Centrum akcí

Článek
05/14/2024

Platí pro:

Microsoft Defender XDR

Centrum akcí poskytuje prostředí s jedním skleněným podoknem pro úlohy incidentů a upozornění, jako jsou:

Schválení čekajících nápravných akcí
Zobrazení protokolu auditu s již schválenými akcemi nápravy
Kontrola dokončených nápravných akcí

Vzhledem k tomu, že Centrum akcí poskytuje komplexní přehled o Microsoft Defender XDR při práci, může váš tým pro operace zabezpečení pracovat efektivněji a efektivněji.

Jednotné centrum akcí

Jednotné centrum akcí (https://security.microsoft.com/action-center) obsahuje seznam čekajících a dokončených nápravných akcí pro vaše zařízení, e-mailu & obsahu spolupráce a identit na jednom místě.

Příklady:

Pokud jste centrum akcí používali v Centrum zabezpečení v programu Microsoft Defender (https://securitycenter.windows.com/action-center), vyzkoušejte jednotné centrum akcí na portálu Microsoft Defender.
Pokud jste už používali portál Microsoft Defender, uvidíte v Centru akcí () několik vylepšení.https://security.microsoft.com/action-center

Jednotné centrum akcí spojuje nápravné akce napříč Microsoft Defender for Endpoint a Microsoft Defender pro Office 365. Definuje společný jazyk pro všechny nápravné akce a poskytuje jednotné prostředí pro šetření. Váš tým pro operace zabezpečení má k zobrazení a správě akcí nápravy prostředí s jedním podoknem.

Jednotné centrum akcí můžete použít, pokud máte příslušná oprávnění a jedno nebo více z následujících předplatných:

Tip

Další informace najdete v tématu Požadavky.

Na seznam akcí čekajících na schválení můžete přejít dvěma různými způsoby:

Přejděte na https://security.microsoft.com/action-center; nebo
Na portálu Microsoft Defender (https://security.microsoft.com) na kartě odpovědi automatizovaného šetření & vyberte Schválit v Centru akcí.

Použití centra akcí

Přejděte na portál Microsoft Defender a přihlaste se.
V navigačním podokně v části Akce a odeslání zvolte Centrum akcí. Nebo na kartě automatického šetření & odpovědi vyberte Schválit v Centru akcí.

Použijte karty Čekající akce a Historie . Následující tabulka shrnuje, co uvidíte na jednotlivých kartách:

Kartě	Popis
Čekající	Zobrazí seznam akcí, které vyžadují pozornost. Akce můžete schvalovat nebo zamítat po jednom, nebo můžete vybrat více akcí, pokud mají stejný typ akce (například Umístit soubor do karantény). Nezapomeňte co nejdříve zkontrolovat a schválit (nebo odmítnout) čekající akce, aby se vaše automatizovaná šetření mohly dokončit včas.
Historie	Slouží jako protokol auditu pro provedené akce, jako jsou: >Nápravné akce, které byly přijaty v důsledku automatizovaného vyšetřování Nápravné akce provedené u podezřelých nebo škodlivých e-mailových zpráv, souborů nebo adres URL Nápravné akce schválené vaším týmem pro operace zabezpečení Příkazy, které byly spuštěny, a nápravné akce použité během relací živé odpovědi Nápravné akce provedené antivirovou ochranou Poskytuje způsob, jak vrátit zpět určité akce (viz Vrácení dokončených akcí zpět).

Kartě

Popis

Čekající

Zobrazí seznam akcí, které vyžadují pozornost. Akce můžete schvalovat nebo zamítat po jednom, nebo můžete vybrat více akcí, pokud mají stejný typ akce (například Umístit soubor do karantény).

Nezapomeňte co nejdříve zkontrolovat a schválit (nebo odmítnout) čekající akce, aby se vaše automatizovaná šetření mohly dokončit včas.

Historie

Slouží jako protokol auditu pro provedené akce, jako jsou:

>Nápravné akce, které byly přijaty v důsledku automatizovaného vyšetřování
Nápravné akce provedené u podezřelých nebo škodlivých e-mailových zpráv, souborů nebo adres URL
Nápravné akce schválené vaším týmem pro operace zabezpečení
Příkazy, které byly spuštěny, a nápravné akce použité během relací živé odpovědi
Nápravné akce provedené antivirovou ochranou

Poskytuje způsob, jak vrátit zpět určité akce (viz Vrácení dokončených akcí zpět).

Data můžete přizpůsobit, seřadit, filtrovat a exportovat v Centru akcí.
- Výběrem záhlaví sloupce seřadíte položky vzestupně nebo sestupně.
- Pomocí filtru časového období můžete zobrazit data za poslední den, týden, 30 dní nebo 6 měsíců.
- Vyberte sloupce, které chcete zobrazit.
- Určete, kolik položek se má zahrnout na každé stránce dat.
- Pomocí filtrů můžete zobrazit jenom položky, které chcete zobrazit.
- Vyberte Exportovat a vyexportujte výsledky do souboru .csv.

Akce sledované v Centru akcí

Všechny akce, ať už čekají na schválení, nebo už byly provedené, se sledují v Centru akcí. Mezi dostupné akce patří:

Získání balíčku prověřování
Izolace zařízení (tuto akci je možné vrátit zpět)
Offboarding počítače
Spuštění kódu verze
Uvolnění z karantény
Ukázka požadavku
Omezení provádění kódu (tuto akci je možné vrátit zpět)
Spuštění antivirové kontroly
Zastavení a karanténa
Obsazení zařízení ze sítě

Kromě nápravných akcí, které se automaticky provádějí v důsledku automatizovaného vyšetřování, centrum akcí také sleduje akce, které váš bezpečnostní tým provedl k řešení zjištěných hrozeb, a akce, které byly přijaty v důsledku funkcí ochrany před hrozbami v Microsoft Defender XDR. Další informace o automatických a ručních nápravných akcích najdete v tématu Akce nápravy.

