Kehittyneen metsästyksen kyselytulosten suorittaminen
Koskee seuraavia:
- Microsoft Defender XDR
Tärkeää
Jotkin tämän artikkelin tiedot liittyvät tuotteen ennakkojulkaisuversioon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna mitään takuita tässä annettujen tietojen suhteen.
Voit nopeasti sisältää uhkia tai puuttua vaarantuneisiin varoihin, joita löydät kehittyneestä metsästyksestä tehokkaiden ja kattavien toimintavaihtoehtojen avulla. Näiden vaihtoehtojen avulla voit:
- Erilaisten toimintojen käyttö laitteissa
- Karanteenitiedostot
Vaaditut käyttöoikeudet
Jos haluat suorittaa toimintoja laitteissa kehittyneen metsästyksen kautta, tarvitset roolin Microsoft Defender for Endpointissa, jolla on oikeudet lähettää korjaustoimintoja laitteissa.
Tärkeää
Microsoft suosittelee, että käytät rooleja, joilla on vähiten käyttöoikeuksia. Tämä auttaa parantamaan organisaatiosi suojausta. Yleinen järjestelmänvalvoja on hyvin etuoikeutettu rooli, joka tulisi rajata hätätilanteisiin, joissa et voi käyttää olemassa olevaa roolia.
Jos et pysty ryhtymään toimiin, ota yhteyttä yleiseen järjestelmänvalvojaan ja pyydä seuraavien käyttöoikeuksien saaminen:
Aktiiviset korjaustoiminnot > Uhkien ja haavoittuvuuden hallinta – korjaamisen käsittely
Jos haluat ryhtyä toimiin sähköpostiviesteissä kehittyneen metsästyksen kautta, tarvitset roolin Microsoft Defender for Office 365:ssä, jotta voit hakea ja tyhjentää sähköpostiviestejä.
Erilaisten toimintojen käyttö laitteissa
Voit suorittaa seuraavat toiminnot laitteissa, jotka ovat kyselyn tulosten sarakkeen DeviceId
tunnistamia:
- Eristä laitteet, joihin tämä vaikuttaa, jotta ne sisältävät infektion tai estävät hyökkäysten siirtymisen sivuttain
- Kerää tutkimuspaketti saadaksesi lisää rikosteknisiä tietoja
- Etsi ja poista uhkia suorittamalla virustentorjuntatarkistus uusimpien suojaustietojen päivitysten avulla
- Aloita automatisoitu tutkimus, jolla tarkistetaan ja korjataan uhkia laitteessa ja mahdollisesti muissa laitteissa, joihin tämä vaikuttaa
- Rajoita sovelluksen suorittaminen vain Microsoftin allekirjoittamaan suoritettavaan tiedostoon estäen myöhemmän uhkatoiminnan haittaohjelmien tai muiden ei-luotettavien suoritettavien tiedostojen avulla
Lisätietoja siitä, miten nämä vastaustoiminnot suoritetaan Microsoft Defender for Endpointin kautta, on artikkelissa Laitteiden vastaustoiminnot.
Karanteenitiedostot
Voit ottaa karanteenitoiminnon käyttöön tiedostoissa niin, että ne asetetaan automaattisesti karanteeniin kohdattaessa. Kun valitset tämän toiminnon, voit valita seuraavista sarakkeista, mitkä kyselytulosten tiedostot määritetään karanteeniin:
-
SHA1
: Edistyneissä metsästystaulukoissa tämä sarake viittaa sen tiedoston SHA-1:een, johon tallennettu toiminto vaikuttaa. Jos esimerkiksi tiedosto kopioitiin, kyseessä oleva tiedosto on kopioitu tiedosto. -
InitiatingProcessSHA1
: Edistyneissä metsästystaulukoissa tämä sarake viittaa tiedostoon, joka on vastuussa tallennetun toiminnon aloittamisesta. Jos esimerkiksi aliprosessi käynnistetään, tämä käynnistäjätiedosto olisi osa pääprosessia. -
SHA256
: Tämä sarake on SHA-256-vastine sarakkeen määrittämälle tiedostolleSHA1
. -
InitiatingProcessSHA256
: Tämä sarake on SHA-256-vastine sarakkeen määrittämälle tiedostolleInitiatingProcessSHA1
.
