Sdílet prostřednictvím

Provedení akce s výsledky rozšířených dotazů proaktivního vyhledávání

  • Článek

Platí pro:

  • Microsoft Defender XDR

Důležité

Některé informace v tomto článku se týkají předvydaného produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje na zde uvedené informace žádné záruky, vyjádřené ani předpokládané.

Pomocí výkonných a komplexních možností akce můžete rychle zadržet hrozby nebo řešit ohrožené prostředky, které najdete v rozšířeném proaktivního proaktivního vyhledávání . Pomocí těchto možností můžete:

  • Provádění různých akcí na zařízeních
  • Umístit soubory do karantény

Požadovaná oprávnění

Pokud chcete na zařízeních provádět akce prostřednictvím rozšířeného proaktivního vyhledávání, potřebujete roli v Microsoft Defender for Endpoint s oprávněními k odesílání nápravných akcí na zařízeních.

Důležité

Microsoft doporučuje používat role s co nejmenším počtem oprávnění. To pomáhá zlepšit zabezpečení vaší organizace. Globální správce je vysoce privilegovaná role, která by měla být omezená na nouzové scénáře, když nemůžete použít existující roli.

Pokud nemůžete provést akci, obraťte se na globálního správce a požádejte ho o získání následujících oprávnění:

Aktivní nápravné akce > – Správa hrozeb a ohrožení zabezpečení – Zpracování nápravy

Pokud chcete provádět akce s e-maily prostřednictvím rozšířeného proaktivního vyhledávání, potřebujete roli v Microsoft Defender pro Office 365 k vyhledávání a mazání e-mailů.

Provádění různých akcí na zařízeních

Na zařízeních identifikovaných sloupcem DeviceId ve výsledcích dotazu můžete provést následující akce:

  • Izolování ovlivněných zařízení za účelem zabránění napadení nebo zabránění laterálně přesouvání útoků
  • Shromážděte balíček pro šetření a získejte další forenzní informace.
  • Spuštění antivirové kontroly za účelem vyhledání a odebrání hrozeb pomocí nejnovějších aktualizací bezpečnostních informací
  • Zahájení automatizovaného šetření za účelem kontroly a nápravy hrozeb na zařízení a případně dalších zařízeních, kterých se to týká
  • Omezte spouštění aplikací jenom na spustitelné soubory podepsané Microsoftem, abyste zabránili následné hrozbě prostřednictvím malwaru nebo jiných nedůvěryhodných spustitelných souborů.

Další informace o tom, jak se tyto akce odpovědí provádějí prostřednictvím Microsoft Defender for Endpoint, najdete v článku o akcích odpovědí na zařízeních.

Umístit soubory do karantény

Akci karantény můžete nasadit u souborů, aby se při jejich použití automaticky v karanténě našly. Když vyberete tuto akci, můžete zvolit z následujících sloupců, abyste zjistili, které soubory ve výsledcích dotazu se mají umístit do karantény:

  • SHA1: Ve většině pokročilých tabulek proaktivního vyhledávání tento sloupec odkazuje na SHA-1 souboru, který je ovlivněn zaznamenanou akcí. Pokud se například zkopíroval soubor, byl by tímto ovlivněným souborem zkopírovaný soubor.
  • InitiatingProcessSHA1: Ve většině pokročilých tabulek proaktivního vyhledávání tento sloupec odkazuje na soubor zodpovědný za inicializování zaznamenané akce. Pokud byl například spuštěn podřízený proces, bude tento soubor iniciátoru součástí nadřazeného procesu.
  • SHA256: Tento sloupec je ekvivalentem SHA-256 souboru identifikovaného sloupcem SHA1 .
  • InitiatingProcessSHA256: Tento sloupec je ekvivalentem SHA-256 souboru identifikovaného sloupcem InitiatingProcessSHA1 .

Další informace o tom, jak se akce karantény provádí a jak se dají soubory obnovit, najdete v článku o akcích odpovědí na soubory.

Poznámka

Pokud chcete najít soubory a umístit je do karantény, měly by výsledky dotazu obsahovat DeviceId také hodnoty jako identifikátory zařízení.

Pokud chcete provést některou z popsaných akcí, vyberte ve výsledcích dotazu jeden nebo více záznamů a pak vyberte Provést akce. Průvodce vás provede procesem výběru a následného odeslání upřednostňovaných akcí.

Snímek obrazovky s možností provádět akce na portálu Microsoft Defender

Provádění různých akcí s e-maily

Kromě nápravných kroků zaměřených na zařízení můžete u e-mailů z výsledků dotazu provést také některé akce. Vyberte záznamy, se které chcete provést, vyberte Provést akce a pak v části Zvolit akce vyberte požadovanou možnost z následujících možností:

  • Move to mailbox folder – výběrem této akce přesunete e-mailové zprávy do složky Nevyžádaná pošta, Doručená pošta nebo Odstraněná pošta.

    Všimněte si, že výsledky e-mailu, které se skládají z položek v karanténě (například v případě falešně pozitivních výsledků), můžete přesunout tak, že vyberete možnost Doručená pošta .

    Snímek obrazovky s možností Doručená pošta v podokně Provádět akce na portálu Microsoft Defender

  • Delete email – výběrem této akce přesunete e-mailové zprávy do složky Odstraněná pošta (obnovitelné odstranění) nebo je trvale odstraníte (pevné odstranění).

    Výběrem možnosti Obnovitelné odstranění se zprávy automaticky odstraní také ze složky Odeslaná pošta odesílatele, pokud je odesílatel v organizaci.

    Snímek obrazovky s možností provedení akcí na portálu Microsoft Defender

    Automatické obnovitelné odstranění kopie odesílatele je k dispozici pro výsledky pomocí EmailEvents tabulek a, EmailPostDeliveryEvents ale ne tabulky UrlClickEvents . Kromě toho by výsledek měl obsahovat sloupce EmailDirection a SenderFromAddress sloupce pro tuto možnost akce, které se zobrazí v průvodci Provedením akcí. Vyčištění kopírování odesílatele se vztahuje na e-maily v rámci organizace a odchozí e-maily a zajišťuje, aby se u těchto e-mailových zpráv odstranila jenom kopie odesílatele. Příchozí zprávy jsou mimo rozsah.

    Jako referenci si projděte následující dotaz:

    EmailEvents
| where ThreatTypes contains "spam"
| project NetworkMessageId,RecipientEmailAddress, EmailDirection, SenderFromAddress, LatestDeliveryAction,LatestDeliveryLocation

V historii centra akcí můžete také zadat název nápravy a krátký popis akce, která ji provede ke snadnému sledování. Id schválení můžete také použít k filtrování těchto akcí v centru akcí. Toto ID je k dispozici na konci průvodce:

Průvodce provedením akcí zobrazující výběr akcí pro entity

Tyto e-mailové akce platí i pro vlastní detekce .

Kontrola provedených akcí

Každá akce se zaznamenává jednotlivě v centru akcí v částiHistoriecentra> akcí (security.microsoft.com/action-center/history). Přejděte do centra akcí a zkontrolujte stav jednotlivých akcí.

Poznámka

Některé tabulky v tomto článku nemusí být v Microsoft Defender for Endpoint dostupné. Zapněte Microsoft Defender XDR pro vyhledávání hrozeb s využitím více zdrojů dat. Pokročilé pracovní postupy proaktivního vyhledávání můžete přesunout z Microsoft Defender for Endpoint do Microsoft Defender XDR pomocí kroků v tématu Migrace dotazů rozšířeného proaktivního vyhledávání z Microsoft Defender for Endpoint.

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.