MS Defender for Endpoint的裝置調查
使用 device inventory list
設備清單頁面顯示網路中產生告警的設備清單。預設情況下,頁面顯示過去 30 天內曾出現告警的裝置。選擇設備以開啟“Device”頁面。也可以從事故和告警等各種調查頁面存取設備頁面。
如上圖示我們看到網域、風險等級、作業系統平台和其他詳細資訊,以便識別風險最大的設備。
在加入過程中,設備清單會隨著設備開始報告感測器數據而逐漸加入資訊。使用此視圖可以追蹤已上線的端點,或將完整的端點清單下載為 CSV 檔案以進行離線分析。
風險等級
風險等級反映了基於多種因素對設備的整體風險評估,包括設備上呈現的告警的類型和嚴重性。解決告警、批准補救活動以及抑制後續告警可以降低風險等級。
曝險等級
曝險等級反映了設備目前的曝險情況,基於還沒有處理安全建議的累積影響。可能的等級有低、中、高。低曝險意味著設備不易被駭。
如果曝險程度顯示“No data available”,則可能有以下幾種原因:
- 設備停止報告超過 30 天 — 在這種情況下,它被視為不活動,並且不會計算曝險情況
- 裝置作業系統不受支援 — 請參閱 Microsoft Defender for Endpoint 的最低要求
- 該設備有一個過時的agent(這台設備可能八百年沒開機了)
Health state
以下設備健康狀態:
- Active — 主動向服務報告感測器資料的裝置。
- Inactive — 停止發送資料超過 7 天的裝置。
- Misconfigured — 設備與服務的通訊受損或無法發送感測器資料。錯誤配置的設備可以進一步分類為:
— 無感測器資料
— 溝通障礙
Antivirus status
僅適用於 Windows 10 裝置的防毒狀態:
- Disabled — 病毒和威脅防護已關閉。
- Not reporting — 病毒和威脅防護沒回報。
- Not updated — 病毒和威脅防護不是最新的。
裝置調查
調查特定設備上發出告警的詳細資訊,以識別可能與告警或潛在違規範圍相關的其他行為或事件。
只要在網站中看到受影響的設備,就可以選擇它們以開啟有關該設備的詳細報告。受影響的設備在以下幾個方面能被識別:
- Devices list
- Alerts queue
- Security operations dashboard
- Any individual aler
- Any individual file details view
- Any IP address or domain details view
當調查特定設備時,可以看到:
- Device details
設備詳細資訊部分提供設備的網域、作業系統和健康狀態等資訊。如果裝置上有可用的調查包(investigation package),可以看到一個允許下載這個package的連結。 - Response actions
- Tabs — overview, alerts, timeline, security recommendations, software inventory, discovered vulnerabilities, missing KBs (Knowledge Base IDs)
- Cards (active alerts, logged on users, security assessment)
Response actions沿著特定設備頁面的資訊包括:
- Manage tags
- Isolate device
- Restrict app execution
- Run antivirus scan
- Collect investigation package
- Initiate Live Response Session
- Initiate automated investigation
- Consult a threat expert
- Action center
我們可以在 Action center,、特定裝置頁面或特定檔案頁面上進行response actions。
Tabs
Overview tab顯示告警、登入使用者和安全評估的頁籤。
顯示中的告警可以從該磁貼(tile)中查看網路中過去 30 天的告警總數。告警分為新告警和進行中告警。每個組別都進一步細分為其相應的告警嚴重性等級。選擇每個告警環內的告警數量,以查看該類別佇列的排序視圖(新的或正在進行的)。
Logged on users card顯示過去 30 天內登入的使用者數量以及最頻繁和最不頻繁的使用者。選擇「See all users」連結將開啟詳細資料視窗,其中顯示使用者類型、登入類型以及首次和最後一次看到使用者的時間。
