Provádění akcí odezvy na zařízení

  • Článek
  • 14 min ke čtení

Platí pro:

Důležité

Některé informace v tomto článku se týkají předem vydaných produktů, které mohou být před komerčním vydáním podstatně změněny. Společnost Microsoft neposkytuje v souvislosti se zde uvedenými informacemi žádné výslovné ani předpokládané záruky.

Rychle reagujte na zjištěné útoky izolováním zařízení nebo shromážděním balíčku pro šetření. Po provedení akce na zařízeních můžete zkontrolovat podrobnosti o aktivitě v Centru akcí.

Akce odpovědi se spouští v horní části stránky konkrétního zařízení a zahrnují:

  • Správa značek
  • Zahájení automatizovaného vyšetřování
  • Zahájení živé relace odpovědi
  • Získání balíčku prověřování
  • Spuštění antivirové kontroly
  • Omezení spuštění aplikace
  • Izolace zařízení
  • Obsahují zařízení.
  • Konzultace s odborníkem na kybernetické hrozby
  • Centrum akcí

Obrázek akcí odpovědí

Důležité

Defender for Endpoint Plan 1 zahrnuje pouze následující akce ruční odpovědi:

  • Spuštění antivirové kontroly
  • Izolace zařízení
  • Zastavení a umístění souboru do karantény
  • Přidejte indikátor pro blokování nebo povolení souboru.

Microsoft Defender pro firmy v tuto chvíli nezahrnuje akci "Zastavit a umístit soubor do karantény".

Vaše předplatné musí zahrnovat Defender for Endpoint Plan 2, aby bylo k dispozici všechny akce odpovědi popsané v tomto článku.

Stránky zařízení najdete v některém z následujících zobrazení:

  • Fronta upozornění – Vyberte název zařízení vedle ikony zařízení ve frontě upozornění.
  • Seznam zařízení – v seznamu zařízení vyberte nadpis názvu zařízení.
  • Vyhledávací pole – v rozevírací nabídce vyberte Zařízení a zadejte název zařízení.

Důležité

  • Tyto akce odpovědi jsou dostupné jenom pro zařízení s Windows 10 verze 1703 nebo novější, Windows 11, Windows Server 2019 a Windows Server 2022.
  • U platforem jiných než Windows jsou možnosti odezvy (například izolované zařízení) závislé na možnostech třetích stran.
  • V případě agentů microsoftu od microsoftu najdete odkaz "další informace" pod jednotlivými funkcemi, kde najdete minimální požadavky na operační systém.

Správa značek

Přidejte nebo spravujte značky, abyste vytvořili přidružení logické skupiny. Značky zařízení podporují správné mapování sítě, což umožňuje připojit různé značky k zachycení kontextu a umožnit dynamické vytváření seznamů v rámci incidentu.

Další informace o označování zařízení najdete v tématu Vytvoření a správa značek zařízení.

Zahájení automatizovaného vyšetřování

V případě potřeby můžete na zařízení zahájit nové automatizované šetření pro obecné účely. Během vyšetřování se všechny ostatní výstrahy vygenerované ze zařízení přidají do probíhajícího automatizovaného vyšetřování, dokud se šetření nedokončí. Pokud se navíc stejná hrozba zobrazí na jiných zařízeních, přidají se tato zařízení do vyšetřování.

Další informace o automatizovaných šetřeních najdete v tématu Přehled automatizovaných šetření.

Zahájení živé relace odpovědí

Živá odezva je funkce, která umožňuje okamžitý přístup k zařízení pomocí připojení vzdáleného prostředí. Získáte tak možnost provádět hloubkové šetření a okamžitě reagovat na zjištěné hrozby v reálném čase.

Živá reakce je navržená tak, aby zlepšila vyšetřování tím, že umožňuje shromažďovat forenzní data, spouštět skripty, odesílat podezřelé entity k analýze, opravovat hrozby a aktivně vyhledávat nově vznikající hrozby.

Další informace o živé odezvě najdete v tématu Zkoumání entit na zařízeních pomocí živé odpovědi.

Shromáždění balíčku pro šetření ze zařízení

V rámci procesu šetření nebo odpovědi můžete ze zařízení shromáždit balíček pro šetření. Shromážděním balíčku pro šetření můžete identifikovat aktuální stav zařízení a lépe porozumět nástrojům a technikám, které útočník používá.

