Kontrola nápravných akcí po automatizovaném šetření

Platí pro:

Nápravné akce

Když se spustí automatizované vyšetřování , vygeneruje se verdikt pro každý vyšetřovaný důkaz. Verdikty můžou být Škodlivé, Podezřelé nebo Nenašly se žádné hrozby.

V závislosti na

  • typ hrozby,
  • výsledného verdiktu a
  • jak jsou nakonfigurované skupiny zařízení ve vaší organizaci,

nápravné akce můžou probíhat automaticky nebo pouze po schválení týmem pro operace zabezpečení vaší organizace.

Poznámka

Vytváření skupin zařízení je podporováno v defenderu for Endpoint Plan 1 a Plan 2.

Tady je několik příkladů:

  • Příklad 1: Skupiny zařízení společnosti Fabrikam jsou nastavené na Úplné – automaticky opravujte hrozby (doporučené nastavení). V tomto případě se akce nápravy provádějí automaticky u artefaktů, které jsou po automatizovaném vyšetřování považovány za škodlivé (viz Kontrola dokončených akcí).

  • Příklad 2: Zařízení společnosti Contoso jsou součástí skupiny zařízení, která je nastavená na Semi – vyžadují schválení pro jakoukoli nápravu. V takovém případě musí tým operací zabezpečení společnosti Contoso zkontrolovat a schválit všechny nápravné akce po automatizovaném šetření (viz Kontrola čekajících akcí).

  • Příklad 3: Společnost Tailspin Toys má skupiny zařízení nastavené na hodnotu Žádná automatizovaná odpověď (nedoporučuje se). V tomto případě neprobíná automatizovaná šetření. Neprovádějí se žádné nápravné akce ani nevyřízené a v Centru akcí se neprotokolují žádné akce pro jejich zařízení (viz Správa skupin zařízení).

Ať už se provádí automaticky nebo po schválení, může automatizované šetření a náprava vést k jedné nebo několika nápravným akcím:

  • Umístit soubor do karantény
  • Odebrání klíče registru
  • Ukončení procesu
  • Zastavení služby
  • Zakázání ovladače
  • Odebrání naplánovaného úkolu

Kontrola čekajících akcí

  1. Přejděte na portál Microsoft Defender a přihlaste se.

  2. V navigačním podokně zvolte Centrum akcí.

  3. Zkontrolujte položky na kartě Čeká na vyřízení .

  4. Výběrem akce otevřete její kontextové podokno.

  5. V informačním podokně zkontrolujte informace a proveďte jeden z následujících kroků:

    • Pokud chcete zobrazit další podrobnosti o vyšetřování, vyberte Otevřít stránku šetření .
    • Výběrem možnosti Schválit zahajte čekající akci.
    • Pokud chcete zabránit provedení čekající akce, vyberte Odmítnout .
    • Výběrem možnosti Přejít na proaktivní vyhledávání přejděte do rozšířeného vyhledávání.

Schválení nebo odmítnutí nápravných akcí

V případě incidentů se stavem nápravy Čekající na schválení můžete také schválit nebo odmítnout nápravnou akci z incidentu.

  1. V navigačním podokně přejděte na Incidenty & výstrahy>Incidenty.
  2. Vyfiltrujte akci Čeká na vyřízení pro stav automatizovaného šetření (volitelné).
  3. Výběrem názvu incidentu otevřete jeho souhrnnou stránku.
  4. Vyberte kartu Evidence a odpověď .
  5. Výběrem položky v seznamu otevřete její kontextové podokno.
  6. Zkontrolujte tyto informace a pak proveďte jeden z následujících kroků:
    • Pokud chcete zahájit čekající akci, vyberte možnost Schválit čekající akci.
    • Pokud chcete zabránit provedení čekající akce, vyberte možnost Odmítnout čekající akci.

Možnost Schválit/Odmítnout v podokně Správa důkazů a odpovědí pro incident na portálu Microsoft Defender

Kontrola dokončených akcí

  1. Přejděte na portál Microsoft Defender a přihlaste se.

  2. V navigačním podokně zvolte Centrum akcí.

  3. Zkontrolujte položky na kartě Historie .

  4. Výběrem položky zobrazíte další podrobnosti o této nápravné akci.

Vrácení dokončených akcí zpět

Pokud jste zjistili, že zařízení nebo soubor nejsou hrozbou, můžete provedené nápravné akce vrátit zpět, ať už se tyto akce provedly automaticky nebo ručně. V Centru akcí na kartě Historie můžete vrátit zpět některou z následujících akcí:

Zdroj akcí Podporované akce
  • Automatizované prověřování
  • Akce ruční odpovědi (viz poznámka níže)
  • Antivirová ochrana v Microsoft Defenderu
  • Zakázání ovladače
  • Izolace zařízení
  • Umístit soubor do karantény
  • Odebrání klíče registru
  • Odebrání naplánovaného úkolu
  • Omezení provádění kódu
  • Zastavení služby