Security assessments card顯示整體曝險等級、安全建議、安裝的軟體和發現的漏洞。設備的暴露程度取決於其未解決的安全建議的累積影響。
告警
「Alerts」頁籤提供與裝置關聯的告警清單。此清單是告警佇列的過濾版本,顯示告警的簡短描述、嚴重性(high, medium, low, informational)、佇列中的狀態(new, in progress, resolved)、分類(not set, false alert, true alert)、調查狀態、告警類別、誰正在處理告警以及上次活動。也可以過濾告警。
時間軸(Timeline)
「時間軸」標籤提供了裝置上觀察到的事件和關聯告警的時間順序視圖。這可以幫助我們關聯與裝置相關的任何事件、檔案和 IP 位址。
時間軸還使我們能夠選擇性地深入了解特定時間段內發生的事件。可以查看特定時間段內設備上發生的事件的時間順序。若要進一步控制視圖,可以按事件群組進行篩選或自訂列。
一些功能包括:
- 搜尋特定事件
使用搜尋欄尋找特定的時間軸事件。 - 過濾特定日期的事件
— 選擇表格左上角的日曆圖示可顯示過去一天、一週、30 天或自訂範圍內的事件。預設情況下,設備時間軸設定為顯示過去 30 天的事件。
— 使用時間軸透過突出顯示該部分來跳到特定時刻。時間軸上的箭頭精確定位自動調查 - 匯出詳細的設備時間軸事件
匯出目前日期或最多 7 天的指定日期範圍的設備時間軸。
提供了有關某些事件的更多詳細資訊,這些詳細資訊根據事件類型而有所不同,例如:
- Contained by Application Guard— Web 瀏覽器事件受到隔離容器的限制
- Active threat detected— 威脅運行時發生威脅偵測
- Remediation unsuccessful — 嘗試修復偵測到的威脅已呼叫但失敗
- Remediation successful — 偵測到的威脅已停止並清除
- Warning bypassed by user — Windows Defender SmartScreen 警告已被使用者忽略
- Suspicious script detected — 發現潛在的惡意腳本正在執行
- 告警類別 — 如果事件導致產生告警,則提供告警類別(例如「橫向移動」)
在瀏覽設備時間軸時,可以搜尋和篩選特定事件。可以透過以下方式設定事件標誌:
- 突顯最重要的事件
- 標記需要深入研究的事件
- 建立清楚的違規時間表
找到您要標記的事件。在「flag」欄中選擇標誌圖示。
事件詳情
選擇事件以查看有關該事件的相關詳細資訊。將顯示一個面板來顯示一般事件資訊。當適用且資料可用時,也會顯示顯示相關實體及其關係的圖表。
若要進一步檢查事件和相關事件,可以透過選擇搜尋相關事件來快速執行進階搜尋查詢。該查詢將傳回所選事件以及同一端點上大約同一時間發生的其他事件的清單。
安全建議
安全性建議是由 Microsoft Defender for Endpoint 的威脅和漏洞管理功能產生的。選擇建議將顯示一個面板,可以在其中查看相關詳細信息,例如建議的描述以及與不實施建議相關的潛在風險。
軟體清單
透過「Software inventory」頁籤,可以查看裝置上的軟體以及任何弱點或威脅。選擇軟體名稱將進入軟體詳細資訊頁面,可以在其中查看安全建議、已發現的漏洞、已安裝的裝置和版本分佈。
發現的漏洞
「Discovered vulnerabilities」頁標顯示裝置上發現的漏洞的名稱、嚴重性和威脅見解。選擇特定漏洞將顯示描述和詳細資訊。
缺乏知識庫
缺少的 KB 選項卡列出了設備缺少的安全性更新。
行為封鎖
當今的威脅格局已被一大堆快速迭代的無檔案惡意軟體所淹沒。具有高度多態性威脅的惡意軟體的變異速度比傳統解決方案能夠跟上的速度更快,而人為攻擊則適應防禦方在受感染設備上發現的內容。傳統的安全解決方案不足以阻止此類攻擊。我們需要AI和機器學習 (ML) 來支援,例如 Defender for Endpoint 中包含的行為阻止和遏制。
行為阻止和遏制功能可以幫助根據威脅的行為和進程樹識別和阻止威脅,即使威脅已經開始。下一代保護、EDR 和 Defender for Endpoint 元件和功能在行為阻止和遏制(behavioral blocking and containment)功能中協同作業。
行為阻止和遏制功能與 Defender for Endpoint 的多個組件和功能配合使用,可立即阻止攻擊並防止攻擊繼續發展。
- 新一代保護(包括 Microsoft Defender 防毒軟體)可以透過分析行為來偵測威脅並阻止已開始運行的威脅。
- EDR接收來自網路、裝置和作業系統 (OS) 核心行為的安全訊號。當偵測到威脅時,就會產生告警。同一類型的多個告警會聚合為事故(Incident),這使安全維運團隊可以進行調查和回應。
