Del via

Udfør handlinger på avancerede resultater af jagtforespørgslen

  • Artikel

Gælder for:

  • Microsoft Defender XDR

Vigtigt!

Nogle oplysninger i denne artikel er relateret til et produkt, der er udgivet på forhånd, og som kan blive ændret væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier, udtrykt eller stiltiende, med hensyn til de oplysninger, der er angivet her.

Du kan hurtigt indeholde trusler eller løse kompromitterede aktiver, som du finder i avanceret jagt ved hjælp af effektive og omfattende handlingsmuligheder. Med disse indstillinger kan du:

  • Udfør forskellige handlinger på enheder
  • Sæt filer i karantæne

Påkrævede tilladelser

Hvis du vil udføre handlinger på enheder via avanceret jagt, skal du have en rolle i Microsoft Defender for Endpoint med tilladelser til at indsende afhjælpningshandlinger på enheder.

Vigtigt!

Microsoft anbefaler, at du bruger roller med færrest tilladelser. Dette hjælper med at forbedre sikkerheden for din organisation. Global administrator er en yderst privilegeret rolle, der bør være begrænset til nødsituationer, når du ikke kan bruge en eksisterende rolle.

Hvis du ikke kan udføre handlinger, skal du kontakte en global administrator for at få følgende tilladelse:

Aktive afhjælpningshandlinger > Administration af trusler og sårbarheder – Afhjælpningshåndtering

Hvis du vil handle på e-mails gennem avanceret jagt, har du brug for en rolle i Microsoft Defender for Office 365 til at søge efter og fjerne e-mails.

Udfør forskellige handlinger på enheder

Du kan foretage følgende handlinger på enheder, der er identificeret af kolonnen DeviceId i dine forespørgselsresultater:

  • Isolere berørte enheder for at indeholde en infektion eller forhindre angreb i at bevæge sig side om side
  • Indsaml undersøgelsespakken for at få flere tekniske oplysninger
  • Kør en antivirusscanning for at finde og fjerne trusler ved hjælp af de nyeste sikkerhedsintelligensopdateringer
  • Start en automatiseret undersøgelse for at kontrollere og afhjælpe trusler på enheden og muligvis andre berørte enheder
  • Begræns appkørsel til kun Microsoft-signerede eksekverbare filer, der forhindrer efterfølgende trusselsaktivitet via malware eller andre eksekverbare filer, der ikke er tillid til

Hvis du vil vide mere om, hvordan disse svarhandlinger udføres via Microsoft Defender for Endpoint, skal du læse om svarhandlinger på enheder.

Sæt filer i karantæne

Du kan udrulle karantænehandlingen på filer, så de automatisk bliver sat i karantæne, når de opdages. Når du vælger denne handling, kan du vælge mellem følgende kolonner for at identificere, hvilke filer i dine forespørgselsresultater der skal sættes i karantæne:

  • SHA1: I de mest avancerede jagttabeller refererer denne kolonne til SHA-1 for den fil, der påvirkes af den registrerede handling. Hvis en fil f.eks. blev kopieret, ville den pågældende fil være den kopierede fil.
  • InitiatingProcessSHA1: I de mest avancerede jagttabeller henviser denne kolonne til den fil, der er ansvarlig for at starte den registrerede handling. Hvis en underordnet proces f.eks. blev startet, ville denne initiatorfil være en del af den overordnede proces.
  • SHA256: Denne kolonne er SHA-256-ækvivalenten af den fil, der identificeres af kolonnen SHA1 .
  • InitiatingProcessSHA256: Denne kolonne er SHA-256-ækvivalenten af den fil, der identificeres af kolonnen InitiatingProcessSHA1 .

Hvis du vil vide mere om, hvordan karantænehandlinger udføres, og hvordan filer kan gendannes, skal du læse om svarhandlinger på filer.

Bemærk!

For at finde filer og sætte dem i karantæne skal forespørgselsresultaterne også indeholde DeviceId værdier som enheds-id'er.

Hvis du vil udføre en af de beskrevne handlinger, skal du vælge en eller flere poster i dine forespørgselsresultater og derefter vælge Udfør handlinger. En guide fører dig gennem processen med at vælge og derefter sende dine foretrukne handlinger.

Skærmbillede af indstillingen Udfør handlinger på Microsoft Defender-portalen.

Udfør forskellige handlinger i mails

Ud over enhedsfokuserede afhjælpningstrin kan du også udføre nogle handlinger på mails fra dine forespørgselsresultater. Vælg de poster, du vil udføre en handling for, vælg Udfør handlinger, og vælg derefter dit valg på følgende under Vælg handlinger:

  • Move to mailbox folder – vælg denne handling for at flytte mailmeddelelserne til mappen Uønsket mail, Indbakke eller Slettet post

    Bemærk, at du kan flytte mailresultater, der består af elementer i karantæne (f.eks. i tilfælde af falske positiver), ved at vælge indstillingen Indbakke .

    Skærmbillede af indstillingen Indbakke under ruden Med handlinger på portalen Microsoft Defender.

  • Delete email - vælg denne handling for at flytte mails til mappen Slettet post (Blød sletning) eller slette dem permanent (Hård sletning)

    Hvis du vælger Blød sletning , slettes meddelelserne også automatisk fra afsenderens mappe Sendt post, hvis afsenderen er i organisationen.

    Skærmbillede af indstillingen Udfør handlinger på portalen Microsoft Defender.

    Automatisk blød sletning af afsenderens kopi er tilgængelig for resultater ved hjælp af tabellerne EmailEvents og EmailPostDeliveryEvents , men ikke tabellen UrlClickEvents . Desuden skal resultatet indeholde kolonnerne EmailDirection og SenderFromAddress kolonnerne, som denne handlingsindstilling skal vises i guiden Udfør handlinger. Afsenderens kopioprydning gælder for mails i organisationen og udgående mails, så det sikres, at kun afsenderens kopi slettes med blød sletning for disse mails. Indgående meddelelser er uden for området.

    Se følgende forespørgsel som reference:

    EmailEvents
| where ThreatTypes contains "spam"
| project NetworkMessageId,RecipientEmailAddress, EmailDirection, SenderFromAddress, LatestDeliveryAction,LatestDeliveryLocation

Du kan også angive et afhjælpningsnavn og en kort beskrivelse af den handling, der udføres for nemt at spore den i handlingscenterets historik. Du kan også bruge godkendelses-id'et til at filtrere efter disse handlinger i Løsningscenter. Dette id er angivet i slutningen af guiden:

guiden Udfør handlinger, der viser vælg handlinger for objekter

Disse mailhandlinger gælder også for brugerdefinerede registreringer .

Gennemse udførte handlinger

Hver handling registreres individuelt i Handlingscenter underHandlingscentershistorik> (security.microsoft.com/action-center/history). Gå til Løsningscenter for at kontrollere status for hver handling.

Bemærk!

Nogle tabeller i denne artikel er muligvis ikke tilgængelige i Microsoft Defender for Endpoint. Slå Microsoft Defender XDR til for at jage efter trusler ved hjælp af flere datakilder. Du kan flytte dine avancerede arbejdsprocesser for jagt fra Microsoft Defender for Endpoint til Microsoft Defender XDR ved at følge trinnene i Overfør avancerede jagtforespørgsler fra Microsoft Defender for Endpoint.

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.