שתף באמצעות

בצע פעולה בתוצאות מתקדמות של שאילתת ציד

  • מאמר

חל על:

  • Microsoft Defender XDR

חשוב

חלק מהמידע במאמר זה מתייחס למוצר שהופץ מראש, אשר עשוי להיות שונה באופן משמעותי לפני ההפצה המסחרית שלו. Microsoft אינה מעניקה כל אחריות, מפורשת או משתמעת, ביחס למידע המסופק כאן.

באפשרותך להכיל במהירות איומים או לטפל ב הנכסים שנחשף לסכנה שתמצא בשלבי ציד מתקדמים באמצעות אפשרויות פעולה רבות-עוצמה ומקיפות. באמצעות אפשרויות אלה, באפשרותך לבצע את הפעולות הבאות:

  • בצע פעולות שונות במכשירים
  • העבר קבצים להסגר

הרשאות נדרשות

כדי לבצע פעולה במכשירים באמצעות ציד מתקדם, דרוש לך תפקיד ב- Microsoft Defender for Endpoint עם הרשאות לשליחת פעולות תיקון במכשירים. אם אינך מצליח לבצע פעולה, פנה למנהל מערכת כללי לגבי קבלת ההרשאה הבאה:

פעולות תיקון פעילות ניהול > איומים ופגיעות - טיפול בתיקון

כדי לבצע פעולה לגבי הודעות דואר אלקטרוני באמצעות ציד מתקדם, דרוש לך תפקיד ב- Microsoft Defender עבור Office 365 כדי לחפש ולבצע מחיקה של הודעות דואר אלקטרוני.

בצע פעולות שונות במכשירים

באפשרותך לבצע את הפעולות הבאות במכשירים המזוהים על-ידי DeviceId העמודה בתוצאות השאילתה שלך:

  • לבודד מכשירים מושפעים כדי להכיל הידבקות או למנוע מתקפות לנוע ל"אחר כך"
  • איסוף חבילת חקירה להשגת מידע משפטי נוסף
  • הפעל סריקת אנטי-וירוס כדי לאתר ולהסיר איומים באמצעות עדכוני בינת האבטחה האחרונים
  • הפעל חקירה אוטומטית כדי לבדוק ולעדכן איומים במכשיר ואולי במכשירים מושפעים אחרים
  • הגבלת ביצוע האפליקציה לקבצי הפעלה חתומים על-ידי Microsoft בלבד, מניעת פעילות איומים בהמשך באמצעות תוכנות זדוניות או קבצי הפעלה לא מהימנה אחרים

לקבלת מידע נוסף על האופן שבו פעולות תגובה אלה מבוצעות באמצעות Microsoft Defender for Endpoint, קרא אודות פעולות תגובה במכשירים.

העבר קבצים להסגר

באפשרותך לפרוס את פעולת ההסגר בקבצים כך שהם יועברו להסגר באופן אוטומטי כאשר תיתקל בהם. בעת בחירת פעולה זו, באפשרותך לבחור בין העמודות הבאות כדי לזהות אילו קבצים בתוצאות השאילתה שלך להעביר להסגר:

  • SHA1: בטבלאות הציד המתקדמות ביותר, עמודה זו מתייחסת ל- SHA-1 של הקובץ שהושפע מהפעולה המוקלטת. לדוגמה, אם קובץ הועתק, קובץ מושפע זה יהיה הקובץ המועתק.
  • InitiatingProcessSHA1: בטבלאות הציד המתקדמות ביותר, עמודה זו מתייחסת לקובץ האחראי ליזום את הפעולה המוקלטת. לדוגמה, אם תהליך צאצא הופעל, קובץ אתחול זה יהיה חלק מתהליך האב.
  • SHA256: עמודה זו שוות הערך של SHA-256 לקובץ המזוהה על-ידי SHA1 העמודה.
  • InitiatingProcessSHA256: עמודה זו שוות הערך של SHA-256 לקובץ המזוהה על-ידי InitiatingProcessSHA1 העמודה.

לקבלת מידע נוסף על האופן שבו פעולות בהסגר ננקטות וכיצד ניתן לשחזר קבצים, קרא אודות פעולות תגובה בקבצים.

