Table of contents
TOC
摺疊目錄
展開目錄

調查 Windows Defender ATP 電腦檢視中的電腦

jcaparas|上次更新日期: 2017/2/16
|
1 投稿人

適用於:

  • Windows 10 企業版
  • Windows 10 教育版
  • Windows 10 專業版
  • Windows 10 專業教育版
  • Windows Defender 進階威脅防護 (Windows Defender ATP)

[電腦] 檢視顯示您網路中的電腦清單、每部電腦依警示嚴重性等級分類的對應作用中警示數目,以及作用中的惡意程式碼偵測數目。**** 這個檢視可讓您一眼就識別出有最高風險的電腦,然後追蹤您網路中報告感應器資料的所有電腦。

在下列兩個主要案例中使用 [電腦] 檢視︰

  • 在上架期間
    • 在上線程序期間,[電腦] 檢視會在端點開始報告感應器資料時逐漸填入端點。 使用此檢視可在出現時追蹤上線的端點。 使用可用的功能來排序和篩選,可查看哪些端點最近報告了感應器資料,或下載完整的端點清單 (CSV 檔案) 進行離線分析。
  • 日常活動
    • [電腦] 檢視可讓您一眼就識別出風險最高的電腦。**** 高風險電腦就是有最多警示數目和最高嚴重性警示的電腦。 依風險來排序電腦,您就能夠找出最容易受到威脅的電腦,並且針對這些電腦採取動作。

[電腦] 檢視包含下列各欄:

  • 電腦名稱 - 電腦的名稱或 GUID
  • 網域 -電腦所屬的網域
  • 上次上線 - 電腦最後報告感應器資料的時間
  • 內部 IP - 電腦的本機內部網際網路通訊協定 (IP) 位址
  • 作用中警示 - 電腦依嚴重性報告的警示數目
  • 作用中的惡意程式碼偵測 - 電腦報告的作用中惡意程式碼偵測數目
注意事項

[作用中警示] 和 [作用中的惡意程式碼偵測] 篩選欄只有在您的端點使用 Windows Defender 做為預設即時防護反惡意程式碼產品時才會顯示。********

按一下任何欄標題,可以遞增或遞減順序排序檢視。

入口網站上的 \[電腦\] 檢視螢幕擷取畫面

您可以依 [電腦名稱]、[最後一次看到]、[IP]、[作用中警示],以及 [作用中的惡意程式碼偵測],來排序 [電腦] 檢視。************************ 向下捲動 [電腦] 檢視可查看其他電腦。****

此檢視包含兩個篩選器︰時間和威脅類別。

您可以依下列時間期間篩選檢視︰

  • 1 天
  • 3 天
  • 7 天
  • 30 天
  • 6 個月
注意事項

當您選取一段時間時,清單只會顯示在所選時間期間內報告的電腦。 例如,選取 1 天只顯示在最近 24 小時內報告感應器資料的電腦清單。

威脅類別篩選器可讓您依下列類別篩選檢視︰

  • 盜竊密碼木馬程式
  • 勒索軟體
  • 惡意探索
  • 威脅
  • 低嚴重性

如需每個類別描述的詳細資訊,請參閱調查有作用中警示的電腦

您也可以下載您組織中所有電腦的完整清單 (CSV 格式)。 按一下 [管理警示] 功能表圖示 功能表圖示看起來就像堆疊在彼此上方的三個句點 下載 CSV 檔案的完整清單。****

注意:匯出清單取決於您組織中的電腦數目。 這可能需要很長的時間下載,取決於您的組織有多大。 以 CSV 格式匯出清單會以未經篩選的方式顯示資料。 不論檢視本身套用了任何篩選方式,CSV 檔案會包含組織中所有的電腦。

調查電腦

調查特定電腦上所引發警示的詳細資料,可找出可能與警示相關的其他行為或事件,或是漏洞的潛在範圍。

每當您在入口網站中看到受影響的電腦,就可以按一下,開啟關於該電腦的詳細報告。 受影響的電腦會列在下列區域︰

當您調查特定電腦時,會看到︰

  • 電腦詳細資料電腦 IP 位址以及電腦報告
  • 與這部電腦相關的警示
  • 電腦時間軸

電腦詳細資料、IP 和報告區段會顯示電腦的某些屬性,例如電腦的名稱、網域、作業系統、IP 位址,以及它報告感應器資料給 Windows Defender ATP 服務已經過了多久時間。

