagy a megjelenítés bármely más oszlopa alapján is szűrheti.

Az érintett entitások oszlop az incidensben vagy riasztásban hivatkozott összes eszköz- és felhasználói entitásra vonatkozik.

Incidens vagy riasztás kiválasztásakor egy úszó panel jelenik meg. Ezen a panelen kezelheti az incidenst vagy riasztást, és további részleteket tekinthet meg, például az incidensek/riasztások számát és a kapcsolódó eszközöket. Egyszerre több riasztás is kiválasztható.

Egy incidens vagy riasztás teljes oldalnézetének megtekintéséhez válassza ki a címét.

Képernyőkép az eszköz entitáslapjának Incidensek és riasztások lapjáról a Microsoft Defender portálon.

Ütemterv lap

Az Idősor lap az eszközön megfigyelt összes esemény időrendi nézetét jeleníti meg. Ez segíthet korrelálni az eszközhöz kapcsolódó eseményeket, fájlokat és IP-címeket.

A listában megjelenő oszlopok közül mindkettő testre szabható. Az alapértelmezett oszlopok az esemény időpontját, az aktív felhasználót, a művelet típusát, a társított entitásokat (folyamatokat, fájlokat, IP-címeket) és az esemény további információit sorolják fel.

Az események megjelenítésének időtartamát úgy szabályozhatja, hogy az időszak határait az oldal tetején található teljes idősor-diagramon csúsztatjuk. A lista tetején található legördülő listából is választhat egy időszakot (az alapértelmezett érték 30 nap). A nézet további szabályozásához szűrhet eseménycsoportok szerint, vagy testre szabhatja az oszlopokat.

Akár hét napnyi eseményt is exportálhat egy CSV-fájlba letöltésre.

Az egyes események részleteinek részletezését úgy végezheti el, hogy kiválasztja és megtekinti az esemény részleteit az eredményül kapott úszó panelen. Lásd alább az esemény részleteit .

Egyesített ütemterv (előzetes verzió)

2025 januárjától, ha előkészítette Microsoft Sentinel a Defender portálra, a Sentinel események lapon az Sentinel idővonalon megjelenő eszköztevékenységek is megjelennek itt, így azok megtekinthetők más eseményekkel együtt Microsoft Defender szolgáltatásokat egyetlen környezetben. Ez az egységes ütemterv segít leegyszerűsíteni a vizsgálatokat azáltal, hogy egységes képet ad az eszköztevékenységekről, szükségtelenné teszi a képernyők közötti váltást, és lehetővé teszi a gyorsabb döntéshozatalt.

Képernyőkép az egyesített eszköz idővonaláról.

Dönthet úgy, hogy nem jeleníti meg az eseményeket Microsoft Sentinel a fő idővonalon, hanem csak a Sentinel események lapon tekintheti meg őket a korábbiakhoz hasonlóan. Ehhez válassza az Idősor beállításai lehetőséget, és állítsa Microsoft Sentinel lekérdezések Stream eseményeitKi állásba. A beállítás mentéséhez válassza az Alkalmaz lehetőséget.

Képernyőkép az entitáseszköz idővonal-beállításainak kapcsolóról.

További információ ezekről a tevékenységeseményekről: Entity pages in Microsoft Sentinel .

Megjegyzés:

A tűzfalesemények megjelenítéséhez engedélyeznie kell a naplózási szabályzatot. Útmutatásért lásd: Audit filtering Platform connection (Naplózási szűrőplatform-kapcsolat).

A tűzfal a következő eseményeket fedi le:

  • 5025 – A tűzfalszolgáltatás leállt
  • 5031 – Az alkalmazás blokkolta a bejövő kapcsolatok fogadását a hálózaton
  • 5157 – blokkolt kapcsolat

Képernyőkép az eszköz entitáslapjának Idővonal lapjáról a Microsoft Defender portálon.

Esemény részletei

Válasszon ki egy eseményt az esemény releváns részleteinek megtekintéséhez. Megjelenik egy úszó panel, amely sokkal több információt jelenít meg az eseményről. A megjelenített információtípusok az esemény típusától függenek. Ha alkalmazható, és rendelkezésre állnak adatok, megjelenhet egy grafikon, amely a kapcsolódó entitásokat és azok kapcsolatait, például egy fájl- vagy folyamatláncot ábrázol. Az eseményre vonatkozó MITRE ATT&CK-taktikák és technikák összefoglaló leírása is megjelenhet.