Důležité

Tyto akce se v současné době nepodporují pro zařízení s macOS nebo Linuxem. Pomocí živé odpovědi spusťte akci. Další informace o živé odezvě najdete v tématu Zkoumání entit na zařízeních pomocí živé odpovědi.

Stažení balíčku (soubor Zip) a prozkoumání událostí, ke kterým došlo na zařízení:

  1. V řádku akcí odpovědí v horní části stránky zařízení vyberte Shromáždit balíček šetření .

  2. Do textového pole zadejte, proč chcete tuto akci provést. Vyberte Potvrdit.

  3. Soubor ZIP se stáhne.

Alternativní kroky:

  1. V části akce odpovědí na stránce zařízení vyberte Centrum akcí .

    Možnost Centrum akcí

  2. V informačním rámečku Centra akcí vyberte Balíček kolekce balíčků k dispozici a stáhněte si soubor ZIP.

    Možnost stažení balíčku

Pro zařízení s Windows balíček obsahuje následující složky:

Složka Popis
Autoruns Obsahuje sadu souborů, které představují obsah registru známého vstupního bodu automatického spuštění (ASEP), který pomáhá identifikovat trvalost útočníka v zařízení.

POZNÁMKA: Pokud se klíč registru nenajde, soubor bude obsahovat následující zprávu: CHYBA: Systém nemohl najít zadaný klíč nebo hodnotu registru.
Nainstalované programy Tento .CSV soubor obsahuje seznam nainstalovaných programů, které vám můžou pomoct zjistit, co je aktuálně na zařízení nainstalované. Další informace najdete v tématu Win32_Product třída.
Síťová připojení Tato složka obsahuje sadu datových bodů souvisejících s informacemi o připojení, které můžou pomoct při identifikaci připojení k podezřelým adresám URL, infrastruktuře příkazů a řízení útočníka (C&C), případnému laterálnímu pohybu nebo vzdáleným připojením.
  • ActiveNetConnections.txt: Zobrazí statistiky protokolu a aktuální síťová připojení TCP/IP. Poskytuje možnost hledat podezřelé připojení vytvořené procesem.
  • Arp.txt: Zobrazí aktuální tabulky mezipaměti protokolu ARP (Address Resolution Protocol) pro všechna rozhraní. Mezipaměť ARP může odhalit další hostitele v síti, které byly ohroženy, nebo podezřelé systémy v síti, které by mohly být použity ke spuštění interního útoku.
  • DnsCache.txt: Zobrazí obsah mezipaměti překladače klienta DNS, která zahrnuje položky předem načtené z místního souboru Hosts a všechny nedávno získané záznamy o prostředcích pro dotazy na názvy přeložené počítačem. To může pomoct při identifikaci podezřelých připojení.
  • IpConfig.txt: Zobrazí úplnou konfiguraci protokolu TCP/IP pro všechny adaptéry. Adaptéry můžou představovat fyzická rozhraní, například nainstalované síťové adaptéry, nebo logická rozhraní, jako jsou telefonická připojení.
  • FirewallExecutionLog.txt a pfirewall.log

POZNÁMKA: Soubor pfirewall.log musí existovat ve složce %windir%\system32\logfiles\firewall\pfirewall.log, takže bude součástí balíčku pro šetření. Další informace o vytvoření souboru protokolu brány firewall najdete v tématu Konfigurace Windows Defender brány firewall s protokolem rozšířeného zabezpečení.
Předběžné načtení souborů Soubory Windows Prefetch jsou navrženy tak, aby urychlily proces spuštění aplikace. Dá se použít ke sledování všech souborů nedávno použitých v systému a k vyhledání trasování aplikací, které mohly být odstraněny, ale stále se nacházejí v seznamu souborů předběžného načtení.
  • Složka předběžného načtení: Obsahuje kopii souborů předběžného načtení z %SystemRoot%\Prefetch. POZNÁMKA: Pro zobrazení souborů předběžného načtení doporučujeme stáhnout prohlížeč souborů před načtením.
  • PrefetchFilesList.txt: Obsahuje seznam všech zkopírovaných souborů, které lze použít ke sledování, jestli nedošlo k selhání kopírování do složky předběžného načtení.
Procesy Obsahuje soubor .CSV se seznamem spuštěných procesů a umožňuje identifikovat aktuální procesy spuštěné na zařízení. To může být užitečné při identifikaci podezřelého procesu a jeho stavu.
Naplánované úkoly Obsahuje soubor .CSV se seznamem naplánovaných úloh, který lze použít k identifikaci rutin automaticky prováděných na vybraném zařízení a hledání podezřelého kódu, který byl nastaven tak, aby se spouštěl automaticky.
Protokol událostí zabezpečení Obsahuje protokol událostí zabezpečení, který obsahuje záznamy aktivit přihlášení nebo odhlášení nebo jiné události související se zabezpečením určené zásadami auditování systému.

