Provedení akce s výsledky rozšířených dotazů proaktivního vyhledávání

  • Článek

Platí pro:

  • Microsoft Defender XDR

Důležité

Některé informace v tomto článku se týkají předvydaného produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje na zde uvedené informace žádné záruky, vyjádřené ani předpokládané.

Pomocí výkonných a komplexních možností akce můžete rychle zadržet hrozby nebo řešit ohrožené prostředky, které najdete v rozšířeném proaktivního proaktivního vyhledávání . Pomocí těchto možností můžete:

  • Provádění různých akcí na zařízeních
  • Umístit soubory do karantény

Požadovaná oprávnění

Pokud chcete na zařízeních provádět akce prostřednictvím rozšířeného proaktivního vyhledávání, potřebujete roli v Microsoft Defender for Endpoint s oprávněními k odesílání nápravných akcí na zařízeních. Pokud nemůžete provést akci, obraťte se na globálního správce a požádejte ho o získání následujících oprávnění:

Aktivní nápravné akce > – Správa hrozeb a ohrožení zabezpečení – Zpracování nápravy

Pokud chcete provádět akce s e-maily prostřednictvím rozšířeného proaktivního vyhledávání, potřebujete roli v Microsoft Defender pro Office 365 k vyhledávání a mazání e-mailů.

Provádění různých akcí na zařízeních

Na zařízeních identifikovaných sloupcem DeviceId ve výsledcích dotazu můžete provést následující akce:

  • Izolování ovlivněných zařízení za účelem zabránění napadení nebo zabránění laterálně přesouvání útoků
  • Shromážděte balíček pro šetření a získejte další forenzní informace.
  • Spuštění antivirové kontroly za účelem vyhledání a odebrání hrozeb pomocí nejnovějších aktualizací bezpečnostních informací
  • Zahájení automatizovaného šetření za účelem kontroly a nápravy hrozeb na zařízení a případně dalších zařízeních, kterých se to týká
  • Omezte spouštění aplikací jenom na spustitelné soubory podepsané Microsoftem, abyste zabránili následné hrozbě prostřednictvím malwaru nebo jiných nedůvěryhodných spustitelných souborů.

Další informace o tom, jak se tyto akce odpovědí provádějí prostřednictvím Microsoft Defender for Endpoint, najdete v článku o akcích odpovědí na zařízeních.

Umístit soubory do karantény

Akci karantény můžete u souborů nasadit tak, aby se při jejich použití automaticky v karanténě našly. Když vyberete tuto akci, můžete zvolit z následujících sloupců, abyste zjistili, které soubory ve výsledcích dotazu se mají umístit do karantény:

  • SHA1: Ve většině pokročilých tabulek proaktivního vyhledávání odkazuje tento sloupec na SHA-1 souboru, který byl ovlivněn zaznamenanou akcí. Pokud se například zkopíroval soubor, byl by tímto ovlivněným souborem zkopírovaný soubor.
  • InitiatingProcessSHA1: Ve většině pokročilých tabulek proaktivního vyhledávání tento sloupec odkazuje na soubor zodpovědný za inicializování zaznamenané akce. Pokud byl například spuštěn podřízený proces, bude tento soubor iniciátoru součástí nadřazeného procesu.
  • SHA256: Tento sloupec je ekvivalentem SHA-256 souboru identifikovaného sloupcem SHA1 .
  • InitiatingProcessSHA256: Tento sloupec je ekvivalentem SHA-256 souboru identifikovaného sloupcem InitiatingProcessSHA1 .

Další informace o tom, jak se akce karantény provádí a jak se dají soubory obnovit, najdete v článku o akcích odpovědí na soubory.

Poznámka

Pokud chcete najít soubory a umístit je do karantény, měly by výsledky dotazu obsahovat DeviceId také hodnoty jako identifikátory zařízení.

Pokud chcete provést některou z popsaných akcí, vyberte ve výsledcích dotazu jeden nebo více záznamů a pak vyberte Provést akce. Průvodce vás provede procesem výběru a následného odeslání upřednostňovaných akcí.

Možnost Provádění akcí na portálu Microsoft Defender

Provádění různých akcí s e-maily

Kromě nápravných kroků zaměřených na zařízení můžete u e-mailů z výsledků dotazu provést také některé akce. Vyberte záznamy, se které chcete provést, vyberte Provést akce a pak v části Zvolit akce vyberte požadovanou možnost z následujících možností:

  • Move to mailbox folder – tuto možnost vyberte, pokud chcete přesunout e-mailové zprávy do složky Nevyžádaná pošta, Doručená pošta nebo Odstraněná pošta.

    Možnost Provádět akce na portálu Microsoft Defender

  • Delete email – tuto možnost vyberte, pokud chcete přesunout e-mailové zprávy do složky Odstraněná pošta (obnovitelné odstranění) nebo je trvale odstranit (pevné odstranění).

    Možnost Provést akce na portálu Microsoft Defender

V historii centra akcí můžete také zadat název nápravy a krátký popis akce, která ji provede ke snadnému sledování. Id schválení můžete také použít k filtrování těchto akcí v centru akcí. Toto ID je k dispozici na konci průvodce:

Průvodce provedením akcí zobrazující výběr akcí pro entity

Tyto e-mailové akce platí i pro vlastní detekce .

Kontrola provedených akcí

Každá akce se zaznamenává jednotlivě v centru akcí v částiHistoriecentra> akcí (security.microsoft.com/action-center/history). Přejděte do centra akcí a zkontrolujte stav jednotlivých akcí.

Poznámka

Některé tabulky v tomto článku nemusí být v Microsoft Defender for Endpoint dostupné. Zapněte Microsoft Defender XDR pro vyhledávání hrozeb s využitím více zdrojů dat. Pokročilé pracovní postupy proaktivního vyhledávání můžete přesunout z Microsoft Defender for Endpoint do Microsoft Defender XDR pomocí kroků v tématu Migrace dotazů rozšířeného proaktivního vyhledávání z Microsoft Defender for Endpoint.

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.