Toimintokeskus

Koskee seuraavia:

• Microsoft Defender XDR

Toimintokeskus tarjoaa yhden lasiruudun käyttökokemuksen tapaus- ja hälytystehtäviin, kuten:

• Hyväksytään odottavia korjaustoimia.
• Tarkastelemalla jo hyväksyttyjen korjaustoimien valvontalokia.
• Tarkistetaan valmiit korjaustoiminnot.

Koska toimintokeskus tarjoaa kattavan näkymän Microsoft Defender XDR töissä, suojaustoimintatiimisi voi toimia tehokkaammin ja tehokkaammin.

Yhdistetty toimintokeskus

Yhdistetty toimintokeskus (https://security.microsoft.com/action-center) luettelee laitteidesi odottavat ja valmiit korjaustoiminnot, sähköpostin & yhteistyösisällön ja käyttäjätiedot yhdessä sijainnissa.

Esimerkki:

• Jos käytit toimintokeskusta Microsoft Defender Security Center (https://securitycenter.windows.com/action-center), kokeile Microsoft Defender portaalin yhtenäistä toimintokeskusta.
• Jos käytit jo Microsoft Defender-portaalia, näet useita parannuksia toimintokeskuksessa (https://security.microsoft.com/action-center).

Yhdistetty toimintokeskus kokoaa yhteen korjaustoiminnot Microsoft Defender for Endpoint ja Microsoft Defender for Office 365. Se määrittää yleisen kielen kaikille korjaustoimille ja tarjoaa yhtenäisen tutkimuskokemuksen. Suojaustoimintatiimilläsi on yhden lasiruudun kokemus korjaustoimintojen tarkastelemiseen ja hallintaan.

Voit käyttää yhtenäistä toimintokeskusta, jos sinulla on tarvittavat käyttöoikeudet ja vähintään yksi seuraavista tilauksista:

• Microsoft Defender for Endpoint
• Microsoft Defender for Office 365
• Microsoft Defender XDR

Vihje

Lisätietoja on artikkelissa Vaatimukset.

Voit siirtyä hyväksyntää odottavien toimintojen luetteloon kahdella eri tavalla:

• Siirry kohteeseen https://security.microsoft.com/action-center; tai
• Valitse Microsoft Defender-portaalissa (https://security.microsoft.com) Automatisoitu tutkimus & vastaus -kortissa Hyväksy toimintokeskuksessa.

Toimintokeskuksen käyttäminen

1. Siirry Microsoft Defender portaaliin ja kirjaudu sisään.

2. Valitse siirtymisruudun Toiminnot ja lähetykset -kohdasta Toimintokeskus. Voit myös valita Automatisoitu tutkimus & vastauskortissa Hyväksy toimintokeskuksessa.

3. Käytä Odottavat toiminnot - ja Historia-välilehtiä . Seuraavassa taulukossa on yhteenveto siitä, mitä näet kussakin välilehdessä:

   Välilehti	Kuvaus
   Odottavat	Näyttää toimenpiteitä edellyttävien toimintojen luettelon. Voit hyväksyä tai hylätä toimintoja yksi kerrallaan tai valita useita toimintoja, jos niillä on samantyyppinen toiminto (kuten karanteenitiedosto). Varmista, että tarkistat ja hyväksyt (tai hylkäät) odottavat toimet mahdollisimman pian, jotta automatisoidut tutkimukset voidaan suorittaa ajoissa.
   Historia	Toimii valvontalokina toteutetuille toimille, kuten: >Automaattisen tutkinnan tuloksena toteutetut korjaustoimet Epäilyttävien tai haitallisten sähköpostiviestien, tiedostojen tai URL-osoitteiden korjaamistoimet Korjaustoiminnot, jotka suojaustoimintaryhmä on hyväksynyt Komennot, jotka suoritettiin ja korjattiin live-vastausistuntojen aikana käyttöön otettuja korjaustoimintoja Virustentorjunnan suorittamat korjaustoiminnot Mahdollistaa tiettyjen toimintojen kumoamisen (katso Kumoa valmiit toiminnot).