POZNÁMKA: Otevřete soubor protokolu událostí pomocí Prohlížeče událostí.
Služby Obsahuje .CSV soubor se seznamem služeb a jejich stavů.
Relace protokolu SMB (Windows Server Message Block) Uvádí sdílený přístup k souborům, tiskárnám a sériovým portům a různé komunikace mezi uzly v síti. To může pomoct identifikovat exfiltraci dat nebo laterální pohyb.

Obsahuje soubory pro SMBInboundSessions a SMBOutboundSession.

POZNÁMKA: Pokud neexistují žádné relace (příchozí nebo odchozí), získáte textový soubor s informacemi o tom, že se nenašly žádné relace SMB.
Systémové informace Obsahuje SystemInformation.txt soubor se seznamem systémových informací, jako jsou verze operačního systému a síťové karty.
Dočasné adresáře Obsahuje sadu textových souborů se seznamem souborů umístěných v %Temp% pro každého uživatele v systému.

To může pomoct sledovat podezřelé soubory, které útočník mohl vyhodit do systému.

POZNÁMKA: Pokud soubor obsahuje následující zprávu: "Systém nemůže najít zadanou cestu", znamená to, že pro tohoto uživatele neexistuje žádný dočasný adresář a může to být proto, že se uživatel nepřihlašoval k systému.
Uživatelé a skupiny Poskytuje seznam souborů, které představují skupinu a její členy.
WdSupportLogs Poskytuje MpCmdRunLog.txt a MPSupportFiles.cab

POZNÁMKA: Tato složka se vytvoří jenom v Windows 10 verze 1709 nebo novější s kumulativní aktualizací z února 2020 nebo novější nainstalovanou:
  • Win10 1709 (RS3) build 16299.1717: KB4537816
  • Win10 1803 (RS4) build 17134.1345: KB4537795
  • Win10 1809 (RS5) build 17763.1075: KB4537818
  • Win10 1903/1909 (19h1/19h2) Buildy 18362.693 a 18363.693: KB4535996
CollectionSummaryReport.xls Tento soubor je souhrnem kolekce balíčků šetření, obsahuje seznam datových bodů, příkaz použitý k extrakci dat, stav spuštění a kód chyby v případě selhání. Pomocí této sestavy můžete sledovat, jestli balíček obsahuje všechna očekávaná data, a zjistit, jestli nedošlo k nějakým chybám.

Balíčky kolekcí pro zařízení s macOS a Linuxem obsahují následující:

Objekt macOS Linux
Aplikace Seznam všech nainstalovaných aplikací Neuplatňuje se
Diskový svazek
  • Množství volného místa
  • Seznam všech připojených diskových svazků
  • Seznam všech oddílů
  • Množství volného místa
  • Seznam všech připojených diskových svazků
  • Seznam všech oddílů
Soubor Seznam všech otevřených souborů s odpovídajícími procesy používajícími tyto soubory Seznam všech otevřených souborů s odpovídajícími procesy používajícími tyto soubory
Historie Historie prostředí Neuplatňuje se
Moduly jádra Všechny načtené moduly Neuplatňuje se
Síťová připojení
  • Aktivní připojení
  • Aktivní naslouchající připojení
  • Tabulka protokolu ARP
  • Pravidla brány firewall
  • Konfigurace rozhraní
  • Nastavení proxy serveru
  • Nastavení sítě VPN
  • Aktivní připojení
  • Aktivní naslouchající připojení
  • Tabulka protokolu ARP
  • Pravidla brány firewall
  • Seznam IP adres
  • Nastavení proxy serveru
Procesy Seznam všech spuštěných procesů Seznam všech spuštěných procesů
Služby a naplánované úlohy
  • Certifikáty
  • Konfigurační profily
  • Informace o hardwaru
  • Podrobnosti o procesoru
  • Informace o hardwaru
  • Informace o operačním systému
Informace o zabezpečení systému
  • Informace o integritě rozhraní EFI (Extensible Firmware Interface)
  • Stav brány firewall
  • Informace o nástroji pro odstranění malwaru (MRT)
  • Stav ochrany integrity systému (SIP)
 Neuplatňuje se
Uživatelé a skupiny
  • Historie přihlášení
  • Sudoers
  • Historie přihlášení
  • Sudoers

