Použití centra akcí

  • 14 min

Centrum akcí

Jednotné centrum akcí portálu Microsoft Defender obsahuje seznam čekajících a dokončených akcí náprav pro vaše zařízení, obsah e-mailu a spolupráci a identity na jednom místě.

Jednotné centrum akcí spojuje nápravné akce v programu Defender for Endpoint a Defender pro Office 365. Definuje společný jazyk pro všechny nápravné akce a poskytuje jednotné prostředí pro šetření. Váš tým pro operace zabezpečení má k zobrazení a správě akcí nápravy jediné podokno skla.

Centrum akcí se skládá z čekajících a historických položek:

  • Čeká se na zobrazení seznamu probíhajících šetření, které vyžadují pozornost. Doporučené akce jsou prezentovány tak, aby váš provozní tým zabezpečení mohl schválit nebo odmítnout. Karta Čeká na vyřízení se zobrazí pouze v případě, že se mají schválit (nebo zamítnout) čekající akce.

  • Historie jako protokol auditu pro všechny následující položky:

    • Nápravné akce, které byly přijaty v důsledku automatizovaného šetření

    • Nápravné akce schválené týmem operací zabezpečení (některé akce, jako je odeslání souboru do karantény, se dají vrátit zpět)

    • Příkazy, které byly spuštěny a nápravné akce použité v relacích živé odpovědi (některé akce je možné vrátit zpět)

    • Nápravné akce použité Antivirová ochrana v programu Microsoft Defender (některé akce je možné vrátit zpět)

Vyberte automatizovaná šetření a pak Centrum akcí.

Screenshot of the Microsoft Defender XDR Action center.

Když se spustí automatizované vyšetřování, vygeneruje se verdikt pro každou část prošetřených důkazů. Verdikty můžou být škodlivé, podezřelé nebo žádné hrozby v závislosti na:

  • Typ hrozby

  • Výsledný verdikt

  • Jak jsou nakonfigurované skupiny zařízení ve vaší organizaci

Akce nápravy můžou probíhat automaticky nebo pouze po schválení provozním týmem vaší organizace.

Kontrola čekajících akcí

Schválení nebo odmítnutí čekající akce:

  • Vyberte libovolnou položku na kartě Čeká na vyřízení.

  • Vyberte šetření z libovolné kategorie a otevřete panel, kde můžete schválit nebo odmítnout akce nápravy.

Zobrazí se další podrobnosti, například podrobnosti o souborech nebo službě, podrobnosti šetření a podrobnosti výstrahy. Na panelu můžete vybrat odkaz otevřít stránku šetření a zobrazit podrobnosti šetření. Můžete také vybrat více šetření a schválit nebo odmítnout akce u několika šetření.

Kontrola dokončených akcí

Kontrola dokončených akcí:

  • Vyberte kartu Historie. (Pokud potřebujete, rozbalte časové období a zobrazte další data.)

  • Výběrem položky zobrazíte další podrobnosti o této nápravné akci.

Vrácení dokončených akcí zpět

Zjistili jste, že zařízení nebo soubor nejsou hrozbou. Nápravné akce, které byly učiněny, můžete vrátit zpět bez ohledu na to, jestli se tyto akce provedly automaticky, nebo ručně. Můžete vrátit zpět některou z následujících akcí:

  • Source

    • Automatizované šetření

    • Antivirová ochrana v programu Microsoft Defender

    • Akce ruční odpovědi

  • Podporované akce

    • Izolace zařízení

    • Omezení provádění kódu

    • Umístění souboru do karantény

    • Odebrání klíče registru

    • Zastavení služby

    • Zakázání ovladače

    • Odebrání naplánovaného úkolu

Odebrání souboru z karantény na více zařízeních

Odebrání souboru z karantény na více zařízeních:

  1. Na kartě Historie vyberte soubor, který obsahuje soubor typu Karanténa.

  2. V podokně na pravé straně obrazovky vyberte Použít u X více instancí tohoto souboru a pak vyberte Zpět.

Zobrazení podrobností o zdroji akcí

Centrum akcí obsahuje sloupec Zdroje akcí, který vám řekne, odkud jednotlivé akce pocházejí. Následující tabulka popisuje možné hodnoty zdroje akcí:

