Centrum akcí

Článek
11/16/2023

Platí pro:

Microsoft Defender XDR

Centrum akcí poskytuje prostředí s jedním skleněným podoknem pro úlohy incidentů a upozornění, jako jsou:

Schválení čekajících nápravných akcí
Zobrazení protokolu auditu s již schválenými akcemi nápravy
Kontrola dokončených nápravných akcí

Vzhledem k tomu, že Centrum akcí poskytuje komplexní přehled o Microsoft Defender XDR při práci, může váš tým pro operace zabezpečení pracovat efektivněji a efektivněji.

Jednotné centrum akcí

Jednotné centrum akcí (https://security.microsoft.com/action-center) obsahuje seznam čekajících a dokončených nápravných akcí pro vaše zařízení, obsah e-mailové & spolupráce a identity na jednom místě.

Příklady:

Pokud jste centrum akcí používali v Centrum zabezpečení v programu Microsoft Defender (https://securitycenter.windows.com/action-center), vyzkoušejte jednotné centrum akcí na portálu Microsoft Defender.
Pokud jste už používali portál Microsoft Defender, uvidíte v Centru akcí () několik vylepšení.https://security.microsoft.com/action-center

Jednotné centrum akcí spojuje nápravné akce napříč defenderem for Endpoint a Defender pro Office 365. Definuje společný jazyk pro všechny nápravné akce a poskytuje jednotné prostředí pro šetření. Váš tým pro operace zabezpečení má k zobrazení a správě akcí nápravy prostředí s jedním podoknem.

Jednotné centrum akcí můžete použít, pokud máte příslušná oprávnění a jedno nebo více z následujících předplatných:

Tip

Další informace najdete v tématu Požadavky.

Na seznam akcí čekajících na schválení můžete přejít dvěma různými způsoby:

Přejděte na https://security.microsoft.com/action-center; nebo
Na portálu Microsoft Defender (https://security.microsoft.com) na kartě Odpovědi na automatizované šetření & vyberte Schválit v Centru akcí.

Použití centra akcí

Přejděte na portál Microsoft Defender a přihlaste se.
V navigačním podokně v části Akce a odeslání zvolte Centrum akcí. Nebo na kartě Odpovědi na automatizované šetření & vyberte Schválit v Centru akcí.

Použijte karty Čekající akce a Historie . Následující tabulka shrnuje, co uvidíte na jednotlivých kartách:

Kartě	Popis
Čekající	Zobrazí seznam akcí, které vyžadují pozornost. Akce můžete schvalovat nebo zamítat po jednom, nebo můžete vybrat více akcí, pokud mají stejný typ akce (například Umístit soubor do karantény). Nezapomeňte co nejdříve zkontrolovat a schválit (nebo odmítnout) čekající akce, aby se vaše automatizovaná šetření mohly dokončit včas.
Historie	Slouží jako protokol auditu pro provedené akce, jako jsou: - Nápravné akce, které byly přijaty v důsledku automatizovaného vyšetřování – Nápravné akce provedené u podezřelých nebo škodlivých e-mailových zpráv, souborů nebo adres URL – Nápravné akce schválené vaším týmem pro operace zabezpečení – Příkazy, které byly spuštěny, a nápravné akce, které byly použity během relací živé odpovědi - Nápravné akce provedené vaší antivirovou ochranou Poskytuje způsob, jak vrátit zpět určité akce (viz Vrácení dokončených akcí zpět).

Kartě

Popis

Čekající

Zobrazí seznam akcí, které vyžadují pozornost. Akce můžete schvalovat nebo zamítat po jednom, nebo můžete vybrat více akcí, pokud mají stejný typ akce (například Umístit soubor do karantény).

Nezapomeňte co nejdříve zkontrolovat a schválit (nebo odmítnout) čekající akce, aby se vaše automatizovaná šetření mohly dokončit včas.