הערה

כדי לאתר קבצים ולהסגר אותם, תוצאות השאילתה צריכות לכלול DeviceId גם ערכים כמזהי מכשיר.

כדי לבצע אחת מהפעולות המתוארות, בחר הרשומה אחת או יותר בתוצאות השאילתה ולאחר מכן בחר בצע פעולות. אשף ינחה אותך לאורך תהליך הבחירה ולאחר מכן שליחת הפעולות המועדפות עליך.

האפשרות 'בצע פעולות' בפורטל Microsoft Defender

בצע פעולות שונות בהודעות דואר אלקטרוני

מלבד שלבי תיקון ממוקדי מכשיר, באפשרותך גם לבצע פעולות מסוימות בהודעות דואר אלקטרוני מתוצאות השאילתה שלך. בחר את הרשומות שבהן ברצונך לבצע פעולה, בחר בצע פעולות ולאחר מכן, תחת בחר פעולות, בחר את הבחירה שלך מבין האפשרויות הבאות:

  • Move to mailbox folder - בחר באפשרות זו כדי להעביר את הודעות הדואר האלקטרוני לתיקיה 'דואר זבל', 'תיבת דואר נכנס' או 'פריטים שנמחקו'

    האפשרות 'בצע פעולות' בפורטל Microsoft Defender

  • Delete email - בחר באפשרות זו כדי להעביר הודעות דואר אלקטרוני לתיקיה 'פריטים שנמחקו' (מחיקה זמנית) או למחוק אותן לצמיתות (מחיקה לצמיתות)

    בחירה באפשרות מחיקה זמנית גם מוחקת באופן אוטומטי את ההודעות מהתיקיה 'פריטים שנשלחו' של השולח אם השולח נמצא בארגון.

    צילום מסך של האפשרות 'בצע פעולות' בפורטל Microsoft Defender

    מחיקה זמנית אוטומטית של העותק של השולח זמינה עבור תוצאות המשתמשות בטבלאות EmailEventsEmailPostDeliveryEvents ובטבלאות, אך לא בטבלה UrlClickEvents . יתר על כן, התוצאה צריכה להכיל את העמודות EmailDirectionSenderFromAddress והעמודות עבור אפשרות פעולה זו כדי להופיע באשף 'בצע פעולות'. ניקוי העותק של השולח חל על הודעות דואר אלקטרוני בתוך הארגון ועל הודעות דואר אלקטרוני יוצאות, ומבטיח שרק העותק של השולח יימחק זמנית עבור הודעות דואר אלקטרוני אלה. ההודעות הנכנסות נמצאות מחוץ לטווח.

    עיין בשאילתה הבאה כהפניה:

    EmailEvents
| where ThreatTypes contains "spam"
| project NetworkMessageId,RecipientEmailAddress, EmailDirection, SenderFromAddress, LatestDeliveryAction,LatestDeliveryLocation

באפשרותך גם לספק שם תיקון ותיאור קצר של הפעולה שננקטה כדי לעקוב אחריה בקלות בהיסטוריית מרכז הפעולות. באפשרותך גם להשתמש במזהה האישור כדי לסנן פעולות אלה במרכז הפעולות. מזהה זה סופק בסוף האשף:

אשף הפעולות המציג פעולות בחירה עבור ישויות

פעולות דואר אלקטרוני אלה חלות גם על זיהויים מותאמים אישית.

סקירת פעולות שבוצעו

כל פעולה מתועדת בנפרד במרכז הפעולות תחתהיסטוריית מרכז הפעולות> (security.microsoft.com/action-center/history). עבור אל מרכז הפעולות כדי לבדוק את המצב של כל פעולה.

הערה

ייתכן שטבלאות מסוימות במאמר זה לא יהיו זמינות ב- Microsoft Defender for Endpoint. הפעל את XDR של Microsoft Defender כדי לחפש איומים באמצעות מקורות נתונים נוספים. באפשרותך להעביר את זרימות העבודה המתקדמות שלך לציד מ- Microsoft Defender for Endpoint ל- Microsoft Defender XDR על-ידי ביצוע השלבים במאמר העברת שאילתות ציד מתקדמות מ- Microsoft Defender for Endpoint.

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.