מרכז הפעולות
חל על:
- Microsoft Defender XDR
מרכז הפעולות מספק חוויה של "חלונית זכוכית יחידה" עבור משימות אירוע והתראות כגון:
- מאשר פעולות תיקון ממתינות.
- הצגת יומן ביקורת של פעולות תיקון שכבר אושרו.
- סקירת פעולות תיקון שהושלמו.
מכיוון שמרכז הפעולות מספק תצוגה מקיפה של Microsoft Defender XDR בעבודה, צוות פעולות האבטחה שלך יכול לפעול בצורה יעילה ויעילה יותר.
מרכז הפעולות המאוחד
מרכז הפעולות המאוחד (https://security.microsoft.com/action-center) מפרט פעולות תיקון ממתינות שהושלמו עבור המכשירים שלך, דואר & תוכן שיתוף פעולה וזהויות במיקום אחד.
לדוגמה:
- אם השתמשת במרכז הפעולות ב- מרכז האבטחה של Microsoft Defender (https://securitycenter.windows.com/action-center), נסה את מרכז הפעולות המאוחד בפורטל Microsoft Defender.
- אם כבר השתמשת בפורטל Microsoft Defender, תראה כמה שיפורים במרכז הפעולות (https://security.microsoft.com/action-center).
מרכז הפעולות המאוחד מאגד פעולות תיקון בין Microsoft Defender עבור נקודת קצה ו- Microsoft Defender עבור Office 365. היא מגדירה שפה משותפת עבור כל פעולות התיקון ומספקת חוויית חקירה מאוחדת. לצוות פעולות האבטחה שלך יש חוויה של "חלונית זכוכית יחידה" כדי להציג ולנהל פעולות תיקון.
באפשרותך להשתמש במרכז הפעולות המאוחד אם יש לך הרשאות מתאימות באחד או יותר מהנויים הבאים:
עצה
לקבלת מידע נוסף, ראה דרישות.
באפשרותך לנווט אל רשימת הפעולות הממתינות לאישור בשתי דרכים שונות:
- עבור אל https://security.microsoft.com/action-center; או
- בפורטל Microsoft Defender (https://security.microsoft.com), בכרטיסיה חקירה אוטומטית וכרטיס &, בחר אשר במרכז הפעולות.
שימוש במרכז הפעולות
עבור Microsoft Defender הפורטל והיכנס.
בחלונית הניווט תחת פעולות ושליחה, בחר מרכז הפעולות. לחלופין, בחקירה האוטומטית, & תגובה, בחר אשר במרכז הפעולות.
השתמש בכרטיסיות פעולות ממתינותוהיסטוריה . הטבלה הבאה מסכמת את מה שתראה בכל כרטיסיה:
בכרטיסיה תיאור ממתינים הצגת רשימת פעולות הדורשות תשומת לב. באפשרותך לאשר או לדחות פעולות אחת בכל פעם, או לבחור פעולות מרובות אם יש אותן סוג פעולה זהה (כגון קובץ הסגר).
הקפד לסקור ולאשר (או לדחות) פעולות ממתינות בהקדם האפשרי כדי שהחקירות האוטומטיות שלך יוכלו להסתיים בזמן.היסטוריה משמש כיומן ביקורת עבור פעולות שבוצעו, כגון: - >פעולות תיקון שבוצעו כתוצאה מחקירות אוטומטיות
- פעולות תיקון שבוצעו בהודעות דואר אלקטרוני, קבצים או כתובות URL חשודים או זדוניים
- פעולות תיקון שאושרו על-ידי צוות פעולות האבטחה שלך
- פקודות שהופעלו ופעולות תיקון שהוחלו במהלך הפעלות תגובה חיה
- פעולות תיקון שבוצעו על-ידי הגנת האנטי-וירוס שלך
מספק דרך לביטול פעולות מסוימות (ראה ביטול פעולות שהושלמו).באפשרותך להתאים אישית, למיין, לסנן ולייצא נתונים במרכז הפעולות.
- בחר כותרת עמודה כדי למיין פריטים בסדר עולה או יורד.
- השתמש במסנן פרק הזמן כדי להציג נתונים עבור היום, השבוע, 30 הימים או 6 החודשים האחרונים.