- Defender for Endpoint 具有跨身分(Identity)、電子郵件、資料和應用程式的廣泛功能。以及透過 EDR 接收的網路、端點和內核(Kernel)行為資料。 Defender for Endpoint 是 Microsoft Defender XDR 的組件,可處理並關聯這些資料、引發偵測告警並連接事故中的相關告警。
借助這些功能,可以預防或阻止更多威脅,即使它們已經開始運作。每當偵測到可疑行為時,就會遏制威脅、產生並阻止威脅。
下圖顯示了由行為阻止和遏制功能觸發的告警範例:
Client behavioral blocking
這是 Defender for Endpoint 中行為阻止和遏制功能的組成部分。當在稱為客戶端(Client)或端點(Endpoint)的裝置上偵測到可疑行為時,檔案或應用程式等工件會自動封鎖、檢查和修復。
How client behavioral blocking works
Microsoft Defender 防毒軟體可偵測裝置上的可疑行為、惡意代碼、無檔案和記憶體中攻擊等。當偵測到可疑行為時,Microsoft Defender 防毒軟體會監視並將這些可疑行為及其process tree傳送到雲端保護服務。機器學習可以在幾毫秒內區分惡意應用程式和良好行為,並對每個工件(artifact)進行分類。一旦發現某個工件是惡意的,它就會在裝置上被封鎖。每當偵測到可疑行為時,就會產生告警報並顯示在 Microsoft Defender網站中。
客戶端行為阻止非常有效,因為它不僅有助於防止攻擊開始,而且還可以幫助阻止已經開始執行的攻擊。透過 feedback-loop blocking(行為阻止和遏制的另一種功能),可以防止組織中的其他設備受到攻擊。
Behavior-based detections
基於行為的偵測根據 MITRE ATT&CK Matrix for Enterprise命名。命名約定有助於識別觀察到惡意行為的攻擊階段:
- Tactic — Initial Access
Detection threat name — Behavior:Win32/InitialAccess.*!ml - Tactic — Execution
Detection threat name — Behavior:Win32/Execution.*!ml - Tactic — Persistence
Detection threat name — Behavior:Win32/Persistence.*!ml - Tactic — Privilege Escalation
Detection threat name — Behavior:Win32/PrivilegeEscalation.*!ml - Tactic — Defense Evasion
Detection threat name — Behavior:Win32/DefenseEvasion.*!ml - Tactic — Credential Access
Detection threat name — Behavior:Win32/CredentialAccess.*!ml - Tactic — Discovery
Detection threat name —Behavior:Win32/Discovery.*!ml - Tactic — Lateral Movement
Detection threat name —Behavior:Win32/LateralMovement.*!ml - Tactic — Collection
Detection threat name —Behavior:Win32/Collection.*!ml - Tactic — Command and Control
Detection threat name —Behavior:Win32/CommandAndControl.*!ml - Tactic — Exfiltration
Detection threat name —Behavior:Win32/Exfiltration.*!ml - Tactic — Impact
Detection threat name —Behavior:Win32/Impact.*!ml - Tactic — Uncategorized
Detection threat name —Win32/Generic.*!ml
Feedback-loop blocking
回饋循環阻止(也稱為rapid protection)是 Microsoft Defender for Endpoint 中行為阻止和遏制功能的組成部分。透過回饋循環阻止,可以更好地保護整個組織的設備免受攻擊。
