Jaa

Kehittyneen metsästyksen kyselytulosten suorittaminen

  • Artikkeli

Koskee seuraavia:

  • Microsoft Defender XDR

Tärkeää

Jotkin tämän artikkelin tiedot liittyvät tuotteen ennakkojulkaisuversioon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna mitään takuita tässä annettujen tietojen suhteen.

Voit nopeasti sisältää uhkia tai puuttua vaarantuneisiin varoihin, joita löydät kehittyneestä metsästyksestä tehokkaiden ja kattavien toimintavaihtoehtojen avulla. Näiden vaihtoehtojen avulla voit:

  • Erilaisten toimintojen käyttö laitteissa
  • Karanteenitiedostot

Vaaditut käyttöoikeudet

Jos haluat suorittaa toimintoja laitteissa kehittyneen metsästyksen kautta, tarvitset roolin Microsoft Defender for Endpointissa, jolla on oikeudet lähettää korjaustoimintoja laitteissa.

Tärkeää

Microsoft suosittelee, että käytät rooleja, joilla on vähiten käyttöoikeuksia. Tämä auttaa parantamaan organisaatiosi suojausta. Yleinen järjestelmänvalvoja on hyvin etuoikeutettu rooli, joka tulisi rajata hätätilanteisiin, joissa et voi käyttää olemassa olevaa roolia.

Jos et pysty ryhtymään toimiin, ota yhteyttä yleiseen järjestelmänvalvojaan ja pyydä seuraavien käyttöoikeuksien saaminen:

Aktiiviset korjaustoiminnot > Uhkien ja haavoittuvuuden hallinta – korjaamisen käsittely

Jos haluat ryhtyä toimiin sähköpostiviesteissä kehittyneen metsästyksen kautta, tarvitset roolin Microsoft Defender for Office 365:ssä, jotta voit hakea ja tyhjentää sähköpostiviestejä.

Erilaisten toimintojen käyttö laitteissa

Voit suorittaa seuraavat toiminnot laitteissa, jotka ovat kyselyn tulosten sarakkeen DeviceId tunnistamia:

  • Eristä laitteet, joihin tämä vaikuttaa, jotta ne sisältävät infektion tai estävät hyökkäysten siirtymisen sivuttain
  • Kerää tutkimuspaketti saadaksesi lisää rikosteknisiä tietoja
  • Etsi ja poista uhkia suorittamalla virustentorjuntatarkistus uusimpien suojaustietojen päivitysten avulla
  • Aloita automatisoitu tutkimus, jolla tarkistetaan ja korjataan uhkia laitteessa ja mahdollisesti muissa laitteissa, joihin tämä vaikuttaa
  • Rajoita sovelluksen suorittaminen vain Microsoftin allekirjoittamaan suoritettavaan tiedostoon estäen myöhemmän uhkatoiminnan haittaohjelmien tai muiden ei-luotettavien suoritettavien tiedostojen avulla

Lisätietoja siitä, miten nämä vastaustoiminnot suoritetaan Microsoft Defender for Endpointin kautta, on artikkelissa Laitteiden vastaustoiminnot.

Karanteenitiedostot

Voit ottaa karanteenitoiminnon käyttöön tiedostoissa niin, että ne asetetaan automaattisesti karanteeniin kohdattaessa. Kun valitset tämän toiminnon, voit valita seuraavista sarakkeista, mitkä kyselytulosten tiedostot määritetään karanteeniin:

  • SHA1: Edistyneissä metsästystaulukoissa tämä sarake viittaa sen tiedoston SHA-1:een, johon tallennettu toiminto vaikuttaa. Jos esimerkiksi tiedosto kopioitiin, kyseessä oleva tiedosto on kopioitu tiedosto.
  • InitiatingProcessSHA1: Edistyneissä metsästystaulukoissa tämä sarake viittaa tiedostoon, joka on vastuussa tallennetun toiminnon aloittamisesta. Jos esimerkiksi aliprosessi käynnistetään, tämä käynnistäjätiedosto olisi osa pääprosessia.
  • SHA256: Tämä sarake on SHA-256-vastine sarakkeen määrittämälle tiedostolle SHA1 .
  • InitiatingProcessSHA256: Tämä sarake on SHA-256-vastine sarakkeen määrittämälle tiedostolle InitiatingProcessSHA1 .

Lisätietoja karanteenitoimintojen suorittamisesta ja tiedostojen palauttamisesta on artikkelissa Tiedostojen vastaustoiminnot.

