Table of contents
TOC
Inhaltsverzeichnis reduzieren
Inhaltsverzeichnis erweitern

Untersuchen von Computern in der Computeransicht von Windows Defender Advanced Threat Protection

jcaparas|Zuletzt aktualisiert: 16.02.2017
|
1 Mitwirkender

Gilt für:

  • Windows 10 Enterprise
  • Windows 10 Education
  • Windows 10 Pro
  • Windows 10 Pro Education
  • Windows Defender Advanced Threat Protection (Windows Defender ATP)

Unter Machines view sehen Sie eine Liste der Computer in Ihrem Netzwerk, die entsprechende Anzahl der aktiven Warnungen für jeden Computer kategorisiert nach dem Warnungsschweregrad und die Anzahl aktiver Schadsoftwareerkennungen. In dieser Ansicht können Sie auf einen Blick Computer mit dem höchsten Risiko erkennen und alle Computer nachverfolgen, die Sensordaten in Ihrem Netzwerk melden.

Verwenden Sie die Computeransicht in diesen beiden Hauptszenarien:

  • Während der Integration
    • Während des Integrationsvorgangs wird die Computeransicht nach und nach mit Endpunkten gefüllt, wenn diese Sensordaten melden. Verwenden Sie diese Ansicht, um die angezeigten integrierten Endpunkte nachzuverfolgen. Verwenden Sie die verfügbaren Funktionen zum Sortieren und Filtern, um festzustellen, welche Endpunkte zuletzt Sensordaten gemeldet haben, oder laden Sie die vollständige Endpunkteliste als CSV-Datei für die Offlineanalyse herunter.
  • Tägliche Aufgaben
    • Unter Machines view können Sie auf einen Blick Computer erkennen, die besonders gefährdet sind. Computer mit hohem Risiko sind diejenigen mit der größten Anzahl und den Warnungen mit dem höchsten Schweregrad. Durch das Sortieren der Computer nach Risiko können Sie die Computer identifizieren, die am anfälligsten sind, und für diese Maßnahmen ergreifen.

Die Computeransicht enthält die folgenden Spalten:

  • Computername: Name oder GUID des Computers
  • Domäne: Domäne, zu welcher der Computer gehört
  • Zuletzt gesehen: Zeitpunkt, zu dem der Computer zuletzt Sensordaten gemeldet hat
  • Interne IP: Lokale interne Internet Protocol (IP)-Adresse des Computers
  • Aktive Warnungen: Anzahl der vom Computer gemeldeten Warnungen nach Schweregrad
  • Active malware detections: Anzahl der vom Computer gemeldeten aktiven Schadsoftwareerkennungen
Hinweis

Die Filterspalte Aktive Warnungen und Active malware detections wird nur angezeigt, wenn für die Endpunkte Windows Defender als Standardprodukt für den Echtzeitschutz vor Schadsoftware verwendet wird.

Klicken Sie auf eine beliebige Spaltenüberschrift, um die Ansicht in aufsteigender oder absteigender Reihenfolge zu sortieren.

Screenshot der Computeransicht im Portal

Sie können Machines view nach Computername, Zuletzt gesehen, IP, Aktive Warnungen und Active malware detections sortieren. Scrollen Sie unter Machines view nach unten, um weitere Computer anzuzeigen.

Die Ansicht enthält zwei Filter: Zeit und Bedrohungskategorie.

Sie können die Ansicht nach den folgenden Zeiträumen filtern:

  • 1 Tag
  • 3 Tage
  • 7 Tage
  • 30 Tage
  • 6 Monate
Hinweis

Wenn Sie einen Zeitraum auswählen, werden in der Liste nur Computer mit Meldungen im ausgewählten Zeitraum angezeigt. Beispielsweise wird bei Auswahl von „1 Tag“ nur eine Liste von Computern angezeigt, die innerhalb der letzten 24 Stunden Sensordaten gemeldet haben.