Spuštění kontroly Microsoft Defender antivirové ochrany na zařízeních

V rámci procesu vyšetřování nebo reakce můžete vzdáleně zahájit antivirovou kontrolu, která vám pomůže identifikovat a napravit malware, který se může na napadeném zařízení vyskytovat.

Důležité

  • Tato akce se v současné době nepodporuje pro macOS a Linux. Pomocí živé odpovědi spusťte akci. Další informace o živé odezvě najdete v tématu Zkoumání entit na zařízeních pomocí živé odpovědi.
  • Kontrola Microsoft Defender Antivirus může běžet společně s dalšími antivirovými řešeními bez ohledu na to, jestli je Microsoft Defender Antivirus aktivním antivirovým řešením nebo ne. Microsoft Defender Antivirus může být v pasivním režimu. Další informace najdete v tématu Microsoft Defender kompatibilita antivirové ochrany.

Pokud jste vybrali Možnost Spustit antivirovou kontrolu, vyberte typ kontroly, který chcete spustit (rychlý nebo úplný), a před potvrzením kontroly přidejte komentář.

Oznámení o výběru rychlé nebo úplné kontroly a přidání komentáře

V Centru akcí se zobrazí informace o skenování a časová osa zařízení bude obsahovat novou událost, která odráží odeslání akce kontroly na zařízení. Microsoft Defender Upozornění antivirové ochrany budou odrážet všechny detekce, které se během kontroly objeví.

Poznámka

Při aktivaci kontroly pomocí akce odpovědi Defenderu for Endpoint Microsoft Defender antivirová hodnota ScanAvgCPULoadFactor stále platí a omezuje dopad kontroly na procesor. Pokud scanAvgCPULoadFactor není nakonfigurovaný, výchozí hodnota je limit 50% maximálního zatížení procesoru během kontroly. Další informace najdete v tématu configure-advanced-scan-types-microsoft-defender-antivirus.

Omezení spuštění aplikace

Kromě toho, že zabráníte útoku zastavením škodlivých procesů, můžete také uzamknout zařízení a zabránit spuštění následných pokusů o potenciálně škodlivé programy.

Důležité

  • Tato akce je dostupná pro zařízení s Windows 10 verze 1709 nebo novější, Windows 11 a Windows Serverem 2019 nebo novějším.
  • Tato funkce je dostupná, pokud vaše organizace používá Microsoft Defender Antivirus.
  • Tato akce musí splňovat Windows Defender formáty zásad integrity kódu řízení aplikací a požadavky na podepisování. Další informace najdete v tématu Formáty zásad integrity kódu a podepisování).

Aby se zabránilo spuštění aplikace, použije se zásada integrity kódu, která povoluje spouštění souborů jenom v případě, že jsou podepsané certifikátem vydaným Microsoftem. Tato metoda omezení může útočníkovi zabránit v řízení ohrožených zařízení a provádění dalších škodlivých aktivit.

Poznámka

Omezení spouštění aplikací budete moct kdykoliv vrátit zpět. Tlačítko na stránce zařízení se změní na Odebrat omezení aplikací a pak provedete stejný postup jako omezení provádění aplikace.

Jakmile na stránce zařízení vyberete Omezit spouštění aplikací , zadejte komentář a vyberte Potvrdit. V centru akcí se zobrazí informace o skenování a časová osa zařízení bude obsahovat novou událost.