Huomautus

Jotta tiedostot voidaan paikantaa ja asettaa karanteeniin, kyselyn tuloksissa tulisi olla DeviceId myös arvot laitetunnisina.

Jos haluat suorittaa minkä tahansa kuvatuista toiminnoista, valitse vähintään yksi tietue kyselyn tuloksista ja valitse sitten Suorita toimet. Ohjattu toiminto opastaa sinua valitsemalla ja lähettämällä haluamasi toiminnot.

Näyttökuva Ota toimintoja -vaihtoehdosta Microsoft Defender -portaalissa.

Erilaisten sähköpostiviestien toimintojen toteuttaminen

Laitekeskeisten korjausvaiheiden lisäksi voit myös suorittaa joitakin toimintoja kyselytuloksiesi sähköpostiviesteihin. Valitse tietueet, joille haluat tehdä toiminnon, valitse Toiminnot ja valitse sitten Valitse toiminnot -kohdasta valintasi seuraavista:

  • Move to mailbox folder - valitse tämä toiminto, jos haluat siirtää sähköpostiviestit Roskapostit-, Saapuneet- tai Poistetut-kansioon

    Huomaa, että voit siirtää sähköpostituloksia, jotka koostuvat karanteeniin asetetuista kohteista (esimerkiksi false-positiivisten ollessa kyseessä) valitsemalla Saapuneet-vaihtoehto .

    Näyttökuva Microsoft Defender -portaalin Ota toiminnot -ruudun Saapuneet-kansiosta.

  • Delete email - valitse tämä toiminto, jos haluat siirtää sähköpostiviestit Poistetut-kansioon (pehmeä poisto) tai poistaa ne pysyvästi (Kova poisto)

    Jos valitset Pehmeä poisto , myös lähettäjän Lähetetyt-kansion viestit poistetaan automaattisesti, jos lähettäjä on organisaatiossa.

    Näyttökuva Ota toimintoja -vaihtoehdosta Microsoft Defender -portaalissa.

    Lähettäjän kopion automaattinen pehmeä poisto on käytettävissä tuloksille, jotka käyttävät EmailEvents - ja EmailPostDeliveryEvents -taulukoita, mutta eivät taulukkoa UrlClickEvents . Lisäksi tuloksen tulee sisältää sarakkeet EmailDirection ja SenderFromAddress sarakkeet tätä toimintoasetusta varten, jotta se näkyy ohjatussa toimintojen toiminnossa. Lähettäjän kopion puhdistus koskee organisaation sisäisiä sähköpostiviestejä ja lähteviä sähköpostiviestejä. Näin varmistetaan, että näiden sähköpostiviestien vain lähettäjän kopio poistetaan pehmeästi. Saapuvat viestit eivät kuulu vaikutusalueeseen.

    Katso seuraava kysely viitteenä:

    EmailEvents
| where ThreatTypes contains "spam"
| project NetworkMessageId,RecipientEmailAddress, EmailDirection, SenderFromAddress, LatestDeliveryAction,LatestDeliveryLocation

Voit myös antaa korjauksen nimen ja lyhyen kuvauksen toiminnosta, joka on tehty sen seuraamiseksi helposti toimintokeskuksen historiassa. Voit myös suodattaa nämä toiminnot hyväksyntätunnuksen avulla toimintokeskuksessa. Tämä tunnus annetaan ohjatun toiminnon lopussa:

tee ohjattu toiminto, joka näyttää entiteettien valitut toiminnot

Nämä sähköpostitoiminnot koskevat myös mukautettuja tunnistuksia .

Suoritettujen toimien tarkistaminen

Jokainen toiminto tallennetaan yksitellentoimintokeskukseen toimintokeskuksen>historiatiedoston (security.microsoft.com/action-center/history) alle. Siirry toimintokeskukseen, jossa voit tarkistaa kunkin toiminnon tilan.

Huomautus

Jotkin tämän artikkelin taulukot eivät ehkä ole käytettävissä Microsoft Defender for Endpointissa. Ota Microsoft Defender XDR käyttöön uhkien etsimiseksi käyttämällä enemmän tietolähteitä. Voit siirtää kehittyneet metsästystyönkulut Microsoft Defender for Endpointista Microsoft Defender XDR:ään noudattamalla ohjeita kohdassa Kehittyneiden metsästyskyselyjen siirtäminen Microsoft Defender for Endpointista.

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.