適用於端點的 Defender 裝置時間表可協助您更快速地研究和調查裝置上的異常行為。 您可以探索特定事件和端點,以檢閱組織中的潛在攻擊。 您可以查看每個事件的特定時間、設定標誌以跟進可能關聯的事件,以及篩選到特定日期範圍。
自定義時間範圍選擇器:
流程樹體驗 – 活動側邊面板:
當有多個相關技術時,會顯示所有 MITRE 技術:
時間軸事件會連結至新的使用者頁面:
已定義的篩選器現在會顯示在時間軸頂端:
裝置時間表中的技術
您可以分析特定裝置上發生的事件,以取得調查中的更多深入解析。 首先,從 「裝置」清單中選取感興趣的裝置。 在裝置頁面上,您可以選取 [時間軸 ] 索引標籤,以檢視裝置上發生的所有事件。
了解時間軸中的技術
重要事項
某些資訊與公開預覽版中的預先發行產品功能有關,該功能可能會在商業發行之前大幅修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。
在適用於端點的 Microsoft Defender 中,技術是事件時程表中的其他資料類型。 技術提供與 MITRE ATT&CK 技術或子技術相關聯的活動的更多見解。
這項功能可協助分析師瞭解在裝置上觀察到的活動,以簡化調查體驗。 然後分析師可以決定進一步調查。
在預覽期間,預設會提供技術,並在檢視裝置的時間軸時與事件一起顯示。
技術以粗體文字突出顯示,並在左側顯示藍色圖示。 對應的 MITRE ATT&CK ID 及技術名稱也會在 其他資訊 下顯示為標籤。
「搜尋」和「匯出」選項也可用於「技術」。
使用側邊窗格進行調查
選取「技術」以開啟其對應的側窗格。 在這裡您可以看到其他資訊和見解,例如相關的 ATT&CK 技術、策略和描述。
選取特定的 攻擊技術 以開啟相關的 ATT&CK 技術頁面,您可以在其中找到有關它的詳細資訊。
當您在右側看到藍色圖示時,您可以複製實體的詳細資料。 例如,若要複製相關檔案的 SHA1,請選取藍色頁面圖示。
您可以對命令列執行相同的操作。
調查相關事件
若要使用 進階搜捕 來尋找與所選技術相關的事件,請選取 [搜捕相關事件]。 這會導致進階搜捕頁面,其中包含查詢,以尋找與技術相關的事件。
注意事項
使用 [技術] 側邊窗格中的 [搜尋相關事件 ] 按鈕進行查詢,會顯示與已識別技術相關的所有事件,但不會在查詢結果中包含技術本身。
EDR 用戶端 (MsSense.exe) Resource Manager
當裝置上的EDR客戶端資源不足時,它會進入關鍵模式,以維持裝置的正常工作運作。 在 EDR 用戶端回復正常狀態之前,裝置不會處理新事件。 該裝置的 時間表 中會出現一個新事件,指出 EDR 用戶端已切換至 嚴重 模式。
當EDR客戶端的資源使用量恢復到正常水平時,它會自動恢復到正常模式。
自訂您的裝置時間表
在裝置時間軸的右上角,您可以選擇日期範圍來限制時間軸中的事件和技術數量。
您可以自訂要公開的資料行。 您也可以依資料類型或事件群組篩選已標記的事件。
選擇要公開的資料行
您可以選取 [ 選擇欄] 按鈕,選擇要在時間軸中公開的欄。
您可以從那裡選擇要包含的資訊集。
篩選以僅檢視技術或事件
若要只檢視事件或技術,請從裝置時間軸選取 [篩選器] ,然後選擇要檢視的偏好資料類型。
![顯示 [篩選] 窗格的螢幕擷取畫面。](media/new-timeline-filter.png#lightbox)
時間軸事件旗標
適用於端點的 Defender 裝置時程表中的事件旗標可協助您在調查潛在攻擊時篩選和組織特定事件。
適用於端點的 Defender 裝置時程表提供在裝置上觀察到的事件和相關聯警示的時間順序檢視。 此事件清單可讓您完全了解裝置上觀察到的任何事件、檔案和 IP 位址。 該清單有時可能很長。 裝置時間軸事件旗標可協助您追蹤可能相關的事件。
瀏覽完裝置時程表之後,您可以排序、篩選及匯出您標示的特定事件。
在瀏覽裝置時間軸時,您可以搜尋和篩選特定事件。 您可以透過以下方式設定事件旗標:
- 突出最重要的事件
- 標記需要深入探討的事件
- 建立乾淨的違規時間表
標記事件
尋找您要標幟的事件。
選取旗標欄中的旗標圖示。
檢視已標記的事件
- 在時間軸 篩選 器區段中,啟用 已標記的事件。
- 選取 [套用]。 只會顯示已標記的事件。
您可以通過單擊時間欄來應用更多過濾器。 這只會顯示標記事件之前的事件。
提示
想要深入了解? 在我們的技術社區中與Microsoft安全社區Engage:適用於端點的 Microsoft Defender技術社區。