4. Voit mukauttaa, lajitella, suodattaa ja viedä tietoja toimintokeskuksessa.

   

   • Valitse sarakeotsikko, jos haluat lajitella kohteet nousevassa tai laskevassa järjestyksessä.
   • Voit tarkastella edellisen päivän, viikon, 30 päivän tai 6 kuukauden tietoja aikajaksosuodattimen avulla.
   • Valitse sarakkeet, joita haluat tarkastella.
   • Määritä kuhunkin tietosivuun sisällytettävien kohteiden määrä.
   • Suodattimien avulla voit tarkastella vain haluamiasi kohteita.
   • Vie tulokset .csv tiedostoon valitsemalla Vie .

Toimintokeskuksessa seuratut toiminnot

Kaikkia toimintoja seurataan toimintokeskuksessa riippumatta siitä, odottavatko ne hyväksyntää vai onko ne jo suoritettu. Käytettävissä olevat toiminnot ovat seuraavat:

• Kerää tutkimuspaketti
• Eristä laite (tämä toiminto voidaan kumota)
• Koneen poistaminen käytöstä
• Koodin suorittamisen vapauttaminen
• Vapauta karanteenista
• Pyyntömalli
• Rajoita koodin suorittamista (tämä toiminto voidaan kumota)
• Suorita virustarkistus
• Pysäytys ja karanteeni
• Sisältää laitteet verkosta

Automaattisten tutkimusten seurauksena automaattisesti toteutettujen korjaustoimien lisäksi toimintokeskus seuraa myös toimintoja, joihin suojaustiimisi on ryhtynyt havaittujen uhkien torjumiseksi, sekä toimintoja, joihin on ryhdytty uhkien suojausominaisuuksien seurauksena Microsoft Defender XDR. Lisätietoja automaattisista ja manuaalisista korjaustoiminnoista on kohdassa Korjaustoiminnot.

Toimintolähteen tietojen tarkasteleminen

Parannettu toimintokeskus sisältää Toiminnon lähde - sarakkeen, joka kertoo, mistä kukin toiminto on peräisin. Seuraavassa taulukossa kuvataan mahdolliset toiminnon lähdearvot :

Toiminnon lähteen arvo	Kuvaus
Manuaalinen laitetoiminto	Manuaalinen toiminto laitteessa. Tällaisia ovat esimerkiksi laiteeristys tai tiedostokaranteeni.
Manuaalinen sähköpostitoiminto	Manuaalinen toiminto on otettu käyttöön sähköpostissa. Esimerkki sisältää sähköpostiviestien pehmeän poistamisen tai sähköpostiviestin korjaamisen.
Automatisoitu laitetoiminto	Entiteetille, kuten tiedostolle tai prosessille, suoritettu automatisoitu toiminto. Automatisoituja toimintoja ovat esimerkiksi tiedoston lähettäminen karanteeniin, prosessin lopettaminen ja rekisteriavaimen poistaminen. (Katso korjaustoiminnot Microsoft Defender for Endpoint.)
Automaattinen sähköpostitoiminto	Automaattinen toiminto, joka koskee sähköpostisisältöä, kuten sähköpostiviestiä, liitettä tai URL-osoitetta. Automaattisia toimintoja ovat esimerkiksi sähköpostiviestien pehmeä poistaminen, URL-osoitteiden estäminen ja ulkoisen sähköpostin edelleenlähtämisen poistaminen käytöstä. (Katso korjaustoiminnot Microsoft Defender for Office 365.)
Kehittynyt metsästys	Laitteissa tai sähköpostissa suoritettuja toimia kehittyneellä metsästyksellä.
Explorer-toiminto	Sähköpostisisällössä Explorerissa toteutetut toiminnot.
Manuaalinen reaaliaikainen vastaustoiminto	Toiminnot, jotka on tehty laitteessa, jossa on reaaliaikainen vastaus. Tällaisia tehtäviä ovat esimerkiksi tiedoston poistaminen, prosessin lopettaminen ja ajoitetun tehtävän poistaminen.
Live-vastaustoiminto	Laitteessa Microsoft Defender for Endpoint ohjelmointirajapintoja koskevat toiminnot. Toimintoja ovat esimerkiksi laitteen eristäminen, virustentorjuntatarkistuksen suorittaminen ja tiedoston tietojen hankkiminen.

