Sdílet prostřednictvím


Centrum akcí

Platí pro:

  • Microsoft Defender XDR

Centrum akcí poskytuje prostředí s jedním skleněným podoknem pro úlohy incidentů a upozornění, jako jsou:

  • Schválení čekajících nápravných akcí
  • Zobrazení protokolu auditu s již schválenými akcemi nápravy
  • Kontrola dokončených nápravných akcí

Vzhledem k tomu, že Centrum akcí poskytuje komplexní přehled o Microsoft Defender XDR při práci, může váš tým pro operace zabezpečení pracovat efektivněji a efektivněji.

Jednotné centrum akcí

Jednotné centrum akcí (https://security.microsoft.com/action-center) obsahuje seznam čekajících a dokončených nápravných akcí pro vaše zařízení, e-mailu & obsahu spolupráce a identit na jednom místě.

Jednotné centrum akcí na portálu Microsoft Defender.

Příklady:

Jednotné centrum akcí spojuje nápravné akce napříč Microsoft Defender for Endpoint a Microsoft Defender pro Office 365. Definuje společný jazyk pro všechny nápravné akce a poskytuje jednotné prostředí pro šetření. Váš tým pro operace zabezpečení má k zobrazení a správě akcí nápravy prostředí s jedním podoknem.

Jednotné centrum akcí můžete použít, pokud máte příslušná oprávnění a jedno nebo více z následujících předplatných:

Tip

Další informace najdete v tématu Požadavky.

Na seznam akcí čekajících na schválení můžete přejít dvěma různými způsoby:

Použití centra akcí

  1. Přejděte na portál Microsoft Defender a přihlaste se.

  2. V navigačním podokně v části Akce a odeslání zvolte Centrum akcí. Nebo na kartě automatického šetření & odpovědi vyberte Schválit v Centru akcí.

  3. Použijte karty Čekající akce a Historie . Následující tabulka shrnuje, co uvidíte na jednotlivých kartách:

    Kartě Popis
    Čekající Zobrazí seznam akcí, které vyžadují pozornost. Akce můžete schvalovat nebo zamítat po jednom, nebo můžete vybrat více akcí, pokud mají stejný typ akce (například Umístit soubor do karantény).

    Nezapomeňte co nejdříve zkontrolovat a schválit (nebo odmítnout) čekající akce, aby se vaše automatizovaná šetření mohly dokončit včas.
    Historie Slouží jako protokol auditu pro provedené akce, jako jsou:
    • >Nápravné akce, které byly přijaty v důsledku automatizovaného vyšetřování
    • Nápravné akce provedené u podezřelých nebo škodlivých e-mailových zpráv, souborů nebo adres URL
    • Nápravné akce schválené vaším týmem pro operace zabezpečení
    • Příkazy, které byly spuštěny, a nápravné akce použité během relací živé odpovědi
    • Nápravné akce provedené antivirovou ochranou


    Poskytuje způsob, jak vrátit zpět určité akce (viz Vrácení dokončených akcí zpět).
  4. Data můžete přizpůsobit, seřadit, filtrovat a exportovat v Centru akcí.

    Snímek obrazovky znázorňující možnosti řazení, filtrování a přizpůsobení Centra akcí

    • Výběrem záhlaví sloupce seřadíte položky vzestupně nebo sestupně.
    • Pomocí filtru časového období můžete zobrazit data za poslední den, týden, 30 dní nebo 6 měsíců.
    • Vyberte sloupce, které chcete zobrazit.
    • Určete, kolik položek se má zahrnout na každé stránce dat.
    • Pomocí filtrů můžete zobrazit jenom položky, které chcete zobrazit.
    • Vyberte Exportovat a vyexportujte výsledky do souboru .csv.

Akce sledované v Centru akcí

Všechny akce, ať už čekají na schválení, nebo už byly provedené, se sledují v Centru akcí. Mezi dostupné akce patří:

  • Získání balíčku prověřování
  • Izolace zařízení (tuto akci je možné vrátit zpět)
  • Offboarding počítače
  • Spuštění kódu verze
  • Uvolnění z karantény
  • Ukázka požadavku
  • Omezení provádění kódu (tuto akci je možné vrátit zpět)
  • Spuštění antivirové kontroly
  • Zastavení a karanténa
  • Obsazení zařízení ze sítě

Kromě nápravných akcí, které se automaticky provádějí v důsledku automatizovaného vyšetřování, centrum akcí také sleduje akce, které váš bezpečnostní tým provedl k řešení zjištěných hrozeb, a akce, které byly přijaty v důsledku funkcí ochrany před hrozbami v Microsoft Defender XDR. Další informace o automatických a ručních nápravných akcích najdete v tématu Akce nápravy.