Az esemény és a kapcsolódó események további vizsgálatához gyorsan futtathat speciális veszélyforrás-keresési lekérdezést a Kapcsolódó események keresése keresés lehetőség kiválasztásával. A lekérdezés visszaadja a kiválasztott eseményt és az ugyanazon a végponton körülbelül egy időben történt egyéb események listáját.

Képernyőkép az esemény részleteit tartalmazó panelről.

Biztonsági javaslatok lap

A Biztonsági javaslatok lapon az eszköz védelme érdekében elvégezhető műveletek találhatók. Ha kiválaszt egy elemet a listában, megjelenik egy úszó panel, ahol útmutatást kaphat a javaslat alkalmazásához.

Az előző lapokhoz hasonlóan a megjelenített oszlopok kiválasztása is testre szabható.

Az alapértelmezett nézet olyan oszlopokat tartalmaz, amelyek részletesen ismertetik a javított biztonsági hiányosságokat, a kapcsolódó fenyegetést, a fenyegetés által érintett kapcsolódó összetevőt vagy szoftvert stb. Az elemek a javaslat állapota alapján szűrhetők.

További információ a biztonsági javaslatokról.

Képernyőkép az eszköz entitáslapjának Biztonsági javaslatok lapjáról.

Leltárak lap

Ez a lap négy összetevőtípus leltárait jeleníti meg: szoftverek, sebezhető összetevők, böngészőbővítmények és tanúsítványok.

Szoftverkészlet

Ez a kártya felsorolja az eszközön telepített szoftvereket.

Az alapértelmezett nézet megjeleníti a szoftver gyártóját, a telepített verziószámot, az ismert szoftvergyengeségeket, a fenyegetéselemzéseket, a termékkódot és a címkéket. A megjelenített elemek száma és a megjelenített oszlopok száma is testre szabható.

Ha kiválaszt egy elemet a listából, megnyílik egy úszó panel, amely további részleteket tartalmaz a kiválasztott szoftverről, valamint a szoftver legutóbbi megtalálási időpontjának elérési útját és időbélyegét.

Ez a lista termékkód, gyengeségek és fenyegetések jelenléte alapján szűrhető.

Képernyőkép az eszközprofil Szoftverleltár lapjáról a Microsoft Defender portálon

Sebezhető összetevők

Ez a kártya felsorolja a biztonsági réseket tartalmazó szoftverösszetevőket.

Az alapértelmezett nézet és szűrési beállítások ugyanazok, mint a szoftverek esetében.

Jelöljön ki egy elemet, hogy további információkat jelenítsen meg egy úszó panelen.

Böngészőbővítmények

Ezen a kártyán az eszközön telepített böngészőbővítmények láthatók. Az alapértelmezett mezők a bővítmény neve, a böngésző, amelyre telepítve van, a verzió, az engedélykockázat (a bővítmény által kért eszközökhöz vagy webhelyekhez való hozzáférés típusa alapján) és az állapot. Igény szerint a szállító is megjeleníthető.

Jelöljön ki egy elemet, hogy további információkat jelenítsen meg egy úszó panelen.

Tanúsítványok

Ez a kártya megjeleníti az eszközön telepített összes tanúsítványt.

Az alapértelmezés szerint megjelenített mezők a tanúsítvány neve, a kibocsátás dátuma, a lejárat dátuma, a kulcs mérete, a kiállító, az aláírási algoritmus, a kulcshasználat és a példányok száma.

A lista szűrhető állapot, önaláírt vagy nem, kulcsméret, aláíráskivonat és kulcshasználat alapján.

Válasszon ki egy tanúsítványt, hogy további információkat jelenítsen meg egy úszó panelen.

Felderített biztonsági rések lap

Ez a lap felsorolja az eszközt esetlegesen érintő gyakori biztonsági réseket és biztonsági réseket (CVE-ket).

Az alapértelmezett nézet felsorolja a CVE súlyosságát, a közös biztonságirés-pontszámot (CVSS), a CVE-hez kapcsolódó szoftvert, a CVE közzétételét, a CVE első észlelésének és utolsó frissítésének, valamint a CVE-hez kapcsolódó fenyegetéseket.