Zobrazení podrobností o zdroji akcí

Vylepšené Centrum akcí obsahuje zdrojový sloupec Akce , který vám řekne, odkud každá akce pochází. Následující tabulka popisuje možné hodnoty zdroje akcí :

Hodnota zdroje akce	Popis
Ruční akce zařízení	Ruční akce na zařízení. Mezi příklady patří izolace zařízení nebo karanténa souborů.
Ruční akce e-mailu	Ruční akce u e-mailu Příkladem je obnovitelné odstranění e-mailových zpráv nebo náprava e-mailové zprávy.
Automatizovaná akce zařízení	Automatizovaná akce proběhla u entity, jako je soubor nebo proces. Mezi příklady automatizovaných akcí patří odeslání souboru do karantény, zastavení procesu a odebrání klíče registru. (Viz Akce nápravy v Microsoft Defender for Endpoint.)
Automatizovaná e-mailová akce	Automatizovaná akce s obsahem e-mailu, jako je e-mailová zpráva, příloha nebo adresa URL. Mezi příklady automatizovaných akcí patří obnovitelné odstranění e-mailových zpráv, blokování adres URL a vypnutí externího přeposílání pošty. (Viz Akce nápravy v Microsoft Defender pro Office 365.)
Akce rozšířeného proaktivního vyhledávání	Akce prováděné na zařízeních nebo e-mailech s pokročilým vyhledáváním
Akce Průzkumníka	Akce prováděné s obsahem e-mailu pomocí Průzkumníka
Ruční akce živé odpovědi	Akce prováděné na zařízení s živou odezvou Mezi příklady patří odstranění souboru, zastavení procesu a odebrání naplánované úlohy.
Akce živé odpovědi	Akce prováděné na zařízení s rozhraními API Microsoft Defender for Endpoint Mezi příklady akcí patří izolace zařízení, spuštění antivirové kontroly a získání informací o souboru.

Požadovaná oprávnění pro úlohy Centra akcí

K provádění úkolů, jako je schválení nebo odmítnutí čekajících akcí v Centru akcí, potřebujete specifická oprávnění. Máte následující možnosti:

Microsoft Entra oprávnění: Členství v těchto rolích poskytuje uživatelům požadovaná oprávnění a oprávnění pro další funkce v Microsoftu 365:
- Microsoft Defender for Endpoint nápravy (zařízení): Členství v roli Správce zabezpečení.
- Microsoft Defender pro Office 365 nápravy (obsah a e-mail Office):
  - Členství v roli Správce zabezpečení .
  a
  - Členství ve skupině rolí v Email & oprávnění ke spolupráci s přiřazenou rolí Hledat a Vyprázdnit. Ve výchozím nastavení je tato role přiřazená jenom skupinám rolí Vyšetřovatel dat a Správa organizace v Email & oprávnění ke spolupráci. Do těchto skupin rolí můžete přidat uživatele nebo můžete vytvořit novou skupinu rolí v Email & oprávnění ke spolupráci s přiřazenou rolí Hledat a Vymazat a přidat uživatele do vlastní skupiny rolí.
Email & oprávnění ke spolupráci na portálu Microsoft Defender:
- Microsoft Defender pro Office 365 nápravy (obsah a e-mail Office):
  - Členství ve skupině rolí Správce zabezpečení
  a
  - Členství ve skupině rolí v Email & oprávnění ke spolupráci s přiřazenou rolí Hledat a Vyprázdnit. Ve výchozím nastavení je tato role přiřazená jenom skupinám rolí Vyšetřovatel dat a Správa organizace v Email & oprávnění ke spolupráci. Do těchto skupin rolí můžete přidat uživatele nebo můžete vytvořit novou skupinu rolí v Email & oprávnění ke spolupráci s přiřazenou rolí Hledat a Vymazat a přidat uživatele do vlastní skupiny rolí.
Microsoft Defender XDR řízení přístupu na základě role (RBAC)
- Microsoft Defender for Endpoint nápravy: Operace zabezpečení \ Data zabezpečení \ Reakce (správa).
- Microsoft Defender pro Office 365 nápravy (obsah a e-mail Office, pokud Email & spolupráce>Defender pro Office 365 oprávnění aktivní. Ovlivňuje jenom portál Defender, ne PowerShell:
  - Přístup pro čtení pro záhlaví e-mailu a zpráv v Teams: Operace zabezpečení / Nezpracovaná data (spolupráce & e-mailu)/Email & metadata spolupráce (čtení).
  - Náprava škodlivých e-mailů: Operace zabezpečení / Data zabezpečení / Email & pokročilé akce spolupráce (správa).
Tip

Členství ve skupině rolí Správce zabezpečení Email & oprávnění ke spolupráci neuděluje přístup k Centru akcí ani Microsoft Defender XDR možnostem. Pro ty musíte být členem role Správce zabezpečení v Microsoft Entra oprávnění.
Oprávnění defenderu pro koncový bod:
- Microsoft Defender for Endpoint nápravy (zařízení):Členství v roli Aktivní akce nápravy.

Tip

Členové role globálního správce v Microsoft Entra ID můžou schválit nebo odmítnout jakoukoli čekající akci v Centru akcí. Jako osvědčený postup byste ale měli omezit členy role globálního správce . Doporučujeme použít alternativní role a skupiny rolí, jak je popsáno v předchozím seznamu pro oprávnění Centra akcí.

Další krok

Zobrazení a správa nápravných akcí

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.

Sdílet prostřednictvím