Provedení akce s výsledky rozšířených dotazů proaktivního vyhledávání
Platí pro:
- Microsoft Defender XDR
Důležité
Některé informace v tomto článku se týkají předvydaného produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje na zde uvedené informace žádné záruky, vyjádřené ani předpokládané.
Pomocí výkonných a komplexních možností akce můžete rychle zadržet hrozby nebo řešit ohrožené prostředky, které najdete v rozšířeném proaktivního proaktivního vyhledávání . Pomocí těchto možností můžete:
- Provádění různých akcí na zařízeních
- Umístit soubory do karantény
Požadovaná oprávnění
Pokud chcete na zařízeních provádět akce prostřednictvím rozšířeného proaktivního vyhledávání, potřebujete roli v Microsoft Defender for Endpoint s oprávněními k odesílání nápravných akcí na zařízeních. Pokud nemůžete provést akci, obraťte se na globálního správce a požádejte ho o získání následujících oprávnění:
Aktivní nápravné akce > – Správa hrozeb a ohrožení zabezpečení – Zpracování nápravy
Pokud chcete provádět akce s e-maily prostřednictvím rozšířeného proaktivního vyhledávání, potřebujete roli v Microsoft Defender pro Office 365 k vyhledávání a mazání e-mailů.
Provádění různých akcí na zařízeních
Na zařízeních identifikovaných sloupcem DeviceId
ve výsledcích dotazu můžete provést následující akce:
- Izolování ovlivněných zařízení za účelem zabránění napadení nebo zabránění laterálně přesouvání útoků
- Shromážděte balíček pro šetření a získejte další forenzní informace.
- Spuštění antivirové kontroly za účelem vyhledání a odebrání hrozeb pomocí nejnovějších aktualizací bezpečnostních informací
- Zahájení automatizovaného šetření za účelem kontroly a nápravy hrozeb na zařízení a případně dalších zařízeních, kterých se to týká
- Omezte spouštění aplikací jenom na spustitelné soubory podepsané Microsoftem, abyste zabránili následné hrozbě prostřednictvím malwaru nebo jiných nedůvěryhodných spustitelných souborů.
Další informace o tom, jak se tyto akce odpovědí provádějí prostřednictvím Microsoft Defender for Endpoint, najdete v článku o akcích odpovědí na zařízeních.
Umístit soubory do karantény
Akci karantény můžete u souborů nasadit tak, aby se při jejich použití automaticky v karanténě našly. Když vyberete tuto akci, můžete zvolit z následujících sloupců, abyste zjistili, které soubory ve výsledcích dotazu se mají umístit do karantény:
SHA1
: Ve většině pokročilých tabulek proaktivního vyhledávání odkazuje tento sloupec na SHA-1 souboru, který byl ovlivněn zaznamenanou akcí. Pokud se například zkopíroval soubor, byl by tímto ovlivněným souborem zkopírovaný soubor.InitiatingProcessSHA1
: Ve většině pokročilých tabulek proaktivního vyhledávání tento sloupec odkazuje na soubor zodpovědný za inicializování zaznamenané akce. Pokud byl například spuštěn podřízený proces, bude tento soubor iniciátoru součástí nadřazeného procesu.SHA256
: Tento sloupec je ekvivalentem SHA-256 souboru identifikovaného sloupcemSHA1
.InitiatingProcessSHA256
: Tento sloupec je ekvivalentem SHA-256 souboru identifikovaného sloupcemInitiatingProcessSHA1
.
Další informace o tom, jak se akce karantény provádí a jak se dají soubory obnovit, najdete v článku o akcích odpovědí na soubory.
Poznámka
Pokud chcete najít soubory a umístit je do karantény, měly by výsledky dotazu obsahovat DeviceId
také hodnoty jako identifikátory zařízení.
Pokud chcete provést některou z popsaných akcí, vyberte ve výsledcích dotazu jeden nebo více záznamů a pak vyberte Provést akce. Průvodce vás provede procesem výběru a následného odeslání upřednostňovaných akcí.
Provádění různých akcí s e-maily
Kromě nápravných kroků zaměřených na zařízení můžete u e-mailů z výsledků dotazu provést také některé akce. Vyberte záznamy, se které chcete provést, vyberte Provést akce a pak v části Zvolit akce vyberte požadovanou možnost z následujících možností:
Move to mailbox folder
– tuto možnost vyberte, pokud chcete přesunout e-mailové zprávy do složky Nevyžádaná pošta, Doručená pošta nebo Odstraněná pošta.Delete email
– tuto možnost vyberte, pokud chcete přesunout e-mailové zprávy do složky Odstraněná pošta (obnovitelné odstranění) nebo je trvale odstranit (pevné odstranění).
V historii centra akcí můžete také zadat název nápravy a krátký popis akce, která ji provede ke snadnému sledování. Id schválení můžete také použít k filtrování těchto akcí v centru akcí. Toto ID je k dispozici na konci průvodce:
Tyto e-mailové akce platí i pro vlastní detekce .
Kontrola provedených akcí
Každá akce se zaznamenává jednotlivě v centru akcí v částiHistoriecentra> akcí (security.microsoft.com/action-center/history). Přejděte do centra akcí a zkontrolujte stav jednotlivých akcí.
Poznámka
Některé tabulky v tomto článku nemusí být v Microsoft Defender for Endpoint dostupné. Zapněte Microsoft Defender XDR pro vyhledávání hrozeb s využitím více zdrojů dat. Pokročilé pracovní postupy proaktivního vyhledávání můžete přesunout z Microsoft Defender for Endpoint do Microsoft Defender XDR pomocí kroků v tématu Migrace dotazů rozšířeného proaktivního vyhledávání z Microsoft Defender for Endpoint.
Související témata
- Přehled rozšířeného proaktivní vyhledávání
- Výuka jazyku dotazu
- Práce s výsledky dotazu
- Pochopení schématu
- Přehled centra akcí
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro