Nápravné akce v Microsoft Defender XDR

Platí pro:

• Microsoft Defender XDR

Během automatizovaného vyšetřování v Microsoft Defender XDR a po jeho dokončení se u škodlivých nebo podezřelých položek identifikují nápravné akce. Na zařízeních se provádí některé druhy nápravných akcí, které se označují také jako koncové body. Další nápravné akce se provedou u identit, účtů a e-mailového obsahu. Automatizované šetření se dokončí po provedení, schválení nebo zamítnutí nápravných akcí.

Důležité

To, jestli se nápravné akce provedou automaticky nebo pouze po schválení, závisí na určitých nastaveních, jako jsou úrovně automatizace. Další informace najdete v následujících článcích:

• Konfigurace možností automatizovaného vyšetřování a reakce v Microsoft Defender XDR
• Konfigurace účtů akcí v Microsoft Defender for Identity
• Jak se na zařízeních opravují hrozby
• Hrozby a nápravné akce u obsahu e-mailu & spolupráce

Následující tabulka shrnuje akce nápravy, které jsou aktuálně podporovány v Microsoft Defender XDR.

Akce nápravy zařízení (koncového bodu)	Email nápravných akcí	Uživatelé (účty)
- Shromáždění balíčku pro šetření – Izolovat zařízení (tuto akci je možné vrátit zpět) - Offboardovací stroj – Spuštění kódu verze - Uvolnění z karantény – Ukázka požadavku – Omezit provádění kódu (tuto akci je možné vrátit zpět) - Spusťte antivirovou kontrolu. - Zastavit a umístit do karantény – Obsahují zařízení ze sítě.	- Adresa URL bloku (čas kliknutí) - Obnovitelné odstranění e-mailových zpráv nebo clusterů - Umístit e-mail do karantény - Umístit přílohu e-mailu do karantény - Vypnutí externího přeposílání pošty	- Zakázat uživatele - Resetovat heslo uživatele – Potvrďte ohrožení zabezpečení uživatele.

Nápravné akce, ať už čekající na schválení, nebo již dokončené, se dají zobrazit v Centru akcí.

Nápravné akce, které následují po automatizovaném vyšetřování

Po dokončení automatizovaného vyšetřování se dosáhne verdiktu pro každý případný důkaz. V závislosti na rozsudku se identifikují nápravné akce. V některých případech se nápravné akce provádí automaticky; v ostatních případech čekají akce nápravy na schválení. Vše závisí na tom, jak je nakonfigurované automatizované vyšetřování a reakce.

Následující tabulka uvádí možné verdikty a výsledky:

Verdikt	Ovlivněné entity	Výsledky
Škodlivý	Zařízení (koncové body)	Nápravné akce se provedou automaticky (za předpokladu, že jsou skupiny zařízení vaší organizace nastavené na Úplné – automaticky napravit hrozby).
Ohrožena	Uživatelé	Nápravné akce se provedou automaticky.
Škodlivý	Email obsah (adresy URL nebo přílohy)	Doporučené nápravné akce čekají na schválení
Podezřelé	Zařízení nebo obsah e-mailu	Doporučené nápravné akce čekají na schválení
Nenašly se žádné hrozby.	Zařízení nebo obsah e-mailu	Nejsou potřeba žádné nápravné akce.

Nápravné akce, které se provádí ručně

Kromě nápravných akcí, které následují po automatizovaných šetřeních, může váš tým pro operace zabezpečení provádět určité nápravné akce ručně. Patří mezi ně následující:

• Ruční akce zařízení, jako je izolace zařízení nebo karanténa souborů
• Ruční e-mailová akce, například obnovitelné odstranění e-mailových zpráv
• Ruční akce uživatele, například zakázání uživatele nebo resetování hesla uživatele
• Akce rozšířeného vyhledávání na zařízeních, uživatelích nebo e-mailech
• Akce Průzkumníka u obsahu e-mailu, jako je přesunutí e-mailu do nevyžádané pošty, obnovitelné odstranění e-mailu nebo pevné odstranění e-mailu
• Ruční akce živé odpovědi , například odstranění souboru, zastavení procesu a odebrání naplánované úlohy
• Akce živé odpovědi s rozhraními API Microsoft Defender for Endpoint, jako je izolace zařízení, spuštění antivirové kontroly a získání informací o souboru

Další kroky

• Navštívit centrum akcí
• Zobrazení a správa nápravných akcí
• Řešení falešně pozitivních nebo falešně negativních výsledků
• Obsazení zařízení ze sítě

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.