Lisätietoja karanteenitoimintojen suorittamisesta ja tiedostojen palauttamisesta on artikkelissa Tiedostojen vastaustoiminnot.
Huomautus
Jotta tiedostot voidaan paikantaa ja asettaa karanteeniin, kyselyn tuloksissa tulisi olla DeviceId
myös arvot laitetunnisina.
Jos haluat suorittaa minkä tahansa kuvatuista toiminnoista, valitse vähintään yksi tietue kyselyn tuloksista ja valitse sitten Suorita toimet. Ohjattu toiminto opastaa sinua valitsemalla ja lähettämällä haluamasi toiminnot.
Erilaisten sähköpostiviestien toimintojen toteuttaminen
Laitekeskeisten korjausvaiheiden lisäksi voit myös suorittaa joitakin toimintoja kyselytuloksiesi sähköpostiviesteihin. Valitse tietueet, joille haluat tehdä toiminnon, valitse Toiminnot ja valitse sitten Valitse toiminnot -kohdasta valintasi seuraavista:
Move to mailbox folder
- valitse tämä toiminto, jos haluat siirtää sähköpostiviestit Roskapostit-, Saapuneet- tai Poistetut-kansioonHuomaa, että voit siirtää sähköpostituloksia, jotka koostuvat karanteeniin asetetuista kohteista (esimerkiksi false-positiivisten ollessa kyseessä) valitsemalla Saapuneet-vaihtoehto .
Delete email
- valitse tämä toiminto, jos haluat siirtää sähköpostiviestit Poistetut-kansioon (pehmeä poisto) tai poistaa ne pysyvästi (Kova poisto)Jos valitset Pehmeä poisto , myös lähettäjän Lähetetyt-kansion viestit poistetaan automaattisesti, jos lähettäjä on organisaatiossa.
Lähettäjän kopion automaattinen pehmeä poisto on käytettävissä tuloksille, jotka käyttävät
EmailEvents
- jaEmailPostDeliveryEvents
-taulukoita, mutta eivät taulukkoaUrlClickEvents
. Lisäksi tuloksen tulee sisältää sarakkeetEmailDirection
jaSenderFromAddress
sarakkeet tätä toimintoasetusta varten, jotta se näkyy ohjatussa toimintojen toiminnossa. Lähettäjän kopion puhdistus koskee organisaation sisäisiä sähköpostiviestejä ja lähteviä sähköpostiviestejä. Näin varmistetaan, että näiden sähköpostiviestien vain lähettäjän kopio poistetaan pehmeästi. Saapuvat viestit eivät kuulu vaikutusalueeseen.Katso seuraava kysely viitteenä:
EmailEvents | where ThreatTypes contains "spam" | project NetworkMessageId,RecipientEmailAddress, EmailDirection, SenderFromAddress, LatestDeliveryAction,LatestDeliveryLocation
Voit myös antaa korjauksen nimen ja lyhyen kuvauksen toiminnosta, joka on tehty sen seuraamiseksi helposti toimintokeskuksen historiassa. Voit myös suodattaa nämä toiminnot hyväksyntätunnuksen avulla toimintokeskuksessa. Tämä tunnus annetaan ohjatun toiminnon lopussa:
Nämä sähköpostitoiminnot koskevat myös mukautettuja tunnistuksia .
Suoritettujen toimien tarkistaminen
Jokainen toiminto tallennetaan yksitellentoimintokeskukseen toimintokeskuksen>historiatiedoston (security.microsoft.com/action-center/history) alle. Siirry toimintokeskukseen, jossa voit tarkistaa kunkin toiminnon tilan.
Huomautus
Jotkin tämän artikkelin taulukot eivät ehkä ole käytettävissä Microsoft Defender for Endpointissa. Ota Microsoft Defender XDR käyttöön uhkien etsimiseksi käyttämällä enemmän tietolähteitä. Voit siirtää kehittyneet metsästystyönkulut Microsoft Defender for Endpointista Microsoft Defender XDR:ään noudattamalla ohjeita kohdassa Kehittyneiden metsästyskyselyjen siirtäminen Microsoft Defender for Endpointista.
Aiheeseen liittyviä artikkeleita
- Tarkennetun etsinnän yleiskatsaus
- Opi kyselyn kieli
- Kyselytulosten käsitteleminen
- Rakenteen ymmärtäminen
- Toimintokeskuksen yleiskatsaus
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.