Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Область применения:
Возможности обнаружения и реагирования на конечные точки в Defender для конечной точки обеспечивают расширенные обнаружения атак, которые доступны практически в режиме реального времени. Аналитики систем безопасности могут эффективно определять приоритеты предупреждений, получать полную картину всех возможных брешей в системе безопасности, а также предпринимать действия по реагированию для устранения угроз.
При обнаружении угрозы в системе создаются предупреждения, которые затем исследуются аналитиками. Предупреждения, относящиеся к одинаковым методам атаки или к одному и тому же злоумышленнику, система агрегирует в объект, называемый инцидентом. Агрегирование предупреждений таким способом упрощает аналитикам выполнение обобщенных расследований угроз и реагирование на такие угрозы.
Примечание.
Обнаружение Defender для конечной точки не предназначено для аудита или ведения журнала, которое записывает все операции или действия, происходящие в данной конечной точке. Наш датчик имеет внутренний механизм регулирования, поэтому высокая частота повторения идентичных событий не заполняет журналы.
Важно!
Defender для конечной точки плана 1 и Microsoft Defender для бизнеса включают только следующие действия реагирования вручную:
- Запуск проверки на вирусы
- Изоляция устройства
- Остановка и карантин файла
- Добавление индикатора для блокировки или разрешения файла
Воодушевленный установкой "предполагать нарушение", Defender для конечной точки постоянно собирает данные киберметрии поведения. Сюда входят сведения о процессах, действиях в сети, глубокий анализ ядра и диспетчера памяти, информация о действиях по входу в систему, об изменениях в реестре и файловой системе, а также о других действиях. Информация хранится в течение шести месяцев, благодаря чему аналитики могут изучать события вплоть до начала атаки. Затем аналитик может создать различные сводные представления и провести расследование в нескольких направлениях.
Функции реагирования позволяют быстро устранять угрозы, выполняя действия над затронутыми объектами.
Автоматическое прерывание атаки
Сигналы Defender для конечной точки способствуют автоматическому нарушению атак в Microsoft Defender XDR. Нарушение атак использует корреляцию сигналов и ИИ для автоматического сдерживания активных атак, таких как программы-шантажисты, компрометация бизнес-почты и атаки злоумышленника посередине, что ограничивает боковое смещение и снижает общее влияние. Автоматическое прерывание атак работает с другими Defender XDR источниками, чтобы содержать скомпрометированные ресурсы, включая автоматическое отключение скомпрометированных учетных записей пользователей и изоляцию затронутых устройств.