Table of contents
TOC
折叠目录
展开目录

在 Windows Defender ATP 计算机视图中调查计算机

jcaparas|上次更新日期: 2017/2/16
|
1 参与者

适用于:

  • Windows 10 企业版
  • Windows 10 教育版
  • Windows 10 专业版
  • Windows 10 专业教育版
  • Windows Defender 高级威胁防护 (Windows Defender ATP)

计算机视图显示网络中的计算机列表、按警报严重性级别分类的每台计算机活动警报的相应编号,以及活动恶意软件检测的数量。 此视图让你一眼就能识别出风险最高的计算机,并跟踪网络中正在报告传感器数据的所有计算机。

在以下两个主要方案中使用计算机视图:

  • 载入期间
    • 在载入过程中,当终结点开始报告传感器数据时,计算机视图逐渐由终结点进行填充。 使用此视图,以便在已载入的终结点显示时跟踪它们。 使用可用的功能进行排序和筛选,以查看哪些终结点最近报告了传感器数据,或将完整的终结点列表下载为 CSV 文件以供脱机分析。
  • 日常工作
    • 计算机视图让你一眼就能识别出风险最高的计算机。 高风险计算机即为那些编号最大并且警报严重级别最高的计算机。 通过按风险对计算机排序,你将能够标识最易受攻击的计算机并对其采取措施。

计算机视图包含以下列:

  • 计算机名称 - 计算机的名称或 GUID
  • - 计算机所属的域
  • 上次查看时间 - 计算机上次报告传感器数据时
  • 内部 IP - 计算机的本地内部 Internet 协议 (IP) 地址
  • 活动警报 - 计算机按严重性报告的警报数
  • 活动恶意软件检测 - 计算机报告的活动恶意软件检测数
注意

仅当终结点将 Windows Defender 用作默认的反恶意软件实时防护产品时,才会显示活动警报活动恶意软件检测筛选列。

单击任何列标题,以升序或降序顺序对视图进行排序。

门户上计算机视图的屏幕截图

可以按计算机名称上次查看时间IP活动警报活动恶意软件检测计算机视图排序。 向下滚动计算机视图可以查看其他计算机。

该视图包含两个筛选器:时间和威胁类别。

可以按以下时间段筛选视图:

  • 1 天
  • 3 天
  • 7 天
  • 30 天
  • 6 个月
注意

选择某一时间段后,列表将仅显示选定时间段内所报告的计算机。 例如,选择 1 天将仅显示最后 24 小时内报告传感器数据的计算机列表。

威胁类别筛选器允许按以下类别筛选该视图:

  • 密码窃取程序
  • 勒索软件
  • 攻击
  • 威胁
  • 低严重性

有关每个类别描述的详细信息,请参阅调查具有活动警报的计算机

你还可以通过 CSV 格式下载组织中所有计算机的完整列表。 单击管理警报菜单图标菜单图标看起来像三个上下堆叠的句号,可以将整个列表下载为 CSV 文件。

注意:如何导出列表取决于你的组织中的计算机数量。 它可能需要大量时间来下载,具体取决于你的组织的规模。 以 CSV 格式导出列表将以未筛选的方式显示数据。 CSV 文件将包含组织中的所有计算机,而无论视图本身应用了何种筛选。

调查计算机

调查特定计算机上引起的警报的细节,以标识可能与该警报相关的其他行为或事件或者潜在漏洞范围。

当你在门户中看到受影响的计算机时,单击它们,即可打开关于该计算机的详细报告。 受影响的计算机可通过以下方面进行识别:

当你调查特定计算机时,你将看到:

  • 计算机详细信息计算机 IP 地址计算机报告
  • 此计算机相关警报
  • 计算机时间线

计算机详细信息、IP 和报告部分显示计算机的某些属性,例如它的名称、域、操作系统、IP 地址,以及它持续向 Windows Defender ATP 服务报告传感器数据的时长。

此计算机相关警报部分提供与计算机关联的警报列表。 此列表是警报队列的简化版本,并显示警报检测日期、警报简短描述、警报严重性、警报威胁类别以及队列中警报的状态。

计算机时间线部分提供在计算机上已观测到的事件和关联警报按时间排序的视图。

你将看到警报的聚合视图、警报的简短描述、所采取操作的详细信息,以及哪个用户运行操作。 这可帮助你查看网络内发生在计算机上的与特定期限相关的重大活动或行为。 有几个图标用于标识各种检测及其当前状态。 有关详细信息,请参阅 Windows Defender ATP 图标

此功能还使你可以有选择地深入了解给定时间段内发生的行为或事件。 你可以查看某一指定时间段内计算机上发生的事件的时间序列。

还可以使用警报聚焦功能,查看特定计算机上警报和事件之间的关联。

时间线显示在计算机上看到的警报的交互式历史记录

使用搜索栏,查找与计算机关联的特定警报或文件。

还可以按以下项进行筛选:

  • 检测模式:显示 Windows ATP 警报和检测
  • 行为模式:显示“检测”和关注的所选事件
  • 详细模式:显示“行为”(包括“检测”)和所有报告的事件
  • 登录用户、系统、网络或本地服务

使用基于时间的滑块,可以筛选特定日期的事件。 默认情况下,计算机时间线设为显示当前日期的事件。

使用滑块将所列出的警报更新到所选择的日期。 所显示的事件筛选自该日期以及更早的日期。

当你要调查计算机上的特定警报时,滑块将非常有用。 可以从警报视图导航,并单击与警报关联的计算机以跳转至观测到警报时的特定日期,进而可以调查警报发生前后的事件。

通过计算机视图,还可以导航到文件、IP 或 URL 视图并且与警报关联的时间线将保留,从而有助于从不同的角度查看调查并保留事件时间线的上下文。

从时间线显示的事件列表中,你可以检查行为或事件以帮助标识关注的标志(如文件和 IP 地址),进而有助于确定漏洞的范围。 然后,你可以使用该信息来响应事件并保护系统的安全。

Windows Defender ATP 监视和捕获 Windows 10 计算机上的可疑行为,并在计算机时间线中显示进程树流。 这将更好地提供行为的上下文,从而有助于了解与计算机相关的事件、文件和 IP 地址之间的关联。

进程树将显示计算机上进程和事件的分层历史记录

调查计算机:

  1. 选择要调查的计算机。 可以从以下任何视图中选择或搜索计算机:
    • 仪表板 - 从 具有活动警报的热门计算机 部分中单击计算机名称
    • 警报队列 - 单击计算机图标旁边的计算机名称
    • 计算机视图 - 单击计算机名称的标题
    • 搜索框 - 从下拉菜单中选择 计算机,并输入计算机名称
  2. 将显示有关特定计算机的信息。

使用计算机时间线

  1. 使用排序和筛选功能,以缩小搜索结果的范围。
  2. 使用时间线搜索框,以筛选计算机时间线中显示的特定指示器。
  3. 单击展开图标 展开图标看起来像加号 该图标位于时间线行中,或者单击该行的任意位置以查看有关警报、行为或事件的其他信息。

相关主题

© 2017 Microsoft