בצע פעולה בתוצאות מתקדמות של שאילתת ציד
חל על:
- Microsoft Defender XDR
חשוב
חלק מהמידע במאמר זה מתייחס למוצר שהופץ מראש, אשר עשוי להיות שונה באופן משמעותי לפני ההפצה המסחרית שלו. Microsoft אינה מעניקה כל אחריות, מפורשת או משתמעת, ביחס למידע המסופק כאן.
באפשרותך להכיל במהירות איומים או לטפל ב הנכסים שנחשף לסכנה שתמצא בשלבי ציד מתקדמים באמצעות אפשרויות פעולה רבות-עוצמה ומקיפות. באמצעות אפשרויות אלה, באפשרותך לבצע את הפעולות הבאות:
- בצע פעולות שונות במכשירים
- העבר קבצים להסגר
הרשאות נדרשות
כדי לבצע פעולה במכשירים באמצעות ציד מתקדם, דרוש לך תפקיד ב- Microsoft Defender for Endpoint עם הרשאות לשליחת פעולות תיקון במכשירים.
חשוב
Microsoft ממליצה להשתמש בתפקידים עם הכי פחות הרשאות. פעולה זו עוזרת לשפר את האבטחה עבור הארגון שלך. מנהל מערכת כללי הוא תפקיד בעל הרשאה גבוהה שאמור להיות מוגבל לתרחישי חירום כאשר אין באפשרותך להשתמש בתפקיד קיים.
אם אינך מצליח לבצע פעולה, פנה למנהל כללי לקבלת ההרשאה הבאה:
פעולות תיקון פעילות ניהול > איומים ופגיעות - טיפול בתיקון
כדי לבצע פעולה לגבי הודעות דואר אלקטרוני באמצעות ציד מתקדם, דרוש לך תפקיד ב- Microsoft Defender עבור Office 365 כדי לחפש ולבצע מחיקה של הודעות דואר אלקטרוני.
בצע פעולות שונות במכשירים
באפשרותך לבצע את הפעולות הבאות במכשירים המזוהים על-ידי DeviceId
העמודה בתוצאות השאילתה שלך:
- לבודד מכשירים מושפעים כדי להכיל הידבקות או למנוע מתקפות לנוע ל"אחר כך"
- איסוף חבילת חקירה להשגת מידע משפטי נוסף
- הפעל סריקת אנטי-וירוס כדי לאתר ולהסיר איומים באמצעות עדכוני בינת האבטחה האחרונים
- הפעל חקירה אוטומטית כדי לבדוק ולעדכן איומים במכשיר ואולי במכשירים מושפעים אחרים
- הגבלת ביצוע האפליקציה לקבצי הפעלה חתומים על-ידי Microsoft בלבד, מניעת פעילות איומים בהמשך באמצעות תוכנות זדוניות או קבצי הפעלה לא מהימנה אחרים
לקבלת מידע נוסף על האופן שבו פעולות תגובה אלה מבוצעות באמצעות Microsoft Defender for Endpoint, קרא אודות פעולות תגובה במכשירים.
העבר קבצים להסגר
באפשרותך לפרוס את פעולת ההסגר בקבצים כך שהם יועברו להסגר באופן אוטומטי כאשר המערכת תיתקל בהם. בעת בחירת פעולה זו, באפשרותך לבחור בין העמודות הבאות כדי לזהות אילו קבצים בתוצאות השאילתה שלך להעביר להסגר:
-
SHA1
: בטבלאות הציד המתקדמות ביותר, עמודה זו מתייחסת ל- SHA-1 של הקובץ המושפע מהפעולה המוקלטת. לדוגמה, אם קובץ הועתק, קובץ מושפע זה יהיה הקובץ המועתק. -
InitiatingProcessSHA1
: בטבלאות הציד המתקדמות ביותר, עמודה זו מתייחסת לקובץ האחראי ליזום את הפעולה המוקלטת. לדוגמה, אם תהליך צאצא הופעל, קובץ אתחול זה יהיה חלק מתהליך האב. -
SHA256
: עמודה זו שוות הערך של SHA-256 לקובץ המזוהה על-ידיSHA1
העמודה. -
InitiatingProcessSHA256
: עמודה זו שוות הערך של SHA-256 לקובץ המזוהה על-ידיInitiatingProcessSHA1
העמודה.
לקבלת מידע נוסף על האופן שבו פעולות בהסגר ננקטות וכיצד ניתן לשחזר קבצים, קרא אודות פעולות תגובה בקבצים.