Oznámení o omezení aplikace

Oznámení pro uživatele zařízení

Pokud je aplikace omezena, zobrazí se následující oznámení, které uživatele informuje o tom, že je aplikace omezena ve spuštění:

Zpráva o omezení aplikace

Poznámka

Oznámení není dostupné pro Windows Server 2016 a Windows Server 2012 R2.

Izolace zařízení od sítě

V závislosti na závažnosti útoku a citlivosti zařízení můžete chtít izolovat zařízení od sítě. Tato akce může útočníkovi zabránit v řízení napadeného zařízení a provádění dalších aktivit, jako je exfiltrace dat a laterální pohyb.

Důležité

  • Izolace zařízení od sítě se v současné době nepodporuje u zařízení s macOS. V systému macOS spusťte akci pomocí živé odpovědi. Další informace o živé odezvě najdete v tématu Zkoumání entit na zařízeních pomocí živé odpovědi.
  • Úplná izolace je k dispozici pro zařízení se systémem Windows 11, Windows 10 verze 1703 nebo novější, Windows Server 2022, Windows Server 2019 a Windows Server 2016.
  • Funkci izolace zařízení ve verzi Public Preview můžete použít na všech podporovaných Microsoft Defender for Endpoint v Linuxu uvedených v části Požadavky na systém.
  • Selektivní izolace je k dispozici pro zařízení se systémem Windows 10 verze 1709 nebo novější a Windows 11.
  • Při izolování zařízení jsou povolené jenom určité procesy a cíle. Proto se zařízení, která jsou za úplným tunelem VPN, nebudou po izolaci zařízení moci připojit ke cloudové službě Microsoft Defender for Endpoint. Pro přenosy Microsoft Defender for Endpoint a Microsoft Defender Antivirové ochrany doporučujeme používat síť VPN s rozděleným tunelovým propojením.
  • Tato funkce podporuje připojení VPN.
  • Musíte mít alespoň jedno následující oprávnění role: Aktivní akce nápravy. Další informace najdete v tématu Vytváření a správa rolí.
  • Musíte mít přístup k zařízení na základě nastavení skupiny zařízení. Další informace najdete v tématu Vytváření a správa skupin zařízení.
  • Vyloučení pro izolaci macOS ani Linuxu se nepodporuje.

Tato funkce izolace zařízení odpojí ohrožené zařízení od sítě při zachování připojení ke službě Defender for Endpoint, která zařízení dál monitoruje.

Na Windows 10 verze 1709 nebo novější budete mít větší kontrolu nad úrovní izolace sítě. Můžete také povolit připojení outlooku, Microsoft Teams a Skype pro firmy (označované jako selektivní izolace).

Poznámka

Zařízení budete moct kdykoli znovu připojit zpět k síti. Tlačítko na stránce zařízení se změní na Uvolnit z izolace a pak provedete stejný postup jako izolace zařízení.

Po výběru možnosti Izolovat zařízení na stránce zařízení zadejte komentář a vyberte Potvrdit. V centru akcí se zobrazí informace o skenování a časová osa zařízení bude obsahovat novou událost.

Stránka podrobností o izolovaném zařízení

Poznámka

Zařízení zůstane připojené ke službě Defender for Endpoint, i když je izolované od sítě. Pokud jste se rozhodli povolit Outlook a Skype pro firmy komunikaci, budete moct komunikovat s uživatelem, když je zařízení izolované.

Oznámení pro uživatele zařízení

Když se zařízení izoluje, zobrazí se následující oznámení, které uživatele informuje, že se zařízení izoluje od sítě:

Zpráva o chybějícím síťovém připojení

Poznámka

Oznámení není dostupné na jiných platformách než Windows.

Obsazení zařízení ze sítě

Poznámka

Funkce obsahují aktuálně ve verzi Public Preview. Pokud se chcete dozvědět o nových funkcích ve verzi Microsoft 365 Defender Preview a být mezi prvními, kteří si chystané funkce po zapnutí prostředí Preview vyzkouší, podívejte se na článek Funkce preview v Micrsoftu 365 Defenderu.