Mit dem Filter „Bedrohungskategorie“ können Sie die Ansicht nach den folgenden Kategorien filtern:

  • Kennwortdiebstahl-Trojaner
  • Ransomware
  • Exploit
  • Bedrohung
  • Niedriger Schweregrad

Weitere Informationen zur Beschreibung für jede Kategorie finden Sie unter Untersuchen von Computern mit aktiven Warnungen.

Sie können auch eine vollständige Liste aller Computer in Ihrer Organisation im CSV-Format herunterladen. Klicken Sie auf das Menüsymbol Manage AlertDas Menüsymbol hat die Form von drei übereinander angeordneten Punkten., um die gesamte Liste als CSV-Datei herunterzuladen.

Hinweis: Das Exportieren der Liste hängt von der Anzahl der Computer in Ihrer Organisation ab. Je nachdem, wie groß Ihre Organisation ist, kann das Herunterladen längere Zeit dauern. Beim Exportieren der Liste im CSV-Format werden die Daten nicht gefiltert angezeigt. Die CSV-Datei enthält alle Computer in der Organisation, unabhängig von der direkt in der Ansicht angewendeten Filterung.

Untersuchen eines Computers

Untersuchen Sie die Details einer auf einem bestimmten Computer ausgelösten Warnung, um andere Verhaltensweisen oder Ereignisse zu identifizieren, die mit der Warnung oder dem potenziellen Umfang der Verletzung verbunden sein können.

Sie können auf betroffene Computer klicken, unabhängig davon, wo sie im Portal angezeigt werden, um einen detaillierten Bericht über diesen Computer zu öffnen. Betroffene Computer werden in den folgenden Bereichen identifiziert:

Wenn Sie einen bestimmten Computer untersuchen, wird Folgendes angezeigt:

  • Computerdetails, Machine IP Addresses und Machine Reporting
  • Alerts related to this machine
  • Machine timeline

In den Abschnitten zu Computerdetails, IP und Berichterstellung werden bestimmte Attribute des Computers wie etwa Name, Domäne, Betriebssystem und IP-Adresse angezeigt. Darüber hinaus ist angegeben, wie lange Sensordaten an den Windows Defender ATP-Dienst gesendet wurden.

Der Abschnitt Alerts related to this machine enthält eine Liste der Warnungen, die mit dem Computer zusammenhängen. Diese Liste ist eine vereinfachte Version der Warnungswarteschlange und zeigt das Datum, an dem die Warnung erkannt wurde, eine kurze Beschreibung der Warnung, den Schweregrad der Warnung, die Bedrohungskategorie und den Status der Warnung in der Warteschlange.

Der Abschnitt Machine timeline enthält eine chronologische Ansicht der Ereignisse und zugehörigen Warnungen, die auf dem Computer beobachtet wurden.

Sie sehen eine aggregierte Ansicht der Warnungen, eine kurze Beschreibung der Warnung, Details zur durchgeführten Aktion und welcher Benutzer die Aktion ausgeführt hat. Dadurch können Sie wichtige Aktivitäten oder Verhaltensweisen auf einem Computer in Ihrem Netzwerk in Bezug zu einem bestimmten Zeitrahmen sehen. Es werden unterschiedliche Symbole verwendet, um verschiedene Erkennungen und ihren aktuellen Zustand zu kennzeichnen. Weitere Informationen finden Sie unter Symbole von Windows Defender ATP.

Mit dieser Funktion können Sie selektiv Detailinformationen für ein innerhalb eines bestimmten Zeitraums aufgetretenes Ereignis oder Verhalten anzeigen. Sie können die zeitliche Abfolge von Ereignissen anzeigen, die in einem angegebenen Zeitraum auf einem Computer aufgetreten sind.

Sie können auch die Funktion Alerts spotlight verwenden, um den Zusammenhang zwischen Warnungen und Ereignissen auf einem bestimmten Computer anzuzeigen.

Die Zeitachse zeigt einen interaktiven Verlauf der auf einem Computer angezeigten Warnungen.

