Korjaustoiminnot Microsoft Defender XDR:ssä

Koskee seuraavia:

• Microsoft Defender XDR

Microsoft Defender XDR:n automatisoidun tutkimuksen aikana ja sen jälkeen tunnistetaan korjaustoimet haitallisille tai epäilyttäville kohteille. Laitteissa suoritetaan joitakin korjaustoimia, joita kutsutaan myös päätepisteiksi. Muita korjaustoimia tehdään käyttäjätiedoilla, tileillä ja sähköpostisisällöllä. Lisäksi jotkin korjaustoiminnot voivat tapahtua automaattisesti, kun taas organisaatiosi suojaustiimi suorittaa manuaalisesti muuntyyppisiä korjaustoimia. Kun automatisoitu tutkimus johtaa yhteen tai useampaan korjaustoimintoon, tutkimus valmistuu vain, kun korjaustoimet toteutetaan, hyväksytään tai hylätään.

Tärkeää

Se, suoritetaanko korjaustoimintoja automaattisesti vai vain hyväksynnän yhteydessä, riippuu tietyistä asetuksista, kuten automaatiotasoista. Lisätietoja on seuraavissa artikkeleissa:

• Automatisoidun tutkinnan ja vastaustoimintojen määrittäminen Microsoft Defender XDR:ssä
• Käyttäjätietojen määrittäminen Microsoft Defenderin toimintotileillä
• Uhkien korjaaminen laitteissa
• Uhat ja korjaustoiminnot sähköpostin & yhteistyösisällössä

Seuraavassa taulukossa on yhteenveto korjaustoiminnoista, joita tällä hetkellä tuetaan Microsoft Defender XDR:ssä.

Laitteen (päätepisteen) korjaustoiminnot	Sähköpostin korjaustoiminnot	Käyttäjät (tilit)
- kerää tutkimuspaketti - Eristä laite (tämä toiminto voidaan kumota) - Offboard machine - Koodin suorittamisen vapauttaminen - Päästä karanteenista - Pyyntömalli - rajoita koodin suorittamista (tämä toiminto voidaan kumota) - Suorita virustentorjuntatarkistus - Pysäytys ja karanteeni – sisältää verkon laitteita	- Url-lohko (napsautuksen aika) – poistaa sähköpostiviestejä tai klustereita pehmeästi - Karanteenisähköposti - asettaa sähköpostiliitteen karanteeniin – poistaa käytöstä ulkoisen sähköpostin edelleenlähtämisen	- Poista käyttäjä käytöstä - Käyttäjän salasanan vaihtaminen – vahvistaa, että käyttäjä on vaarantunut

Korjaustoimintoja, jotka odottavat hyväksyntää tai ovat jo valmiita, voidaan tarkastella toimintokeskuksessa.

Automatisoituja tutkimuksia seuraavat korjaustoiminnot

Kun automatisoitu tutkimus on valmis, tuomio tehdään jokaisesta asiaan osallistumisesta todisteesta. Tuomiosta riippuen korjaustoimet tunnistetaan. Joissakin tapauksissa korjaustoimet toteutetaan automaattisesti. muissa tapauksissa korjaustoiminnot odottavat hyväksyntää. Kaikki riippuu siitä, miten automatisoitu tutkinta ja reagointi on määritetty.

Seuraavassa taulukossa luetellaan mahdolliset tuomiot ja tulokset:

Tuomio	Entiteetit, joihin tämä vaikuttaa	Tuloksia
Ilkeä	Laitteet (päätepisteet)	Korjaustoiminnot suoritetaan automaattisesti (olettaen, että organisaatiosi laiteryhmäksi on määritetty Täysi – korjaa uhat automaattisesti)
Vaarantunut	Käyttäjät	Korjaustoiminnot suoritetaan automaattisesti
Ilkeä	Sähköpostisisältö (URL-osoitteet tai liitteet)	Suositellut korjaustoiminnot odottavat hyväksyntää
Epäluuloinen	Laitteet tai sähköpostisisältö	Suositellut korjaustoiminnot odottavat hyväksyntää
Uhkia ei löytynyt	Laitteet tai sähköpostisisältö	Korjaustoimintoja ei tarvita

Manuaalisesti suoritettavat korjaustoiminnot

Automaattisia tutkimuksia seuraavien korjaustoimien lisäksi suojaustoimintaryhmäsi voi suorittaa tiettyjä korjaustoimia manuaalisesti. Näitä toimintoja ovat esimerkiksi seuraavat:

• Manuaalinen laitetoiminto, kuten laitteen eristäminen tai tiedoston karanteeni
• Manuaalinen sähköpostitoiminto, kuten sähköpostiviestien pehmeä poisto
• Manuaalinen käyttäjän toiminto, kuten käyttäjän tai käyttäjän salasanan palauttamisen poistaminen käytöstä
• Kehittynyt metsästystoiminto laitteissa, käyttäjissä tai sähköpostissa
• Sähköpostisisällön Hallinta-toiminto , kuten sähköpostin siirtäminen roskapostiin, sähköpostin pehmeä poistaminen tai sähköpostin poistaminen
• Manuaalinen reaaliaikainen vastaustoiminto , kuten tiedoston poistaminen, prosessin lopettaminen ja ajoitetun tehtävän poistaminen
• Reaaliaikaisen vastauksen toiminto Microsoft Defender for Endpoint -ohjelmointirajapinnoille, kuten laitteen eristäminen, virustentorjuntatarkistuksen suorittaminen ja tiedoston tietojen hankkiminen

Seuraavat vaiheet

• Siirry toimintokeskukseen
• Korjaustoimintojen tarkasteleminen ja hallinta
• Käsittele epätosi-positiivisia tai false-negatiivisia
• Sisältää laitteet verkosta

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.