Pokud jste identifikovali nespravované zařízení, které je ohrožené nebo potenciálně ohrožené, můžete chtít toto zařízení ze sítě obsahovat. Pokud nějaké zařízení obsahuje, jakékoli Microsoft Defender for Endpoint onboardované zařízení zablokuje příchozí a odchozí komunikaci s tímto zařízením. Tato akce může zabránit ohrožení sousedních zařízení, zatímco analytik operací zabezpečení vyhledá, identifikuje a opraví hrozbu na ohroženém zařízení.

Poznámka

Blokování příchozí a odchozí komunikace s "obsaženým" zařízením je podporováno na zařízeních s nasazenými Microsoft Defender for Endpoint Windows 10 a Windows Serverem 2019 nebo novějším.

Jak obsahovat zařízení

  1. Přejděte na stránku Inventář zařízení a vyberte zařízení, které chcete obsahovat.

  2. V nabídce akcí v informačním rámečku zařízení vyberte Obsahovat zařízení .

    Snímek obrazovky s automaticky otevíranou zprávou obsahující zařízení

  3. V místní nabídce obsahující zařízení zadejte komentář a vyberte Potvrdit.

Snímek obrazovky s položkou nabídky obsahovat zařízení

Obsahují zařízení ze stránky zařízení.

Zařízení můžete na stránce zařízení obsahovat také tak, že na panelu akcí vyberete Možnost Obsahovat zařízení :

Snímek obrazovky s položkou nabídky obsahující zařízení na stránce zařízení

Poznámka

Může trvat až 5 minut, než se podrobnosti o nově obsaženém zařízení dostanou Microsoft Defender for Endpoint zařízení.

Důležité

  • Pokud zařízení s omezením změní svoji IP adresu, všechna Microsoft Defender for Endpoint nasazená zařízení to rozpoznají a začnou blokovat komunikaci s novou IP adresou. Původní IP adresa už nebude blokovaná (může trvat až 5 minut, než se tyto změny projeví).
  • V případech, kdy IP adresu obsaženého zařízení používá jiné zařízení v síti, se při jeho uložení zobrazí upozornění s odkazem na rozšířené proaktivní vyhledávání (s předem vyplněným dotazem). Tím získáte přehled o ostatních zařízeních, která používají stejnou IP adresu, a pomůže vám to učinit vědomé rozhodnutí, pokud chcete zařízení dál obsahovat.
  • V případech, kdy je obsaženým zařízením síťové zařízení, se zobrazí upozornění se zprávou, že to může způsobit problémy s připojením k síti (například obsahující směrovač, který funguje jako výchozí brána). V tomto okamžiku se budete moct rozhodnout, jestli chcete zařízení obsahovat nebo ne.

Pokud po zahrnutí zařízení není chování podle očekávání, ověřte, že je na zařízeních se službou Defender for Endpoint povolená služba BFE (Base Filtering Engine).

Přestat obsahovat zařízení

Zařízení budete moct kdykoli zastavit.

  1. Vyberte zařízení v inventáři zařízení nebo otevřete stránku zařízení.

  2. V nabídce akcí vyberte Uvolnit z uzavření . Tato akce obnoví připojení tohoto zařízení k síti.

Konzultace s odborníkem na kybernetické hrozby

Další informace týkající se potenciálně ohrožených nebo již ohrožených zařízení získáte od odborníka Microsoftu na hrozby. Microsoft Threat Experts lze zapojit přímo z Microsoft 365 Defender, aby bylo možné včas a přesně reagovat. Odborníci poskytují přehledy nejen o potenciálně ohrožených zařízeních, ale také k lepšímu pochopení složitých hrozeb, oznámení cílených útoků, která dostanete, nebo pokud potřebujete další informace o výstrahách nebo kontext analýzy hrozeb, který vidíte na řídicím panelu portálu.

Podrobnosti najdete v tématu Obraťte se na odborníka microsoftu na hrozby.

Kontrola podrobností o aktivitě v Centru akcí

Centrum akcí poskytuje informace o akcích provedených na zařízení nebo souboru. Budete moct zobrazit následující podrobnosti:

  • Kolekce balíčků šetření
  • Antivirová kontrola
  • Omezení aplikací
  • Izolace zařízení

Zobrazí se také všechny ostatní související podrobnosti, například datum a čas odeslání, odesílající uživatel a informace o tom, jestli akce proběhla úspěšně nebo selhala.

Centrum akcí s informacemi

Viz také