Tarkista korjaustoimet automatisoidun tutkimuksen jälkeen

  • Artikkeli

Koskee seuraavia:

Korjaustoimet

Kun automatisoitu tutkimus suoritetaan, tuomio annetaan jokaiselle tutkitulle todisteelle. Tuomiot voivat olla haitallisia, epäilyttäviä tai uhkia ei löytynyt.

Riippuen

  • uhan tyyppi,
  • tulokseksi saatavasta tuomiosta ja
  • miten organisaatiosi laiteryhmät on määritetty,

korjaustoimintoja voi suorittaa automaattisesti tai vain organisaatiosi suojaustoimintatiimin hyväksynnän jälkeen.

Huomautus

Laiteryhmän luontia tuetaan Defender for Endpoint -palvelupaketti 1:ssä ja palvelupakettissa 2.

Seuraavassa on muutamia esimerkkejä:

  • Esimerkki 1: Fabrikamin laiteryhmäksi on määritetty Täysi – korjaa uhat automaattisesti (suositeltu asetus). Tässä tapauksessa korjaustoimet suoritetaan automaattisesti artefakteille, joita pidetään haitallisina automaattisen tutkimuksen jälkeen (katso Valmiiden toimintojen tarkistaminen).

  • Esimerkki 2: Contoson laitteet sisältyvät laiteryhmään, joka on määritetty puolittain – edellytä hyväksyntää korjaukselle. Tässä tapauksessa Contoson suojaustoimintatiimin on tarkistettava ja hyväksyttävä kaikki korjaustoiminnot automatisoidun tutkimuksen jälkeen (katso Odottavien toimintojen tarkasteleminen).

  • Esimerkki 3: Tailspin Toysin laiteryhmäksi on määritetty Ei automaattista vastausta (ei suositella). Tässä tapauksessa automatisoituja tutkimuksia ei tehdä. Korjaustoimintoja ei toteuteta tai ne odottavat, eikä toimintoja kirjata toimintokeskukseen niiden laitteille (katso Laiteryhmien hallinta).

Automaattisesti tai hyväksynnän jälkeen suoritettu automaattinen tutkimus ja korjaus voivat johtaa yhteen tai useampaan korjaustoimintoon:

  • Aseta tiedosto karanteeniin
  • Rekisteriavaimen poistaminen
  • Prosessin tappaminen
  • Pysäytä palvelu
  • Ohjaimen poistaminen käytöstä
  • Poista ajoitettu tehtävä

Tarkastele odottavia toimintoja

  1. Siirry Microsoft Defender portaaliin ja kirjaudu sisään.

  2. Valitse siirtymisruudussa Toimintokeskus.

  3. Tarkista Odottavat-välilehden kohteet.

  4. Valitse toiminto avataksesi sen pikaikkunaruudun.

  5. Tarkista tiedot pikaikkunaruudussa ja suorita sitten jokin seuraavista toimista:

    • Valitse Avaa tutkinta -sivu , jos haluat tarkastella lisätietoja tutkinnasta.
    • Aloita odottava toiminto valitsemalla Hyväksy .
    • Valitse Hylkää , jos haluat estää odottavan toiminnon suorittamisen.
    • Valitse Mene metsästämään siirtyäksesi kehittyneeseen metsästykseen.

Hyväksy tai hylkää korjaustoimintoja

Jos tapahtuman korjaustila on Odottaa hyväksyntää, voit myös hyväksyä tai hylätä korjaustoiminnon tapahtuman sisältä.

  1. Siirry siirtymisruudussa kohtaan Tapaukset & hälytykset>Tapaukset.
  2. Suodata Odottava-toiminto automaattisen tutkinnan tilaa varten (valinnainen).
  3. Avaa tapauksen yhteenvetosivu valitsemalla tapahtuman nimi.
  4. Valitse Todisteet ja vastaus -välilehti.
  5. Valitse kohde luettelosta avataksesi sen pikaikkunaruudun.
  6. Tarkista tiedot ja suorita sitten jokin seuraavista vaiheista:
    • Valitse Hyväksy odottava toiminto -vaihtoehto odottavan toiminnon aloittamiseksi.
    • Valitse Hylkää odottava toiminto -vaihtoehto, jos haluat estää odottavan toiminnon suorittamisen.

Hyväksy\Hylkää-vaihtoehto Todisteiden ja vastausten hallinta -ruudussa Microsoft Defender-portaalin tapauksen osalta

Valmiiden toimintojen tarkistaminen

  1. Siirry Microsoft Defender portaaliin ja kirjaudu sisään.

  2. Valitse siirtymisruudussa Toimintokeskus.

  3. Tarkista Historia-välilehden kohteet.

  4. Valitse kohde, jos haluat tarkastella lisätietoja korjaustoiminnosta.

Kumoa valmiit toiminnot

Jos olet todennut, että laite tai tiedosto ei ole uhka, voit kumota toteutetut korjaustoiminnot riippumatta siitä, onko nämä toimet suoritettu automaattisesti vai manuaalisesti. Toimintokeskuksen Historia-välilehdessä voit kumota minkä tahansa seuraavista toiminnoista:

Toiminnon lähde Tuetut toiminnot
  • Automaattinen tutkinta
  • Manuaaliset vastaustoiminnot (katso alla oleva huomautus)
  • Microsoft Defenderin virustentorjunta
  • Ohjaimen poistaminen käytöstä
  • Eristä laite
  • Aseta tiedosto karanteeniin
  • Rekisteriavaimen poistaminen
  • Poista ajoitettu tehtävä
  • Rajoita koodin suorittamista
  • Pysäytä palvelu