Verwenden Sie die Suchleiste, um nach bestimmten Warnungen oder Dateien im Zusammenhang mit dem Computer zu suchen.

Sie können auch nach Folgendem filtern:

  • Erkennungsmodus: Zeigt Windows ATP-Warnungen und Erkennungen an.
  • Verhaltensmodus: Zeigt „Erkennungen“ und ausgewählte Ereignisse von Interesse an.
  • Ausführlicher Modus: Zeigt „Verhalten“ (einschließlich „Erkennungen“) und alle gemeldeten Ereignisse an.
  • Angemeldete Benutzer, System, Netzwerk oder lokaler Dienst

Verwenden Sie den zeitbasierten Schieberegler zum Filtern von Ereignissen von einem bestimmten Datum. Standardmäßig werden auf der Computerzeitachse die Ereignisse des aktuellen Tages angezeigt.

Mithilfe des Schiebereglers werden die aufgeführten Warnungen auf das Datum aktualisiert, das Sie auswählen. Angezeigte Ereignisse werden bis zu diesem Datum gefiltert.

Der Schieberegler ist nützlich, wenn Sie eine bestimmte Warnung auf einem Computer untersuchen. Sie können von der Warnungsansicht navigieren und auf den mit der Warnung verbundenen Computer klicken, um zu einem bestimmten Datum zu wechseln, an dem die Warnung beobachtet wurde, und somit die Ereignisse im Zusammenhang mit der Warnung untersuchen.

Von Machine view können Sie auch zur Datei-, IP- oder URL-Ansicht navigieren. Die mit einer Warnung verbundene Zeitachse wird beibehalten, sodass Sie die Untersuchung aus unterschiedlichen Blickwinkeln im Kontext der Ereigniszeitachse anzeigen können.

In der Liste der Ereignisse, die auf der Zeitachse angezeigt werden, können Sie das Verhalten oder Ereignisse untersuchen, um relevante Indikatoren wie Dateien und IP-Adressen zur Ermittlung des Umfangs einer Verletzung zu erkennen. Sie können dann mithilfe der Informationen auf Ereignisse reagieren und Ihr System schützen.

Windows Defender ATP überwacht und erfasst verdächtiges Verhalten auf Windows 10-Computern und zeigt den Ablauf der Prozessstruktur unter Machine timeline an. Dadurch wird ein besserer Kontext des Verhaltens angezeigt, was zum Verständnis des Zusammenhangs zwischen Ereignissen, Dateien und IP-Adressen in Bezug auf den Computer beitragen kann.

Die Prozessstruktur zeigt einen hierarchischen Verlauf von Prozessen und Ereignissen auf dem Computer.

Untersuchen eines Computers:

  1. Wählen Sie den zu untersuchenden Computer aus. Sie können einen Computer in den folgenden Ansichten auswählen oder suchen:
    • Dashboard: Klicken Sie auf den Computernamen im Abschnitt Top machines with active alerts.
    • Warnungswarteschlange: Klicken Sie auf den Computernamen neben dem Computersymbol.
    • Computeransicht: Klicken Sie auf die Überschrift des Computernamens.
    • Suchfeld: Wählen Sie Computer im Dropdownmenü aus, und geben Sie den Computernamen ein.
  2. Es werden Informationen zu dem betreffenden Computer angezeigt.

Verwenden der Computerzeitachse

  1. Verwenden Sie die Funktion zum Sortieren und Filtern, um die Suchergebnisse einzuschränken.
  2. Verwenden Sie das Suchfeld auf der Zeitachse, um bestimmte Indikatoren zu filtern, die auf der Computerzeitachse angezeigt werden.
  3. Klicken Sie auf das Symbol zum Erweitern Das Symbol zum Erweitern sieht wie ein Pluszeichen aus. in der Zeitachsenzeile, oder klicken Sie an einer beliebigen Stelle in der Zeile, um weitere Informationen zur Warnung, zum Verhalten oder Ereignis anzuzeigen.

Verwandte Themen

© 2017 Microsoft