當偵測到可疑行為或檔案時(例如 Microsoft Defender 防毒軟體),有關該項目的資訊將傳送至多個分類器。rapid protection loop engine檢查資訊並將其與其他資料關聯起來,以決定是否阻止檔案。檢查和分類工件的速度很快。它可以快速阻止已確認的惡意軟體並推動整個組織的生態系統保護。
有了rapid protection,當攻擊試圖擴大其立足點時,可以阻止對設備、組織中的其他設備以及其他組織中的設備的攻擊。
Endpoint detection and response in block mode
當啟用封鎖模式下的EDR時,Defender for Endpoint 會封鎖透過post-breach protection觀察到的惡意工件或行為。封鎖模式下的 EDR 在背景作業,以修復違規後偵測到的惡意工件。
封鎖模式下的 EDR 也與威脅和漏洞管理整合。組織的安全團隊將收到安全性建議,以在封鎖模式下啟用 EDR(如果尚未啟用)。
當啟用封鎖模式下的 EDR 並偵測到惡意工件時,將採取封鎖和修復操作。我們將在操作中心看到檢測狀態為“Blocked”或“Prevented”,作為已完成的操作。
下圖顯示了透過 EDR 以封鎖模式偵測並阻止的有害軟體的實例:
使用裝置發現(device discovery)來偵測設備
保護組織的IT環境需要清點網路中的設備。然而,在網路中繪製設備地圖通常非常具有挑戰性且耗時。
Microsoft Defender for Endpoint 提供裝置發現功能,可協助我們尋找連接到公司網路的非監控設備,而無需額外的設備或繁瑣的流程變更。裝置發現使用網路中已被監控的端點來收集、探測或掃描網路以發現非監控設備。裝置發現功能可讓我們探索以下設備:
- Enterprise endpoints (workstations, servers and mobile devices) that aren’t yet onboarded to Microsoft Defender for Endpoint
- Network devices like routers and switches
- IoT devices like printers and cameras
未知且不受管理的裝置會為網路帶來重大風險 — 無論是沒有補丁的印表機、安全配置較弱的網路裝置或沒有安全控制的伺服器。發現設備後,我們可以:
- 將非監控端點加入到服務中,提高了它們的安全可見度。
- 透過識別和評估漏洞以及偵測configuration gaps來減少攻擊面。
透過此功能,可以將 Microsoft Defender for Endpoint 的已監控裝置的安全建議作為現有威脅和漏洞管理體驗的一部分提供。
發現方法 — 可以選擇要使用的發現模式。此模式控制企業網路中非監控設備可以獲得的可見性等級。有兩種可用的發現模式:
- Basic discovery:
在此模式下,端點將被動收集網路中的事件並從中提取設備資訊。此模式使用 SenseNDR.exe 二進位檔案進行被動網路資料收集,並且不會啟動任何網路流量。端點將從onboarded device看到的每個網路流量中提取資料。透過此方式,我們只能獲得網路中非監控端點的有限可見性。 - Standard discovery (recommended):
此模式允許端點主動查找網路中的設備,以豐富收集的資料並發現更多設備 — 幫助建立可靠且一致的設備清單。除了使用被動方法觀察的設備之外,標準模式還使用常見的發現協議,該協議使用網路中的多播查詢來查找更多設備。標準模式使用智慧、主動探測來發現有關被觀察設備的附加資訊,以豐富現有設備資訊。啟用標準模式後,組織中的網路監控工具可能會觀察到由發現感測器產生的最少且可忽略的網路活動。
已發現但尚未由 Microsoft Defender for Endpoint 加入和保護的裝置將列在「Computers and Mobile」頁籤內的裝置清單中。
要評估這些設備,可以使用設備清單清單中名為「Onboarding status」的篩選器,該篩選器可以用以下方式篩選:
- Onboarded:
端點已加入 Microsoft Defender for Endpoint。 - Can be onboarded:
在網路中發現了端點,並且作業系統被識別為 Microsoft Defender for Endpoint 支援的作業系統,但目前尚未加入。 - Unsupported:
端點已在網路中發現,但 Microsoft Defender for Endpoint 不支援。 - Insufficient info:
系統無法確定設備的支援性。在網路中的更多裝置上要啟用standard discovery可以知道更多的資訊。