הערה
כדי לאתר קבצים ולהסגר אותם, תוצאות השאילתה צריכות לכלול DeviceId
גם ערכים כמזהי מכשיר.
כדי לבצע אחת מהפעולות המתוארות, בחר הרשומה אחת או יותר בתוצאות השאילתה ולאחר מכן בחר בצע פעולות. אשף מנחה אותך לאורך תהליך הבחירה ולאחר מכן שליחת הפעולות המועדפות עליך.
בצע פעולות שונות בהודעות דואר אלקטרוני
מלבד שלבי תיקון ממוקדי מכשיר, באפשרותך גם לבצע פעולות מסוימות בהודעות דואר אלקטרוני מתוצאות השאילתה שלך. בחר את הרשומות שבהן ברצונך לבצע פעולה, בחר בצע פעולות ולאחר מכן, תחת בחר פעולות, בחר את הבחירה שלך מבין האפשרויות הבאות:
Move to mailbox folder
- לבחור פעולה זו כדי להעביר את הודעות הדואר האלקטרוני לתיקיה 'דואר זבל', 'תיבת דואר נכנס' או 'פריטים שנמחקו'שים לב שבאפשרותך להעביר תוצאות דואר אלקטרוני המורכבות מפריטים בהסגר (לדוגמה, במקרה של תוצאות חיוביות מוטעות) על-ידי בחירה באפשרות תיבת דואר נכנס.
Delete email
- בחר פעולה זו כדי להעביר הודעות דואר אלקטרוני לתיקיה 'פריטים שנמחקו' (מחיקה זמנית) או למחוק אותן לצמיתות (מחיקה לצמיתות)בחירה באפשרות מחיקה זמנית גם מוחקת באופן אוטומטי את ההודעות מהתיקיה 'פריטים שנשלחו' של השולח אם השולח נמצא בארגון.
מחיקה זמנית אוטומטית של העותק של השולח זמינה עבור תוצאות המשתמשות בטבלאות
EmailEvents
EmailPostDeliveryEvents
ובטבלאות, אך לא בטבלהUrlClickEvents
. יתר על כן, התוצאה צריכה להכיל את העמודותEmailDirection
SenderFromAddress
והעמודות עבור אפשרות פעולה זו כדי להופיע באשף 'בצע פעולות'. ניקוי העותק של השולח חל על הודעות דואר אלקטרוני בתוך הארגון ועל הודעות דואר אלקטרוני יוצאות, ומבטיח שרק העותק של השולח יימחק זמנית עבור הודעות דואר אלקטרוני אלה. ההודעות הנכנסות נמצאות מחוץ לטווח.עיין בשאילתה הבאה כהפניה:
EmailEvents | where ThreatTypes contains "spam" | project NetworkMessageId,RecipientEmailAddress, EmailDirection, SenderFromAddress, LatestDeliveryAction,LatestDeliveryLocation
באפשרותך גם לספק שם תיקון ותיאור קצר של הפעולה שננקטה כדי לעקוב אחריה בקלות בהיסטוריית מרכז הפעולות. באפשרותך גם להשתמש במזהה האישור כדי לסנן פעולות אלה במרכז הפעולות. מזהה זה סופק בסוף האשף:
פעולות דואר אלקטרוני אלה חלות גם על זיהויים מותאמים אישית.
סקירת פעולות שבוצעו
כל פעולה מתועדת בנפרד במרכז הפעולות תחתהיסטוריית מרכז הפעולות> (security.microsoft.com/action-center/history). עבור אל מרכז הפעולות כדי לבדוק את המצב של כל פעולה.
הערה
ייתכן שטבלאות מסוימות במאמר זה לא יהיו זמינות ב- Microsoft Defender for Endpoint. הפעל את XDR של Microsoft Defender כדי לחפש איומים באמצעות מקורות נתונים נוספים. באפשרותך להעביר את זרימות העבודה המתקדמות שלך לציד מ- Microsoft Defender for Endpoint ל- Microsoft Defender XDR על-ידי ביצוע השלבים במאמר העברת שאילתות ציד מתקדמות מ- Microsoft Defender for Endpoint.
מאמרים קשורים
- מבט כולל על ציד מתקדם
- למד את שפת השאילתה
- עבודה עם תוצאות שאילתה
- הבנת הסכימה
- מבט כולל על מרכז הפעולות
עצה
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.