Hodnota zdroje akce Popis
Ruční akce zařízení Ruční akce prováděná na zařízení. Mezi příklady patří izolace zařízení nebo karanténa souborů.
Ruční e-mailová akce Ruční akce prováděných u e-mailu. Příkladem je obnovitelné odstranění e-mailových zpráv nebo náprava e-mailové zprávy.
Automatizovaná akce zařízení Automatizovaná akce proběhla u entity, jako je soubor nebo proces. Mezi příklady automatizovaných akcí patří odeslání souboru do karantény, zastavení procesu a odebrání klíče registru.
Automatizovaná e-mailová akce Automatizovaná akce týkající se e-mailového obsahu, jako je e-mailová zpráva, příloha nebo adresa URL. Mezi příklady automatizovaných akcí patří obnovitelné odstranění e-mailových zpráv, blokování adres URL a vypnutí externího přeposílání e-mailů.
Pokročilá akce proaktivního vyhledávání Akce prováděné na zařízeních nebo e-mailech s pokročilým vyhledáváním
Akce Průzkumníka Akce prováděné s obsahem e-mailu v Průzkumníku
Ruční akce živé odpovědi Akce provedené na zařízení s živou odpovědí Mezi příklady patří odstranění souboru, zastavení procesu a odebrání naplánované úlohy.
Živá akce odpovědi Akce prováděné na zařízení s rozhraními API Microsoft Defenderu pro koncové body Mezi příklady akcí patří izolování zařízení, spuštění antivirové kontroly a získání informací o souboru.

Podání

V organizacích Microsoftu 365 s poštovními schránkami Exchange Online můžou správci odesílat e-mailové zprávy, adresy URL a přílohy do Microsoftu k prohledávání pomocí portálu Odesílání na portálu Microsoftu.

Když odešlete e-mailovou zprávu k analýze, získáte:

  • Kontrola ověření e-mailu: Podrobnosti o tom, jestli se ověření e-mailu předalo nebo selhalo při doručení.
  • Přístupy k zásadám: Informace o všech zásadách, které mohly povolit nebo blokovat příchozí e-maily do vašeho tenanta, a přepisovat verdikty filtru služeb.
  • Reputace a detonace datové části: Aktuální kontrola všech adres URL a příloh ve zprávě.
  • Analýza známkování: Zkontrolujte, jestli jsou zprávy škodlivé.

Důležité

Reputace/detonace datové části a analýza známkování se neprovádí ve všech tenantech. Informace se blokují mimo organizaci, pokud data nemají opustit hranice tenanta pro účely dodržování předpisů.

Co potřebujete vědět, než začnete?

  • Pokud chcete odesílat zprávy a soubory do Microsoftu, musíte mít jednu z následujících rolí:

    Security Správa istrator nebo Security Reader na portálu Microsoft Defender.

  • Správa můžou odesílat zprávy stejně staré jako 30 dní, pokud je stále k dispozici v poštovní schránce a uživatelem nebo jiným správcem je nevyprázdní.

  • Správa odesílání jsou omezeny následujícími rychlostmi:

    Maximální počet odeslání v jakémkoli 15minutových obdobích: 150 odeslání

    Stejné odeslání v 24hodinovém období: Tři odeslání

    Stejné odeslání za 15minutové období: Jedno odeslání

Nahlášení podezřelého obsahu Microsoftu

Na stránce Odeslání ověřte, že je vybraná karta e-maily, přílohy e-mailu nebo adresy URL na základě typu obsahu, který chcete nahlásit. A pak vyberte ikonu Odeslat do Microsoftu pro analýzu. Odešlete microsoftu k analýze.

Pomocí informačního rámečku Odeslat do Microsoftu pro analýzu, který se zobrazí k odeslání příslušného typu obsahu (e-mail, adresa URL nebo příloha e-mailu).

Poznámka:

Odesílání souborů a adres URL nejsou dostupné v cloudech, které neumožňují opustit prostředí. Možnost vybrat soubor nebo adresu URL se zobrazí šedě.