[與這部電腦相關的警示]**** 區段會提供一份與電腦相關聯的警示清單。 這份清單是簡化版的警示佇列,顯示偵測到警示的日期、警示的簡短描述、警示的嚴重性、警示的威脅類別和警示在佇列中的狀態。

[電腦時間軸] 區段提供在電腦上觀察到的事件和相關警示的時間順序檢視。****

您會看到警示的彙總檢視、警示的簡短描述、採取動作的詳細資料,以及哪位使用者執行動作。 這可協助您查看網路中某部電腦在一段特定時間範圍內發生的重要活動或行為。 有幾個圖示可用來識別各種偵測及其目前狀態。 如需詳細資訊,請參閱 Windows Defender ATP 圖示

這項功能也可讓您選擇性地深入探索在指定時間期間內發生的行為或事件。 您可以檢視電腦在指定時間期間依時間順序發生的事件。

您也可以使用警示焦點功能查看特定電腦上警示與事件之間的相互關聯。

時間軸會顯示在某部電腦上所看到警示的互動式歷程記錄

使用搜尋列可尋找特定警示或與電腦相關聯的檔案。

您也可以依下列條件篩選︰

  • 偵測模式︰顯示 Windows ATP 警示和偵測
  • 行為模式︰顯示「偵測」模式和選取的感興趣事件
  • 詳細資訊模式︰顯示「行為」模式 (包括「偵測」模式),以及所有報告的事件
  • 登入的使用者、系統、網路或本機服務

使用時間滑桿可篩選特定日期的事件。 根據預設,電腦時間軸會設定為顯示當天的事件。

使用滑桿會將列出的警示更新為您選取的日期。 顯示的事件是從該日期和更早的日期篩選出來。

當您要調查電腦上特定的警示時,滑桿就很有幫助。 您可以從 [警示] 檢視瀏覽,按一下與警示相關聯的電腦,就可以跳到觀察到警示時的特定日期,讓您調查警示當時發生的事件。****

從 [電腦] 檢視中,您也可以瀏覽到檔案、IP 或 URL 檢視,與警示相關聯的時間軸會保留,幫助您檢視不同角度的調查,並保留事件時間軸的內容。****

您可以從時間軸顯示的事件清單中檢查行為或事件,協助找出感興趣的指標 (例如檔案與 IP 位址),以協助您判斷漏洞的範圍。 然後您可以使用資訊來回應事件,保護您系統的安全。

Windows Defender ATP 會監視和擷取 Windows 10 電腦上可疑的行為,在 [電腦時間軸] 中顯示處理程序樹狀結構流程。**** 這可以提供您更好的行為脈絡,有助於了解與電腦有關的事件、檔案以及 IP 位址之間的交互關聯。

處理程序樹狀結構以階層方式顯示電腦上處理程序和事件的歷程記錄

調查電腦:

  1. 選取您想要調查的電腦。 您可以從下列任何一種檢視選取或搜尋電腦︰
    • 儀表板 - 從 [Top machines with active alerts] (作用中警示數目最多的電腦)**** 區段按一下電腦名稱
    • 警示佇列 - 按一下電腦圖示旁的電腦名稱
    • 電腦檢視 - 按一下電腦名稱的標題
    • 搜尋方塊 - 從下拉式功能表選取 [電腦]****,然後輸入電腦名稱。
  2. 此時會顯示與特定電腦相關的資訊。

使用電腦時間軸

  1. 使用排序和篩選功能可縮小搜尋結果。
  2. 使用時間軸搜尋方塊可篩選電腦時間軸中出現的特定指標。
  3. 在時間軸列按一下展開圖示 展開圖示看起來就像一個加號 或按一下列上的任何地方可查看有關警示、行為或事件的其他資訊。

相關主題

© 2017 Microsoft