Historie

Slouží jako protokol auditu pro provedené akce, jako jsou:
- Nápravné akce, které byly přijaty v důsledku automatizovaného vyšetřování
– Nápravné akce provedené u podezřelých nebo škodlivých e-mailových zpráv, souborů nebo adres URL
– Nápravné akce schválené vaším týmem pro operace zabezpečení
– Příkazy, které byly spuštěny, a nápravné akce, které byly použity během relací živé odpovědi
- Nápravné akce provedené vaší antivirovou ochranou

Poskytuje způsob, jak vrátit zpět určité akce (viz Vrácení dokončených akcí zpět).

Data můžete přizpůsobit, seřadit, filtrovat a exportovat v Centru akcí.
- Výběrem záhlaví sloupce seřadíte položky vzestupně nebo sestupně.
- Pomocí filtru časového období můžete zobrazit data za poslední den, týden, 30 dní nebo 6 měsíců.
- Vyberte sloupce, které chcete zobrazit.
- Určete, kolik položek se má zahrnout na každé stránce dat.
- Pomocí filtrů můžete zobrazit jenom položky, které chcete zobrazit.
- Vyberte Exportovat a vyexportujte výsledky do souboru .csv.

Akce sledované v Centru akcí

Všechny akce, ať už čekají na schválení, nebo už byly provedené, se sledují v Centru akcí. Mezi dostupné akce patří:

Získání balíčku prověřování
Izolace zařízení (tuto akci je možné vrátit zpět)
Offboarding počítače
Spuštění kódu verze
Uvolnění z karantény
Ukázka požadavku
Omezení provádění kódu (tuto akci je možné vrátit zpět)
Spuštění antivirové kontroly
Zastavení a karanténa
Obsazení zařízení ze sítě

Kromě nápravných akcí, které se automaticky provádějí v důsledku automatizovaného vyšetřování, centrum akcí také sleduje akce, které váš bezpečnostní tým provedl k řešení zjištěných hrozeb, a akce, které byly přijaty v důsledku funkcí ochrany před hrozbami v Microsoft Defender XDR. Další informace o automatických a ručních nápravných akcích najdete v tématu Akce nápravy.

Zobrazení podrobností o zdroji akcí

(NOVÉ!) Vylepšené centrum akcí teď obsahuje zdrojový sloupec Akce , který vám řekne, odkud jednotlivé akce pocházejí. Následující tabulka popisuje možné hodnoty zdroje akcí :

Hodnota zdroje akce	Popis
Ruční akce zařízení	Ruční akce na zařízení. Mezi příklady patří izolace zařízení nebo karanténa souborů.
Ruční akce e-mailu	Ruční akce u e-mailu Příkladem je obnovitelné odstranění e-mailových zpráv nebo náprava e-mailové zprávy.
Automatizovaná akce zařízení	Automatizovaná akce proběhla u entity, jako je soubor nebo proces. Mezi příklady automatizovaných akcí patří odeslání souboru do karantény, zastavení procesu a odebrání klíče registru. (Viz Akce nápravy v Microsoft Defender for Endpoint.)
Automatizovaná e-mailová akce	Automatizovaná akce s obsahem e-mailu, jako je e-mailová zpráva, příloha nebo adresa URL. Mezi příklady automatizovaných akcí patří obnovitelné odstranění e-mailových zpráv, blokování adres URL a vypnutí externího přeposílání pošty. (Viz Akce nápravy v Microsoft Defender pro Office 365.)
Akce rozšířeného proaktivního vyhledávání	Akce prováděné na zařízeních nebo e-mailech s pokročilým vyhledáváním
Akce Průzkumníka	Akce prováděné s obsahem e-mailu pomocí Průzkumníka
Ruční akce živé odpovědi	Akce prováděné na zařízení s živou odezvou Mezi příklady patří odstranění souboru, zastavení procesu a odebrání naplánované úlohy.
Akce živé odpovědi	Akce prováděné na zařízení s rozhraními API Microsoft Defender for Endpoint Mezi příklady akcí patří izolace zařízení, spuštění antivirové kontroly a získání informací o souboru.