Upozorňovat uživatele na portálu

Na stránce Odeslání vyberte kartu Zprávy hlášené uživatelem a pak vyberte zprávu, kterou chcete označit a upozornit.

Vyberte rozevírací seznam Označit jako a upozornit a pak vyberte Žádné hrozby, které phishing nebo Nevyžádaná pošta nenalezly > .

Nahlášená zpráva se označí jako falešně pozitivní nebo falešně negativní. Uživateli, který zprávu nahlásil, se automaticky odešle e-mailové oznámení z portálu.

Odeslání pochybitelného e-mailu do Microsoftu

  1. V rozevíracím seznamu Vyberte typ odeslání ověřte, že je v rozevíracím seznamu vybraná možnost E-mail.

  2. V části Přidat ID síťové zprávy nebo nahrát e-mailový soubor použijte jednu z následujících možností:

    • Přidejte ID e-mailové síťové zprávy: ID je hodnota GUID, která je k dispozici v hlavičce X-MS-Exchange-Organization-Network-Message-Id ve zprávě nebo v hlavičce X-MS-Office365-Filtering-Correlation-Id v karanténních zprávách.

    • Nahrajte e-mailový soubor (.msg nebo .eml): Vyberte Procházet soubory. V dialogovém okně, které se otevře, vyhledejte a vyberte .eml nebo .msg soubor a pak vyberte Otevřít.

    Do pole Zvolit příjemce, u kterého došlo k problému, zadejte příjemce, pro kterého chcete spustit kontrolu zásad. Kontrola zásad určí, jestli e-mail obchází kontrolu kvůli zásadám uživatele nebo organizace.

  3. V části Vybrat důvod odeslání do Microsoftu vyberte jednu z následujících možností:

    • Nemělo by být blokováno (falešně pozitivní)
    • Měla by být blokovaná (falešně negativní): V zobrazené části E-mail by měl být zařazen do kategorií jako , vyberte jednu z následujících hodnot (pokud si nejste jistí, použijte svůj nejlepší úsudek): Phish, Malware nebo Spam.

  4. Až budete hotovi, vyberte Odeslat.

Odeslání podezřelé adresy URL microsoftu

  1. V poli Vybrat typ odeslání vyberte adresu URL z rozevíracího seznamu.

  2. Do pole adresa URL, které se zobrazí, zadejte úplnou adresu URL. Například https://www.fabrikam.com/marketing.html.

  3. V části Vybrat důvod odeslání do Microsoftu vyberte jednu z následujících možností:

    • Nemělo by být blokováno (falešně pozitivní)
    • Měla by být blokovaná (falešně negativní): V zobrazené části "Tato adresa URL by měla být zařazena do kategorií" vyberte jednu z následujících hodnot (pokud si nejste jistí, použijte svůj nejlepší úsudek): Phish, Malware

  4. Až budete hotovi, vyberte Odeslat.

Odeslání podezřelé e-mailové přílohy Microsoftu

  1. V poli Vybrat typ odeslání vyberte v rozevíracím seznamu přílohu e-mail.

  2. V části Soubor, která se zobrazí, vyberte Procházet soubory. V dialogovém okně, které se otevře, vyhledejte a vyberte soubor a pak vyberte Otevřít.

  3. V části Vybrat důvod odeslání do Microsoftu vyberte jednu z následujících možností:

    • Nemělo by být blokováno (falešně pozitivní)
    • Mělo by být zablokováno (nepravda negativní): V části "Tento soubor by měl být zařazen do kategorií jako" , který se zobrazí, vyberte jednu z následujících hodnot (pokud si nejste jistí, použijte svůj nejlepší úsudek): Phish, Malware

  4. Až budete hotovi, vyberte Odeslat.

Poznámka:

Pokud filtrování malwaru nahradilo přílohy zprávy souborem Malware Alert Text.txt, musíte odeslat původní zprávu z karantény, která obsahuje původní přílohy. Další informace o karanténě a o tom, jak uvolnit zprávy s falešně pozitivními výsledky malwaru, najdete v tématu Správa zpráv a souborů v karanténě jako správce.

Zobrazení odesílaných správců do Microsoftu

Na stránce Odeslání ověřte, že je vybraná karta E-maily, adresa URL nebo Příloha e-mailu.