Az előző lapokhoz hasonlóan a megjelenítendő oszlopok kiválasztása is testre szabható. A lista súlyosság, fenyegetésállapot, eszközexpozíció és címkék alapján szűrhető.

Ha kiválaszt egy elemet a listából, megnyílik a CVE-t leíró úszó panel.

Képernyőkép az eszközprofil Felderített biztonsági rések lapjáról a Microsoft Defender portálon

Hiányzó KBs lap

A Hiányzó adatbázisok lapon minden olyan Microsoft-Frissítések szerepel, amelyet még nem kell alkalmazni az eszközre. A szóban forgó tudásbáziscikkek olyan tudásbáziscikkek, amelyek ismertetik ezeket a frissítéseket; például KB4551762.

Az alapértelmezett nézet felsorolja a frissítéseket, az operációs rendszer verzióját, a TUDÁSBÁZIS-azonosító számát, az érintett termékeket, a címzett CVES-eket és a címkéket tartalmazó közleményt.

A megjelenítendő oszlopok kiválasztása testre szabható.

Ha kijelöl egy elemet, megnyílik egy úszó panel, amely a frissítésre hivatkozik.

Sentinel események lap

Ha a szervezete Microsoft Sentinel a Defender portálra, ez a további lap az eszköz entitáslapján található. Ez a lap importálja a Gazdagép entitáslapot Microsoft Sentinel, és a következő szakaszokat jeleníti meg:

Sentinel idővonal

Ez az idősor az eszközentitáshoz társított négy üzenettípust jeleníti meg, amelyek az Microsoft Sentinel gazdaentitásként ismertek, és az eszköz Microsoft Sentinel entitás oldalán találhatók. A négy üzenettípus a következő:

  • Az Azure-szolgáltatásokból és nem Microsoft-adatforrásokból származó Microsoft Sentinel elemzési szabályok által létrehozott riasztások.

    Ezek a riasztások a fő Incidensek és riasztások lapon is megjelennek, így egyetlen környezetben tekinthetők meg más Microsoft Defender szolgáltatások által létrehozott riasztásokkal együtt.

  • Az eszközentitásra hivatkozó más Microsoft Sentinel vizsgálatokból származó vadászatok könyvjelzői.

  • Anomáliák, vagyis a Microsoft Sentinel anomáliái által észlelt szokatlan viselkedések.

  • Az Azure-szolgáltatásokból és nem Microsoft-adatforrásokból gyűjtött eszköztevékenységek. A tevékenységek a Microsoft biztonsági kutatócsapatai által fejlesztett lekérdezések által gyűjtött jelentős események összesítései. Saját egyéni tevékenységeket is hozzáadhat.

    2025 januárjától:

    • Az eszköztevékenységek közé tartozik az egy adott eszközről származó eldobott, letiltott vagy letiltott hálózati forgalom az iparágvezető hálózati eszköznaplókból gyűjtött adatok alapján. Ezek a naplók kritikus fontosságú információkat biztosítanak a biztonsági csapatoknak a potenciális fenyegetések gyors azonosításához és kezeléséhez.

    • Az eszköztevékenységek mostantól megjelennek az egyesített eszköz ütemtervében más Defender-portálforrásokból származó eszközesemények mellett. További információ: Egyesített idősor (előzetes verzió).

Betekintést

Az entitáselemzések a Microsoft biztonsági kutatói által definiált lekérdezések, amelyek segítenek a hatékonyabb és hatékonyabb vizsgálatban. Ezek az elemzések automatikusan felteszik az eszköz entitásával kapcsolatos fontos kérdéseket, és táblázatos adatok és diagramok formájában nyújtanak értékes biztonsági információkat. Az elemzések többek között a bejelentkezésekkel, csoporthozzáadásokkal, folyamatvégrehajtásokkal, rendellenes eseményekkel és egyebekkel kapcsolatos adatokat, valamint fejlett gépi tanulási algoritmusokat tartalmaznak a rendellenes viselkedés észleléséhez.

