Day11:今天来谈一下Microsoft-Defender-for-Endpoint执行辨识项和实体调查

Microsoft Defender for Endpoint可针对档案、使用者帐户、IP 位址和网域

提供监识资讯。

我们可以调查与特定警报、行为或事件相关联的文件的详细信息，帮助确认文件是否

调查文件

出现在恶意活动、并识别攻击动机并了解违规的潜在范围。

有多种方法可以查询特定文件的详细配置文件页面。例如，可以使用搜索功能，

从警报流程树、事件图、工件时间线中选择一个连接，或选择设备时间线中列出

的事件。可以从文件检视图中获取资讯：

文件详细信息、恶意软件检测和文件流行

-警报

-在组织中观察

-深入分析

-文件名称

调查帐户

识别最活跃的警报用户（在仪表板上显示为"处於风险中的用户"）

并调查凭据可能遭到破坏的情况，或在调查警报或设备时以关联的用户

为中心，以识别设备之间可能的横向移动用户帐号。

您可以在以下视图中找到用户帐户信息：

-仪表盘

-警报队列

-设备详情页面

DashBoard中提供了一个可点击的用户链接，可以进入帐户详细信息页面，

当我们调查帐户实体时将看到：

-用户帐户详细信息、Azure ATP)警报以及登录的设备、角色、登录类型和

其他详细信息

-事件和用户设备概览

-与此用户相关的警报

-组织中观察到的位置（登录的设备）