korjaustoiminnot Microsoft Defender XDR

  • Artikkeli

Koskee seuraavia:

  • Microsoft Defender XDR

Microsoft Defender XDR automatisoidun tutkinnan aikana ja sen jälkeen tunnistetaan korjaustoimet haitallisille tai epäilyttäville kohteille. Laitteissa suoritetaan joitakin korjaustoimia, joita kutsutaan myös päätepisteiksi. Muita korjaustoimia tehdään käyttäjätiedoilla, tileillä ja sähköpostisisällöllä. Automaattiset tutkimukset valmistuu sen jälkeen, kun korjaustoimet on suoritettu, hyväksytty tai hylätty.

Tärkeää

Se, suoritetaanko korjaustoimintoja automaattisesti vai vain hyväksynnän yhteydessä, riippuu tietyistä asetuksista, kuten automaatiotasoista. Lisätietoja on seuraavissa artikkeleissa:

Seuraavassa taulukossa on yhteenveto korjaustoiminnoista, joita tällä hetkellä tuetaan Microsoft Defender XDR.

Laitteen (päätepisteen) korjaustoiminnot Sähköpostin korjaustoiminnot Käyttäjät (tilit)
- kerää tutkimuspaketti
- Eristä laite (tämä toiminto voidaan kumota)
- Offboard machine
- Koodin suorittamisen vapauttaminen
- Päästä karanteenista
- Pyyntömalli
- rajoita koodin suorittamista (tämä toiminto voidaan kumota)
- Suorita virustentorjuntatarkistus
- Pysäytys ja karanteeni
– sisältää verkon laitteita		 - Url-lohko (napsautuksen aika)
– poistaa sähköpostiviestejä tai klustereita pehmeästi
- Karanteenisähköposti
- asettaa sähköpostiliitteen karanteeniin
– poistaa käytöstä ulkoisen sähköpostin edelleenlähtämisen		 - Poista käyttäjä käytöstä
- Käyttäjän salasanan vaihtaminen
– vahvistaa, että käyttäjä on vaarantunut

Korjaustoimintoja, jotka odottavat hyväksyntää tai ovat jo valmiita, voidaan tarkastella toimintokeskuksessa.

Automatisoituja tutkimuksia seuraavat korjaustoiminnot

Kun automatisoitu tutkimus on valmis, tuomio tehdään jokaisesta asiaan osallistumisesta todisteesta. Tuomiosta riippuen korjaustoimet tunnistetaan. Joissakin tapauksissa korjaustoimet toteutetaan automaattisesti. muissa tapauksissa korjaustoiminnot odottavat hyväksyntää. Kaikki riippuu siitä, miten automatisoitu tutkinta ja reagointi on määritetty.

Seuraavassa taulukossa luetellaan mahdolliset tuomiot ja tulokset:

Tuomio Entiteetit, joihin tämä vaikuttaa Tuloksia
Haittaohjelmien Laitteet (päätepisteet) Korjaustoiminnot suoritetaan automaattisesti (olettaen, että organisaatiosi laiteryhmäksi on määritetty Täysi – korjaa uhat automaattisesti)
Vaarantunut Käyttäjät Korjaustoiminnot suoritetaan automaattisesti
Haittaohjelmien Sähköpostisisältö (URL-osoitteet tai liitteet) Suositellut korjaustoiminnot odottavat hyväksyntää
Epäilyttäviä Laitteet tai sähköpostisisältö Suositellut korjaustoiminnot odottavat hyväksyntää
Uhkia ei löytynyt Laitteet tai sähköpostisisältö Korjaustoimintoja ei tarvita

Manuaalisesti suoritettavat korjaustoiminnot

Automaattisia tutkimuksia seuraavien korjaustoimien lisäksi suojaustoimintaryhmäsi voi suorittaa tiettyjä korjaustoimia manuaalisesti. Näitä ovat esimerkiksi seuraavat:

  • Manuaalinen laitetoiminto, kuten laitteen eristäminen tai tiedoston karanteeni
  • Manuaalinen sähköpostitoiminto, kuten sähköpostiviestien pehmeä poisto
  • Manuaalinen käyttäjän toiminto, kuten käyttäjän tai käyttäjän salasanan palauttamisen poistaminen käytöstä
  • Kehittynyt metsästystoiminto laitteissa, käyttäjissä tai sähköpostissa
  • Sähköpostisisällön Hallinta-toiminto , kuten sähköpostin siirtäminen roskapostiin, sähköpostin pehmeä poistaminen tai sähköpostin poistaminen
  • Manuaalinen reaaliaikainen vastaustoiminto , kuten tiedoston poistaminen, prosessin lopettaminen ja ajoitetun tehtävän poistaminen
  • Reaaliaikaisen vastauksen toiminto Microsoft Defender for Endpoint-ohjelmointirajapinnoilla, kuten laitteen eristäminen, virustentorjuntatarkistuksen suorittaminen ja tiedoston tietojen hankkiminen

Seuraavat vaiheet

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.