Day9:今天来讲一下Microsoft Defender for Endpoint的装置调查

我们在导入Microsoft Defender for Endpoint後,系统会将事件指派给管理者，

若有可疑 PowerShell 命令列的相关警示。 首先检查Event，并了解所有相关的Alert

、Device和evidence。

我们可以从[装置清查]看到网路中产生Alert的装置清单，DashBoard会显示过去30天内

出现警示的装置。我们可以从各种调查页面 (例如 [事件] 和 [警示]) 存取 [装置] 页面。

我们会看到网域、风险层级、作业系统平台和其他详细资料等资讯，让我们易於识别最有风险的装置。

风险层级

风险层级会根据因素的组合来反映装置的整体风险评量，包括装置上作用中警示的类型和严重性。

解决作用中的警示、核准补救活动，以及隐藏後续的警示，可以降低风险层级。

暴露程度层级

暴露程度层级会根据其搁置安全性建议的累计影响，反映装置目前的暴露程度。

可能的层级为低、中和高。 低暴露程度表示您的装置不易遭受攻击。

如果暴露程度层级显示「没有可用的资料」，可能有几个原因造成这种情况：

装置已停止回报超过 30 天 - 在此情况下，会将其视为非使用中，且不会计算暴露程度

不支援装置作业系统 - 请参阅适用於端点的 Microsoft Defender 的最低需求

装置的代理程序过时 (不太可能)