Toimintokeskustehtävien pakolliset käyttöoikeudet

Jotta voit suorittaa tehtäviä, kuten hyväksyä tai hylätä odottavia toimintoja toimintokeskuksessa, tarvitset tietyt käyttöoikeudet. Voit valita seuraavat vaihtoehdot:

• Microsoft Entra käyttöoikeudet: Näiden roolien jäsenyys antaa käyttäjille microsoft 365:n muiden ominaisuuksien vaaditut käyttöoikeudet ja käyttöoikeudet:

  • Microsoft Defender for Endpoint korjaus (laitteet):Käyttöoikeusjärjestelmänvalvojan rooliin kuuluminen.

  • Microsoft Defender for Office 365 korjaus (Office-sisältö ja sähköposti):

    • Jäsenyys suojauksen järjestelmänvalvojan roolissa.

    ja

    • Rooliryhmän jäsenyys sähköpostissa & yhteistyöoikeudet, joille on määritetty Haku- ja Tyhjennä-rooli. Oletusarvoisesti tämä rooli määritetään vain tietotutkijan ja organisaation hallinnan rooliryhmille kohdassa Sähköpostin & yhteistyöoikeudet. Voit lisätä käyttäjiä kyseisiin rooliryhmiin tai luoda uuden rooliryhmän kohdassa Sähköposti & yhteistyöoikeudet määritetyllä Haku- ja Tyhjennä-roolilla ja lisätä käyttäjät mukautettuun rooliryhmään.

• Sähköpostin & yhteiskäyttöoikeudet Microsoft Defender portaalissa:

  • Microsoft Defender for Office 365 korjaus (Office-sisältö ja sähköposti):

    • Käyttöoikeusjärjestelmänvalvojan rooliryhmän jäsenyys

    ja

    • Rooliryhmän jäsenyys sähköpostissa & yhteistyöoikeudet, joille on määritetty Haku- ja Tyhjennä-rooli. Oletusarvoisesti tämä rooli määritetään vain tietotutkijan ja organisaation hallinnan rooliryhmille kohdassa Sähköpostin & yhteistyöoikeudet. Voit lisätä käyttäjiä kyseisiin rooliryhmiin tai luoda uuden rooliryhmän kohdassa Sähköposti & yhteistyöoikeudet määritetyllä Haku- ja Tyhjennä-roolilla ja lisätä käyttäjät mukautettuun rooliryhmään.

• Microsoft Defender XDR Yhdistetty roolipohjainen käyttöoikeuksien valvonta (RBAC)

  • Microsoft Defender for Endpoint korjaus: Suojaustoiminnot \ Suojaustiedot \ Vastaus (hallinta).
  • Microsoft Defender for Office 365 korjaus (Office-sisältö ja sähköposti, jos sähköposti & yhteiskäyttöä>Defender for Office 365 käyttöoikeudet ovat aktiiviset. Vaikuttaa vain Defender-portaaliin, ei PowerShelliin):
    • Sähköpostin ja Teamsin viestien otsikoiden lukuoikeudet: Suojaustoiminnot/Raakatiedot (sähköposti & yhteiskäyttö)/Sähköposti & yhteistyön metatiedot (luku).
    • Korjaa haitallisia sähköpostiviestejä: Suojaustoiminnot/Suojaustiedot/Sähköposti & yhteistyön lisätoiminnot (hallinta).

  Vihje

  Suojauksen järjestelmänvalvojan rooliryhmän jäsenyys Sähköposti & yhteistyöoikeudet eivät myönnä käyttöoikeutta toimintokeskukseen tai Microsoft Defender XDR toimintoihin. Näitä varten sinun on oltava suojauksen järjestelmänvalvojan roolissa Microsoft Entra käyttöoikeuksissa.

• Defender for Endpoint -käyttöoikeudet:

  • Microsoft Defender for Endpoint korjaus (laitteet): Jäsenyys Aktiiviset korjaustoiminnot -roolissa.

Vihje

Microsoft Entra ID Yleisen järjestelmänvalvojan roolin jäsenet voivat hyväksyä tai hylätä minkä tahansa odottavan toiminnon toimintokeskuksessa. Parhaana käytäntönä sinun on kuitenkin rajoitettava yleisen järjestelmänvalvojan roolia. Suosittelemme käyttämään vaihtoehtoisia rooleja ja rooliryhmiä, jotka on kuvattu toimintokeskuksen käyttöoikeuksien edellisessä luettelossa.

Seuraavat vaiheet

• Korjaustoimintojen tarkasteleminen ja hallinta

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.