- בחר את העמודות שברצונך להציג.
- ציין כמה פריטים יש לכלול בכל עמוד נתונים.
- השתמש במסננים כדי להציג רק את הפריטים שברצונך לראות.
- בחר ייצוא כדי לייצא תוצאות .csv אחר.
פעולות הנמצאות במעקב במרכז הפעולות
כל הפעולות, בין אם הן ממתינות לאישור או שכבר בוצעו, נמצאות במעקב במרכז הפעולות. הפעולות הזמינות כוללות את הפעולות הבאות:
- אסוף חבילת חקירה
- בודד מכשיר (ניתן לבטל פעולה זו)
- הסר מחשב
- הפעלת קוד הפצה
- הפצה מהסגר
- דוגמה לבקשה
- הגבלת ביצוע קוד (ניתן לבטל פעולה זו)
- הפעל סריקת אנטי-וירוס
- עצור והסגר
- כלול מכשירים מהרשת
בנוסף לפעולות תיקון שננקטות באופן אוטומטי כתוצאה מחקירות אוטומטיות, מרכז הפעולות עוקב גם אחר פעולות שצוות האבטחה שלך ביצע כדי לטפל באיומים שזוהו, ופעולות שבוצעו כתוצאה מתכונות הגנה מפני איומים ב- Microsoft Defender XDR. לקבלת מידע נוסף אודות פעולות תיקון אוטומטיות וידניות, ראה פעולות תיקון.
הצגת פרטי מקור פעולה
מרכז הפעולות השתפר כולל עמודת מקור פעולה שמיידעת אותך מהיכן הגיעה כל פעולה. הטבלה הבאה מתארת ערכי מקור אפשריים של פעולה:
ערך מקור פעולה | תיאור |
---|---|
פעולת התקן ידני | פעולה ידנית שבוצעה במכשיר. הדוגמאות כוללות בידוד מכשיר אוהעברת קבצים להסגר. |
פעולת דואר אלקטרוני ידנית | פעולה ידנית שבוצעה בדואר אלקטרוני. דוגמה כוללת מחיקה זמנית של הודעות דואר אלקטרוני או תיקון הודעת דואר אלקטרוני. |
פעולת מכשיר אוטומטי | פעולה אוטומטית שבוצעה בישות, כגון קובץ או תהליך. דוגמאות לפעולות אוטומטיות כוללות שליחת קובץ להסגר, הפסקת תהליך והסרת מפתח רישום. (ראה פעולות תיקון ב- Microsoft Defender עבור נקודת קצה.) |
פעולת דואר אלקטרוני אוטומטית | פעולה אוטומטית שבוצעה בתוכן דואר אלקטרוני, כגון הודעת דואר אלקטרוני, קובץ מצורף או כתובת URL. דוגמאות לפעולות אוטומטיות כוללות מחיקה זמנית של הודעות דואר אלקטרוני, חסימת כתובות URL וכיבוי העברת דואר חיצוני. (ראה פעולות תיקון ב- Microsoft Defender עבור Office 365.) |
פעולת ציד מתקדמת | פעולות שבוצעו במכשירים או בדואר אלקטרוני עם ציד מתקדם. |
פעולת Explorer | פעולות שבוצעו בתוכן דואר אלקטרוני באמצעות הסייר. |
פעולת תגובה חיה ידנית | פעולות שבוצעו במכשיר עם תגובה חיה. דוגמאות לכך כוללות מחיקת קובץ, הפסקת תהליך והסרה של משימה מתוזמנת. |
פעולת תגובה חיה | פעולות שבוצעו במכשיר עם ממשקי MICROSOFT DEFENDER עבור נקודת קצה API. דוגמאות לפעולות כוללות מבודד מכשיר, הפעלת סריקת אנטי-וירוס וקבלת מידע אודות קובץ. |
הרשאות נדרשות עבור משימות של מרכז הפעולות
כדי לבצע משימות, כגון אישור או דחייה של פעולות ממתינות במרכז הפעולות, דרושות לך הרשאות ספציפיות. יש לך את האפשרויות הבאות:
Microsoft Entra נוספות: חברות בתפקידים אלה מעניקה למשתמשים את ההרשאות וההרשאות הדרושות עבור תכונות אחרות ב- Microsoft 365:
Microsoft Defender עבור נקודת קצה (מכשירים): חברות בתפקיד מנהל אבטחה.