Az alábbiakban néhány megállapítás látható:

  • Képernyőkép a gazdagépről.
  • A Microsoft által aláíratlan folyamatok észlelhetők.
  • A Windows folyamatvégrehajtási adatai.
  • Windows bejelentkezési tevékenység.
  • Műveletek a fiókokon.
  • A gazdagépen törölt eseménynaplók.
  • Csoportbeadások.
  • Gazdagépek, felhasználók és csoportok számbavétele a gazdagépen.
  • Microsoft Defender alkalmazásvezérlést.
  • Folyamat ritkasága entrópiaszámítással.
  • Rendellenesen magas számú biztonsági esemény.
  • Figyelőlista-elemzések (előzetes verzió).
  • Windows Defender víruskereső események.

Az elemzések a következő adatforrásokon alapulnak:

  • Syslog (Linux)
  • SecurityEvent (Windows)
  • Naplók (Microsoft Entra ID)
  • Bejelentkezési naplók (Microsoft Entra ID)
  • OfficeActivity (Office 365)
  • BehaviorAnalytics (Microsoft Sentinel UEBA)
  • Szívverés (Azure Monitor-ügynök)
  • CommonSecurityLog (Microsoft Sentinel)

Képernyőkép Sentinel események lapjáról a felhasználói entitások lapján.

Ha további elemzéseket szeretne végezni ezen a panelen, válassza az elemzéshez tartozó hivatkozást. A hivatkozás a Speciális veszélyforrás-keresés oldalra irányítja, ahol megjeleníti a megállapítás alapjául szolgáló lekérdezést és annak nyers eredményeit. Módosíthatja a lekérdezést, vagy részletezheti az eredményeket a vizsgálat kibontásához, vagy csak kielégítheti a kíváncsiságát.

Képernyőkép a Speciális veszélyforrás-keresés képernyőről elemzési lekérdezéssel.

Válaszműveletek

A válaszműveletek billentyűparancsokat kínálnak a fenyegetések elemzéséhez, kivizsgálásához és elleni védekezéshez.

Képernyőkép az eszköz entitáslapjának Műveletsávjáról a Microsoft Defender portálon.

Fontos

  • A válaszműveletek csak akkor érhetők el, ha az eszköz regisztrálva van Végponthoz készült Microsoft Defender.
  • A Végponthoz készült Microsoft Defender regisztrált eszközök különböző számú válaszműveletet jeleníthetnek meg az eszköz operációs rendszere és verziószáma alapján.

A válaszműveletek egy adott eszközoldal tetején futnak, és a következőket tartalmazzák:

Művelet Leírás
Eszközérték
Kritikusság beállítása
Címkék kezelése Frissítések eszközre alkalmazott egyéni címkéket.
Eszköz pontatlanságának jelentése
Víruskereső vizsgálatának futtatása Frissítések Microsoft Defender víruskereső definícióit, és azonnal futtat egy víruskereső-vizsgálatot. Válasszon a Gyorsvizsgálat vagy a Teljes vizsgálat lehetőség közül.
Vizsgálati csomag összegyűjtése Információkat gyűjt az eszközről. A vizsgálat befejezése után letöltheti.
Alkalmazásvégrehajtás korlátozása Megakadályozza, hogy a Microsoft által aláírt alkalmazások fussanak.
Automatizált vizsgálat kezdeményezése A fenyegetések automatikus vizsgálata és elhárítása. Bár ezen az oldalon manuálisan is indíthat automatizált vizsgálatokat, bizonyos riasztási szabályzatok önállóan indítják el az automatikus vizsgálatokat.
Élő válaszmunkamenet kezdeményezése Betölt egy távoli rendszerhéjat az eszközön a részletes biztonsági vizsgálatokhoz.
Eszköz elkülönítése Elkülöníti az eszközt a szervezet hálózatától, miközben az Microsoft Defender csatlakozik. A kommunikáció érdekében engedélyezheti, hogy az Outlook, a Teams és a Skype Vállalati verzió az eszköz elkülönítése közben fusson.
Kérdés feltevése Defender-szakértőknek
Műveletközpont Az aktuálisan futó válaszműveletekkel kapcsolatos információkat jeleníti meg. Csak akkor érhető el, ha már ki van jelölve egy másik művelet.
Kényszerített kiadás letöltése elkülönítési szkriptből
Kizár
Go hunt
Hibaelhárítási mód bekapcsolása
Szabályzatszinkronizálás

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.