Huomautus

Defender for Endpoint Plan 1 ja Microsoft Defender for Business sisältävät vain seuraavat manuaaliset vastaustoiminnot:

  • Suorita virustarkistus
  • Eristä laite
  • Pysäytä ja aseta tiedosto karanteeniin
  • Lisää ilmaisin tiedoston estämiseksi tai sallimiseksi

Useiden toimintojen kumoaminen kerrallaan

  1. Siirry toimintokeskukseen (https://security.microsoft.com/action-center) ja kirjaudu sisään.

  2. Valitse Historia-välilehdestä toiminnot, jotka haluat kumota. Varmista, että valitset kohteet, joilla on sama toimintotyyppi. Näyttöön avautuu pikaikkunaruutu.

  3. Valitse pikaikkunaruudussa Kumoa.

Tiedoston poistaminen karanteenista useiden laitteiden välillä

  1. Siirry toimintokeskukseen (https://security.microsoft.com/action-center) ja kirjaudu sisään.

  2. Valitse Historia-välilehdessä kohde, jonka toimintotyyppi on Karanteenitiedosto.

  3. Valitse pikaikkunaruudussa Käytä X:ään lisää tämän tiedoston esiintymiä ja valitse sitten Kumoa.

Automaatiotasot, automatisoidut tutkimustulokset ja niistä johtuvat toiminnot

Automaatiotasot vaikuttavat siihen, suoritetaanko tietyt korjaustoiminnot automaattisesti vai vain hyväksynnän yhteydessä. Joskus tietoturvatiimilläsi on automaattisten tutkimusten tuloksista riippuen enemmän toimia. Seuraavassa taulukossa on yhteenveto automaatiotasoista, automatisoitujen tutkimusten tuloksista ja siitä, mitä kussakin tapauksessa tehdään.

Laiteryhmän asetus Automatisoidut tutkimustulokset Mitä tehdä?
Täysi - korjaa uhat automaattisesti
(suositus)		 Malicious-tuomio on annettu todisteen saamiseksi.

Asianmukaiset korjaustoiminnot suoritetaan automaattisesti.

 Valmiiden toimintojen tarkistaminen
Semi – edellytä hyväksyntää korjaukselle Joko Malicious - tai Suspicious-tuomio on annettu todisteen saamiseksi.

Korjaustoiminnot odottavat hyväksyntää jatkamiseksi.

 Hyväksy (tai hylkää) odottavia toimintoja
Semi – edellytä ydinkansioiden korjauksen hyväksyntää Malicious-tuomio on annettu todisteen saamiseksi.

Jos artefakti on tiedosto tai suoritettava tiedosto ja se sijaitsee käyttöjärjestelmähakemistossa, kuten Windows-kansiossa tai Program-tiedostot-kansiossa, korjaustoiminnot odottavat hyväksyntää.

Jos artefakti ei ole käyttöjärjestelmähakemistossa, korjaustoimet suoritetaan automaattisesti.
  1. Hyväksy (tai hylkää) odottavia toimintoja
  2. Valmiiden toimintojen tarkistaminen
Semi – edellytä ydinkansioiden korjauksen hyväksyntää Epäilyttävästä on annettu tuomio todisteesta.

Korjaustoiminnot odottavat hyväksyntää.

 Hyväksy (tai hylkää) odottavia toimintoja.
Semi – edellyttää hyväksyntää muille kuin väliaikaisille kansioiden korjauksille Malicious-tuomio on annettu todisteen saamiseksi.

Jos artefakti on tiedosto tai suoritettava tiedosto, joka ei ole väliaikaisessa kansiossa, kuten käyttäjän Lataukset-kansiossa tai tilapäiskansiossa, korjaustoiminnot odottavat hyväksyntää.

Jos artefakti on tilapäiskansiossa oleva tiedosto tai suoritettava tiedosto, korjaustoiminnot suoritetaan automaattisesti.
  1. Hyväksy (tai hylkää) odottavia toimintoja
  2. Valmiiden toimintojen tarkistaminen
Semi – edellyttää hyväksyntää muille kuin väliaikaisille kansioiden korjauksille Epäilyttävästä on annettu tuomio todisteesta.

Korjaustoiminnot odottavat hyväksyntää.

 Hyväksy (tai hylkää) odottavia toimintoja
Mikä tahansa täysi tai puoliautomaatiotaso Todisteista ei löydy uhkauksia -tuomio on annettu.

Korjaustoimintoja ei toteuteta, eikä mikään toiminto ole odottamassa hyväksyntää.

 Näytä automatisoitujen tutkimusten tiedot ja tulokset
Ei automaattista vastausta (ei suositella) Automaattisia tutkimuksia ei suorita, joten tuomioita ei saada eikä korjaustoimia toteuteta tai ne odottavat hyväksyntää. Harkitse laiteryhmien määrittämistä tai muuttamista täydet tai puolittaiset automaatiot käyttöön

Kaikkia tuomioita seurataan toimintokeskuksessa.

Huomautus

Defender for Businessissa automaattiset tutkimus- ja korjaustoiminnot on määritetty valmiiksi käyttämään täysin korjaavia uhkia automaattisesti. Nämä ominaisuudet otetaan oletusarvoisesti käyttöön kaikissa laitteissa.

Seuraavat vaiheet

Tutustu myös seuraaviin ohjeartikkeleihin:

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.