Microsoft Defender עבור Office 365 (תוכן והודעות דואר אלקטרוני של Office):
- חברות בתפקיד 'מנהל אבטחה '.
ו-
- חברות בקבוצת תפקידים ב'דואר אלקטרוני' & שיתוף פעולה עם התפקיד 'חיפוש' ו'מחיקה לצמיתות ' מוקצה. כברירת מחדל, תפקיד זה מוקצה רק לקבוצות התפקידים 'חוקר נתונים' ו'ניהול ארגון' בהרשאות שיתוף & אלקטרוני. באפשרותך להוסיף משתמשים לקבוצות תפקידים אלה, או ליצור קבוצת תפקידים חדשה בהרשאות שיתוף פעולה של דואר אלקטרוני & עם התפקיד חיפוש ופילוח מחיקה שהוקצה, ולהוסיף את המשתמשים לקבוצת התפקידים המותאמת אישית.
שלח & אלקטרוני להרשאות שיתוף פעולה Microsoft Defender האלקטרוני:
Microsoft Defender עבור Office 365 (תוכן והודעות דואר אלקטרוני של Office):
- חברות בקבוצת התפקידים 'מנהל אבטחה'
ו-
- חברות בקבוצת תפקידים ב'דואר אלקטרוני' & שיתוף פעולה עם התפקיד 'חיפוש' ו'מחיקה לצמיתות ' מוקצה. כברירת מחדל, תפקיד זה מוקצה רק לקבוצות התפקידים 'חוקר נתונים' ו'ניהול ארגון' בהרשאות שיתוף & אלקטרוני. באפשרותך להוסיף משתמשים לקבוצות תפקידים אלה, או ליצור קבוצת תפקידים חדשה בהרשאות שיתוף פעולה של דואר אלקטרוני & עם התפקיד חיפוש ופילוח מחיקה שהוקצה, ולהוסיף את המשתמשים לקבוצת התפקידים המותאמת אישית.
Microsoft Defender XDR גישה מבוססת תפקיד מאוחד (RBAC)
- Microsoft Defender עבור נקודת קצה: פעולות אבטחה\ נתוני אבטחה \ תגובה (ניהול).
-
Microsoft Defender עבור Office 365 (תוכן והודעות דואר אלקטרוני של Office, אם הרשאות שיתוף &> דואר אלקטרוני Defender עבור Office 365 פעילות. משפיע על פורטל Defender בלבד, לא על PowerShell):
- גישת קריאה עבור כותרות הודעות של דואר אלקטרוני ו- Teams: פעולות אבטחה/נתונים גולמיים (דואר & שיתוף פעולה )/דואר & נתונים של שיתוף פעולה (קריאה).
- תיקון דואר אלקטרוני זדוני: פעולות אבטחה/נתוני אבטחה/דואר & פעולות מתקדמות של שיתוף פעולה (ניהול).
עצה
חברות בקבוצת התפקידים 'מנהל אבטחה' & דואר אלקטרוני והרשאות שיתוף פעולה אינה מעניקה גישה למרכז הפעולות או Microsoft Defender XDR נוספות. עבור משתמשים אלה, עליך להיות חבר בתפקיד מנהל האבטחהבהרשאות Microsoft Entra אלה.
הרשאות של Defender for Endpoint:
- Microsoft Defender עבור נקודת קצה (מכשירים): חברות בתפקיד פעולות תיקון פעילות.
עצה
חברים בתפקיד מנהל מערכת כללי ב- Microsoft Entra מזהה יכולים לאשר או לדחות כל פעולה ממתינה במרכז הפעולות. עם זאת, כשיטות עבודה מומלצות, עליך להגביל את החברים בתפקיד מנהל מערכת כללי. אנו ממליצים להשתמש בתפקידים ובקבוצות התפקידים החלופיים כמתואר ברשימה הקודמת עבור הרשאות מרכז הפעולות.
השלב הבא
עצה
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.