Sdílet prostřednictvím


Nápravné akce v Microsoft DefenderU XDR

Platí pro:

  • Microsoft Defender XDR

Během automatizovaného vyšetřování v programu Microsoft Defender XDR a po jeho skončení se u škodlivých nebo podezřelých položek identifikují nápravné akce. Na zařízeních se provádí některé druhy nápravných akcí, které se označují také jako koncové body. U identit, účtů a e-mailového obsahu se provádí další nápravné akce. Kromě toho se některé typy nápravných akcí můžou provádět automaticky, zatímco jiné typy nápravných akcí provádí bezpečnostní tým vaší organizace ručně. Pokud automatizované šetření vede k jedné nebo několika nápravným akcím, dokončí se šetření pouze v případě, že jsou nápravné akce přijaty, schváleny nebo odmítnuty.

Důležité

To, jestli se nápravné akce provedou automaticky nebo pouze po schválení, závisí na určitých nastaveních, jako jsou úrovně automatizace. Další informace najdete v následujících článcích:

Následující tabulka shrnuje nápravné akce, které jsou aktuálně podporovány v programu Microsoft Defender XDR.

Akce nápravy zařízení (koncového bodu) Akce e-mailové nápravy Uživatelé (účty)
- Shromáždění balíčku pro šetření
– Izolovat zařízení (tuto akci je možné vrátit zpět)
- Offboardovací stroj
– Spuštění kódu verze
- Uvolnění z karantény
– Ukázka požadavku
– Omezit provádění kódu (tuto akci je možné vrátit zpět)
- Spusťte antivirovou kontrolu.
- Zastavit a umístit do karantény
– Obsahují zařízení ze sítě.
- Adresa URL bloku (čas kliknutí)
- Obnovitelné odstranění e-mailových zpráv nebo clusterů
- Umístit e-mail do karantény
- Umístit přílohu e-mailu do karantény
- Vypnutí externího přeposílání pošty
- Zakázat uživatele
- Resetovat heslo uživatele
– Potvrďte ohrožení zabezpečení uživatele.

Nápravné akce, ať už čekající na schválení, nebo již dokončené, se dají zobrazit v Centru akcí.

Nápravné akce, které následují po automatizovaném vyšetřování

Po dokončení automatizovaného vyšetřování se dosáhne verdiktu pro každý případný důkaz. V závislosti na rozsudku se identifikují nápravné akce. V některých případech se nápravné akce provádí automaticky; v ostatních případech čekají akce nápravy na schválení. Vše závisí na tom, jak je nakonfigurované automatizované vyšetřování a reakce.

Následující tabulka uvádí možné verdikty a výsledky:

Verdikt Ovlivněné entity Výsledky
Zlomyslný Zařízení (koncové body) Nápravné akce se provedou automaticky (za předpokladu, že jsou skupiny zařízení vaší organizace nastavené na Úplné – automaticky napravit hrozby).
Udělal kompromis Uživatelé Nápravné akce se provedou automaticky.
Zlomyslný Obsah e-mailu (adresy URL nebo přílohy) Doporučené nápravné akce čekají na schválení
Podezřívavý Zařízení nebo obsah e-mailu Doporučené nápravné akce čekají na schválení
Nenašly se žádné hrozby. Zařízení nebo obsah e-mailu Nejsou potřeba žádné nápravné akce.

Nápravné akce, které se provádí ručně

Kromě nápravných akcí, které následují po automatizovaných šetřeních, může váš tým pro operace zabezpečení provádět určité nápravné akce ručně. Mezi tyto akce patří:

  • Ruční akce zařízení, jako je izolace zařízení nebo karanténa souborů
  • Ruční e-mailová akce, například obnovitelné odstranění e-mailových zpráv
  • Ruční akce uživatele, například zakázání uživatele nebo resetování hesla uživatele
  • Akce rozšířeného vyhledávání na zařízeních, uživatelích nebo e-mailech
  • Akce Průzkumníka u obsahu e-mailu, jako je přesunutí e-mailu do nevyžádané pošty, obnovitelné odstranění e-mailu nebo pevné odstranění e-mailu
  • Ruční akce živé odpovědi , například odstranění souboru, zastavení procesu a odebrání naplánované úlohy
  • Akce živé odezvy pomocí rozhraní API Microsoft Defenderu for Endpoint, jako je izolace zařízení, spuštění antivirové kontroly a získání informací o souboru

Další kroky

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.