Poznámka

Defender for Endpoint Plan 1 a Microsoft Defender pro firmy zahrnovat pouze následující akce ruční odpovědi:

  • Spuštění antivirové kontroly
  • Izolace zařízení
  • Zastavení a umístění souboru do karantény
  • Přidání indikátoru pro blokování nebo povolení souboru

Vrácení více akcí zpět najednou

  1. Přejděte do Centra akcí (https://security.microsoft.com/action-center) a přihlaste se.

  2. Na kartě Historie vyberte akce, které chcete vrátit zpět. Nezapomeňte vybrat položky, které mají stejný typ akce. Otevře se kontextové podokno.

  3. V podokně informačního rámečku vyberte Zpět.

Odebrání souboru z karantény na více zařízeních

  1. Přejděte do Centra akcí (https://security.microsoft.com/action-center) a přihlaste se.

  2. Na kartě Historie vyberte položku s typem akce Umístit soubor do karantény.

  3. V podokně informačního rámečku vyberte Použít u X dalších instancí tohoto souboru a pak vyberte Zpět.

Úrovně automatizace, výsledky automatizovaného šetření a výsledné akce

Úrovně automatizace ovlivňují, jestli se určité nápravné akce provedou automaticky nebo pouze po schválení. V závislosti na výsledcích automatizovaného šetření může váš tým pro operace zabezpečení někdy podniknout další kroky. Následující tabulka shrnuje úrovně automatizace, výsledky automatizovaných šetření a to, co v každém případě dělat.

Nastavení skupiny zařízení Výsledky automatizovaného šetření Co dělat
Úplná – automatická náprava hrozeb
(doporučeno)
Pro část důkazů se dosáhne verdiktu škodlivého .

Příslušné nápravné akce se provedou automaticky.

Kontrola dokončených akcí
Semi – vyžadování schválení pro jakoukoli nápravu Je dosaženo verdiktu škodlivých nebo podezřelých pro určitý důkaz.

Nápravné akce čekají na schválení, aby bylo pokračovat.

Schválení (nebo odmítnutí) čekajících akcí
Semi – vyžadování schválení pro nápravu základních složek Pro část důkazů se dosáhne verdiktu škodlivého .

Pokud je artefakt souborem nebo spustitelným souborem a nachází se v adresáři operačního systému, například ve složce Windows nebo ve složce Program Files, akce nápravy čekají na schválení.

Pokud artefakt není v adresáři operačního systému, akce nápravy se provedou automaticky.

  1. Schválení (nebo odmítnutí) čekajících akcí
  2. Kontrola dokončených akcí
Semi – vyžadování schválení pro nápravu základních složek Je dosaženo verdiktu podezřelého pro kus důkazů.

Nápravné akce čekají na schválení.

Schvalte (nebo zamítněte) čekající akce.
Střední – vyžadování schválení pro nápravu jiných než dočasných složek Pro část důkazů se dosáhne verdiktu škodlivého .

Pokud je artefakt souborem nebo spustitelným souborem, který není v dočasné složce, jako je složka stažené soubory uživatele nebo dočasná složka, akce nápravy čekají na schválení.

Pokud je artefakt soubor nebo spustitelný soubor, který je v dočasné složce, akce nápravy se provedou automaticky.

  1. Schválení (nebo odmítnutí) čekajících akcí
  2. Kontrola dokončených akcí
Střední – vyžadování schválení pro nápravu jiných než dočasných složek Je dosaženo verdiktu podezřelého pro kus důkazů.

Nápravné akce čekají na schválení.

Schválení (nebo odmítnutí) čekajících akcí
Libovolná úroveň úplné nebo poloautomatiky Pro důkaz je dosaženo verdiktu o tom, že se nenašly žádné hrozby .

Neprovedou se žádné nápravné akce a žádné akce čekají na schválení.

Zobrazení podrobností a výsledků automatizovaných prověřování
Žádná automatizovaná odpověď (nedoporučuje se) Neproběhne žádné automatizované šetření, takže se nedosáhne žádných verdiktů a neprovedou se žádné nápravné akce ani se nečekají na schválení. Zvažte nastavení nebo změnu skupin zařízení tak, aby používaly úplnou nebo poloautomatii .

Všechny rozsudky se sledují v Centru akcí.

Poznámka

V Defenderu pro firmy jsou funkce automatizovaného vyšetřování a nápravy přednastavené tak, aby používaly úplné – automaticky napravujte hrozby. Tyto možnosti se ve výchozím nastavení použijí na všechna zařízení.

Další kroky

Viz také

Tip

Chcete se dozvědět více? Zapojte se do komunity zabezpečení Microsoftu v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.