Požadovaná oprávnění pro úlohy Centra akcí

Abyste mohli provádět úkoly, jako je schvalování nebo odmítání čekajících akcí v Centru akcí, musíte mít přiřazená oprávnění uvedená v následující tabulce:

Nápravná akce	Požadované role a oprávnění
Microsoft Defender for Endpoint náprava (zařízení)	Role správce zabezpečení přiřazená Microsoft Entra ID (https://portal.azure.com) nebo Centrum pro správu Microsoftu 365 (https://admin.microsoft.com) ---Nebo--- Role aktivních nápravných akcí přiřazená v Microsoft Defender for Endpoint Další informace najdete v následujících zdrojích informací: - Microsoft Entra předdefinovaných rolí - Vytváření a správa rolí pro řízení přístupu na základě role (Microsoft Defender for Endpoint)
Microsoft Defender pro Office 365 nápravy (obsah a e-mail Office)	Role správce zabezpečení přiřazená Microsoft Entra ID (https://portal.azure.com) nebo Centrum pro správu Microsoftu 365 (https://admin.microsoft.com) ---A--- Role hledání a vymazání přiřazená v rolích spolupráce Microsoft Defender XDR >Email & DŮLEŽITÉ: Pokud máte roli Správce zabezpečení přiřazenou jenom v rolích Microsoft Defender XDR >Email & spolupráce, nebudete mít přístup k centru akcí ani k možnostem Microsoft Defender XDR. Musíte mít přiřazenou roli Správce zabezpečení v Microsoft Entra ID nebo Centrum pro správu Microsoftu 365. Další informace najdete v následujících zdrojích informací: - Microsoft Entra předdefinovaných rolí - Oprávnění v Centru dodržování předpisů zabezpečení &

Nápravná akce

Požadované role a oprávnění

Microsoft Defender for Endpoint náprava (zařízení)

Role správce zabezpečení přiřazená Microsoft Entra ID (https://portal.azure.com) nebo Centrum pro správu Microsoftu 365 (https://admin.microsoft.com)
---Nebo---
Role aktivních nápravných akcí přiřazená v Microsoft Defender for Endpoint

Další informace najdete v následujících zdrojích informací:
- Microsoft Entra předdefinovaných rolí
- Vytváření a správa rolí pro řízení přístupu na základě role (Microsoft Defender for Endpoint)

Microsoft Defender pro Office 365 nápravy (obsah a e-mail Office)

Role správce zabezpečení přiřazená Microsoft Entra ID (https://portal.azure.com) nebo Centrum pro správu Microsoftu 365 (https://admin.microsoft.com)
---A---
Role hledání a vymazání přiřazená v rolích spolupráce Microsoft Defender XDR >Email &

DŮLEŽITÉ: Pokud máte roli Správce zabezpečení přiřazenou jenom v rolích Microsoft Defender XDR >Email & spolupráce, nebudete mít přístup k centru akcí ani k možnostem Microsoft Defender XDR. Musíte mít přiřazenou roli Správce zabezpečení v Microsoft Entra ID nebo Centrum pro správu Microsoftu 365.

Další informace najdete v následujících zdrojích informací:
- Microsoft Entra předdefinovaných rolí
- Oprávnění v Centru dodržování předpisů zabezpečení &

Tip

Uživatelé, kteří mají v id Microsoft Entra přiřazenou roli globálního správce, můžou v Centru akcí schválit nebo odmítnout jakoukoli čekající akci. Doporučuje se ale, aby organizace omezila počet lidí, kteří mají přiřazenou roli globálního správce . Pro oprávnění Centra akcí doporučujeme použít role Správce zabezpečení, Aktivní nápravné akce a Hledat a Vyprázdnit uvedené v předchozí tabulce.

Další krok

Zobrazení a správa nápravných akcí

Tip

Chcete se dozvědět více? Zapojte se do komunity zabezpečení Microsoftu v naší technické komunitě: Microsoft Defender XDR Tech Community.