Položky můžete seřadit kliknutím na dostupné záhlaví sloupce. Výběrem možnosti Přizpůsobit sloupce zobrazíte maximálně sedm sloupců. Výchozí hodnoty jsou označené hvězdičkou (*):

  • Název odeslání*
  • Odesílatele*
  • Příjemce
  • Datum odeslání*
  • Důvod odeslání*
  • Stav*
  • Výsledek*
  • Filtrování verdiktu
  • Důvod doručení nebo blokování
  • ID odeslání
  • ID síťové zprávy nebo ID objektu
  • Směr
  • IP adresa odesílatele
  • Úroveň BCL (Bulk Compliant Level)
  • Cíl
  • Akce zásad
  • Odeslal
  • Simulace phish
  • Značky*
  • Povolit

Až budete hotovi, vyberte Použít.

Správa podrobnosti o výsledku odeslání

Zprávy odeslané v odesílání správců se kontrolují a výsledky zobrazené v informačním rámečku s podrobnostmi o odeslání:

  • Pokud v době doručení došlo k chybě v ověřování e-mailu odesílatele.
  • Informace o všech přístupech k zásadám, které mohly ovlivnit nebo přepsat verdikt zprávy
  • Aktuální výsledky detonace, abyste zjistili, jestli jsou adresy URL nebo soubory obsažené ve zprávě škodlivé nebo ne.
  • Zpětná vazba od známkovačů

Pokud bylo nalezeno přepsání, výsledek by měl být k dispozici během několika minut. Pokud při ověřování e-mailu nebo doručení nedošlo k potížím, může to trvat až den.

Zobrazení odesílaných uživatelů do Microsoftu

Pokud jste nasadili doplněk Zpráva sestavy, doplněk Phishing sestavy nebo uživatelé používají integrované sestavy v Outlook na webu, uvidíte, co uživatelé hlásí na kartě Zpráva uživatele.

Na stránce Odeslání vyberte kartu Zprávy hlášené uživatelem.

Položky můžete seřadit kliknutím na dostupné záhlaví sloupce. Výběrem možnosti Přizpůsobit sloupce zobrazíte možnosti. Výchozí hodnoty jsou označené hvězdičkou (*):

  • Předmět e-mailu*
  • Hlášeno*
  • Datum nahlášení*
  • Odesílatele*
  • Hlášený důvod*
  • Výsledek*
  • Hlášené ID zprávy
  • ID síťové zprávy
  • IP adresa odesílatele
  • Hlášeno z
  • Simulace phish
  • Převedeno na odeslání správce
  • Značky*
  • Označeno jako*
  • Označeno
  • Datum označené

Až budete hotovi, vyberte Použít.

Poznámka:

Pokud jsou organizace nakonfigurované tak, aby odesílaly zprávy hlášené uživatelem pouze do vlastní poštovní schránky, zobrazí se ohlášené zprávy ve zprávách hlášených uživatelem, ale jejich výsledky budou vždy prázdné (protože by nebyly znovu zkontrolovány).

Vrácení odeslání uživatelů zpět

Jakmile uživatel odešle podezřelý e-mail do vlastní poštovní schránky, uživatel a správce nemají možnost odeslání vrátit zpět. Pokud chce uživatel e-mail obnovit, bude k dispozici pro obnovení ve složkách Odstraněná pošta nebo Nevyžádaná pošta.

Převod zpráv hlášených uživatelem z vlastní poštovní schránky na odeslání správce

Pokud jste nakonfigurovali vlastní poštovní schránku tak, aby zachycovala zprávy hlášené uživatelem, aniž byste odesílali zprávy do Microsoftu, můžete najít a odeslat konkrétní zprávy společnosti Microsoft k analýze.

Na kartě Zprávy hlášené uživatelem vyberte v seznamu zprávu, vyberte Možnost Odeslat do Microsoftu pro analýzu a pak v rozevíracím seznamu vyberte jednu z následujících hodnot:

  • Vyčištění sestavy
  • Nahlášení útoku phishing
  • Hlášení malwaru
  • Hlášení spamu
  • Prověřování triggerů