Kehittyneen metsästyksen kyselytulosten suorittaminen

  • Artikkeli

Koskee seuraavia:

  • Microsoft Defender XDR

Tärkeää

Jotkin tämän artikkelin tiedot liittyvät tuotteen ennakkojulkaisuversioon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna mitään takuita tässä annettujen tietojen suhteen.

Voit nopeasti sisältää uhkia tai puuttua vaarantuneisiin varoihin, joita löydät kehittyneestä metsästyksestä tehokkaiden ja kattavien toimintavaihtoehtojen avulla. Näiden vaihtoehtojen avulla voit:

  • Erilaisten toimintojen käyttö laitteissa
  • Karanteenitiedostot

Vaaditut käyttöoikeudet

Jotta voit ryhtyä toimiin laitteissa kehittyneen metsästyksen avulla, sinulla on oltava rooli Microsoft Defender for Endpoint, jolla on oikeudet lähettää korjaustoimintoja laitteissa. Jos et pysty ryhtymään toimiin, ota yhteyttä yleiseen järjestelmänvalvojaan ja pyydä seuraavien käyttöoikeuksien saaminen:

Aktiiviset korjaustoiminnot > Uhkien ja haavoittuvuuden hallinta – korjaamisen käsittely

Jotta voit ryhtyä toimiin sähköposteissa kehittyneen metsästyksen kautta, tarvitset roolin Microsoft Defender for Office 365 sähköpostiviestien etsimiseen ja tyhjentämiseen.

Erilaisten toimintojen käyttö laitteissa

Voit suorittaa seuraavat toiminnot laitteissa, jotka ovat kyselyn tulosten sarakkeen DeviceId tunnistamia:

  • Eristä laitteet, joihin tämä vaikuttaa, jotta ne sisältävät infektion tai estävät hyökkäysten siirtymisen sivuttain
  • Kerää tutkimuspaketti saadaksesi lisää rikosteknisiä tietoja
  • Etsi ja poista uhkia suorittamalla virustentorjuntatarkistus uusimpien suojaustietojen päivitysten avulla
  • Aloita automatisoitu tutkimus, jolla tarkistetaan ja korjataan uhkia laitteessa ja mahdollisesti muissa laitteissa, joihin tämä vaikuttaa
  • Rajoita sovelluksen suorittaminen vain Microsoftin allekirjoittamaan suoritettavaan tiedostoon estäen myöhemmän uhkatoiminnan haittaohjelmien tai muiden ei-luotettavien suoritettavien tiedostojen avulla

Lisätietoja siitä, miten nämä vastaustoiminnot suoritetaan Microsoft Defender for Endpoint kautta, on artikkelissa Laitteiden vastaustoiminnot.

Karanteenitiedostot

Voit ottaa karanteenitoiminnon käyttöön tiedostoissa niin, että ne asetetaan automaattisesti karanteeniin kohdattaessa. Kun valitset tämän toiminnon, voit valita seuraavista sarakkeista, mitkä kyselytulosten tiedostot määritetään karanteeniin:

  • SHA1: Edistyneissä metsästystaulukoissa tämä sarake viittaa sen tiedoston SHA-1:een, johon tallennettu toiminto vaikutti. Jos esimerkiksi tiedosto kopioitiin, kyseessä oleva tiedosto on kopioitu tiedosto.
  • InitiatingProcessSHA1: Edistyneissä metsästystaulukoissa tämä sarake viittaa tiedostoon, joka on vastuussa tallennetun toiminnon aloittamisesta. Jos esimerkiksi aliprosessi käynnistetään, tämä käynnistäjätiedosto olisi osa pääprosessia.
  • SHA256: Tämä sarake on SHA-256-vastine sarakkeen määrittämälle tiedostolle SHA1 .
  • InitiatingProcessSHA256: Tämä sarake on SHA-256-vastine sarakkeen määrittämälle tiedostolle InitiatingProcessSHA1 .

Lisätietoja karanteenitoimintojen suorittamisesta ja tiedostojen palauttamisesta on artikkelissa Tiedostojen vastaustoiminnot.

Huomautus

Jotta tiedostot voidaan paikantaa ja asettaa karanteeniin, kyselyn tuloksissa tulisi olla DeviceId myös arvot laitetunnisina.

Jos haluat suorittaa minkä tahansa kuvatuista toiminnoista, valitse vähintään yksi tietue kyselyn tuloksista ja valitse sitten Suorita toimet. Ohjattu toiminto opastaa sinua valitsemaan ja lähettämään haluamasi toiminnot.

Toimi -vaihtoehto Microsoft Defender portaalissa

Erilaisten sähköpostiviestien toimintojen toteuttaminen

Laitekeskeisten korjausvaiheiden lisäksi voit myös suorittaa joitakin toimintoja kyselytuloksiesi sähköpostiviesteihin. Valitse tietueet, joille haluat tehdä toiminnon, valitse Toiminnot ja valitse sitten Valitse toiminnot -kohdasta valintasi seuraavista:

  • Move to mailbox folder - valitse tämä, jos haluat siirtää sähköpostiviestit Roskapostit-, Saapuneet- tai Poistetut-kansioon

    Ota toiminnot käyttöön Microsoft Defender portaalissa

  • Delete email - valitse tämä, jos haluat siirtää sähköpostiviestit Poistetut-kansioon (pehmeä poisto) tai poistaa ne pysyvästi (kova poisto)

    Suorita toimintoja -vaihtoehto Microsoft Defender portaalissa

Voit myös antaa korjauksen nimen ja lyhyen kuvauksen toiminnosta, joka on tehty sen seuraamiseksi helposti toimintokeskuksen historiassa. Voit myös suodattaa nämä toiminnot hyväksyntätunnuksen avulla toimintokeskuksessa. Tämä tunnus annetaan ohjatun toiminnon lopussa:

tee ohjattu toiminto, joka näyttää entiteettien valitut toiminnot

Nämä sähköpostitoiminnot koskevat myös mukautettuja tunnistuksia .

Suoritettujen toimien tarkistaminen

Jokainen toiminto tallennetaan yksitellentoimintokeskukseen toimintokeskuksen>historiatiedoston (security.microsoft.com/action-center/history) alle. Siirry toimintokeskukseen, jossa voit tarkistaa kunkin toiminnon tilan.

Huomautus

Jotkin tämän artikkelin taulukot eivät ehkä ole käytettävissä Microsoft Defender for Endpoint. Ota Microsoft Defender XDR käyttöön uhkien etsimiseksi käyttämällä enemmän tietolähteitä. Voit siirtää kehittyneet metsästystyönkulut Microsoft Defender for Endpoint Microsoft Defender XDR noudattamalla kohdassa Kehittyneiden metsästyskyselyjen siirtäminen Microsoft Defender for Endpoint ohjeita.

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.