Zobrazení podrobností o zdroji akcí

Vylepšené Centrum akcí obsahuje zdrojový sloupec Akce , který vám řekne, odkud každá akce pochází. Následující tabulka popisuje možné hodnoty zdroje akcí :

Hodnota zdroje akce Popis
Ruční akce zařízení Ruční akce na zařízení. Mezi příklady patří izolace zařízení nebo karanténa souborů.
Ruční akce e-mailu Ruční akce u e-mailu Příkladem je obnovitelné odstranění e-mailových zpráv nebo náprava e-mailové zprávy.
Automatizovaná akce zařízení Automatizovaná akce proběhla u entity, jako je soubor nebo proces. Mezi příklady automatizovaných akcí patří odeslání souboru do karantény, zastavení procesu a odebrání klíče registru. (Viz Akce nápravy v Microsoft Defender for Endpoint.)
Automatizovaná e-mailová akce Automatizovaná akce s obsahem e-mailu, jako je e-mailová zpráva, příloha nebo adresa URL. Mezi příklady automatizovaných akcí patří obnovitelné odstranění e-mailových zpráv, blokování adres URL a vypnutí externího přeposílání pošty. (Viz Akce nápravy v Microsoft Defender pro Office 365.)
Akce rozšířeného proaktivního vyhledávání Akce prováděné na zařízeních nebo e-mailech s pokročilým vyhledáváním
Akce Průzkumníka Akce prováděné s obsahem e-mailu pomocí Průzkumníka
Ruční akce živé odpovědi Akce prováděné na zařízení s živou odezvou Mezi příklady patří odstranění souboru, zastavení procesu a odebrání naplánované úlohy.
Akce živé odpovědi Akce prováděné na zařízení s rozhraními API Microsoft Defender for Endpoint Mezi příklady akcí patří izolace zařízení, spuštění antivirové kontroly a získání informací o souboru.

Požadovaná oprávnění pro úlohy Centra akcí

K provádění úkolů, jako je schválení nebo odmítnutí čekajících akcí v Centru akcí, potřebujete specifická oprávnění. Máte následující možnosti:

  • Microsoft Entra oprávnění: Členství v těchto rolích poskytuje uživatelům požadovaná oprávnění a oprávnění pro další funkce v Microsoftu 365:

    • Microsoft Defender for Endpoint nápravy (zařízení): Členství v roli Správce zabezpečení.

    • Microsoft Defender pro Office 365 nápravy (obsah a e-mail Office):

      • Členství v roli Správce zabezpečení .

      a

  • Email & oprávnění ke spolupráci na portálu Microsoft Defender:

    • Microsoft Defender pro Office 365 nápravy (obsah a e-mail Office):

      • Členství ve skupině rolí Správce zabezpečení

      a

  • Microsoft Defender XDR řízení přístupu na základě role (RBAC)

    • Microsoft Defender for Endpoint nápravy: Operace zabezpečení \ Data zabezpečení \ Reakce (správa).
    • Microsoft Defender pro Office 365 nápravy (obsah a e-mail Office, pokud Email & spolupráce>Defender pro Office 365 oprávnění aktivní. Ovlivňuje jenom portál Defender, ne PowerShell:
      • Přístup pro čtení pro záhlaví e-mailu a zpráv v Teams: Operace zabezpečení / Nezpracovaná data (spolupráce & e-mailu)/Email & metadata spolupráce (čtení).
      • Náprava škodlivých e-mailů: Operace zabezpečení / Data zabezpečení / Email & pokročilé akce spolupráce (správa).

    Tip

    Členství ve skupině rolí Správce zabezpečení Email & oprávnění ke spolupráci neuděluje přístup k Centru akcí ani Microsoft Defender XDR možnostem. Pro ty musíte být členem role Správce zabezpečení v Microsoft Entra oprávnění.

  • Oprávnění defenderu pro koncový bod:

    • Microsoft Defender for Endpoint nápravy (zařízení):Členství v roli Aktivní akce nápravy.

Tip

Členové role globálního správce v Microsoft Entra ID můžou schválit nebo odmítnout jakoukoli čekající akci v Centru akcí. Jako osvědčený postup byste ale měli omezit členy role globálního správce . Doporučujeme použít alternativní role a skupiny rolí, jak je popsáno v předchozím seznamu pro oprávnění Centra akcí.

Další krok

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.