נקיטת פעולות תגובה במכשיר

חל על:

חשוב

חלק מהמידע מתייחס למוצר שהופץ לפני ההפצה המסחרית, וייתכן כי הוא השתנה באופן משמעותי. Microsoft אינה מעניקה כל אחריות, מפורשת או משתמעת, ביחס למידע המסופק כאן.

השב במהירות למתקפות שזוהו על-ידי מבודד מכשירים או איסוף חבילת חקירה. לאחר ביצוע פעולה במכשירים, באפשרותך לבדוק את פרטי הפעילות במרכז הפעולות.

פעולות תגובה פועלות לאורך החלק העליון של דף מכשיר ספציפי וכוללות:

  • ניהול תגיות
  • הפעלת חקירה אוטומטית
  • הפעל הפעלת תגובה חיה
  • אסוף חבילת חקירה
  • הפעל סריקת אנטי-וירוס
  • הגבל ביצוע אפליקציה
  • בודד מכשיר
  • כלול מכשיר
  • התייעץ עם מומחה לאיומים
  • מרכז הפעולות

תמונה של פעולות תגובה.

חשוב

Defender for Endpoint Plan 1 כולל רק את פעולות התגובה הידני הבאות:

  • הפעל סריקת אנטי-וירוס
  • בודד מכשיר
  • עצירה והסגר של קובץ
  • הוסף מחוון כדי לחסום או לאפשר קובץ.

Microsoft Defender for Business אינה כוללת כעת את הפעולה "עצור והסגר קובץ". המנוי שלך חייב לכלול את Defender for Endpoint Plan 2 כדי שכל פעולות התגובה המתוארות במאמר זה יהיו מתוארות.

באפשרותך למצוא דפי מכשיר מכל אחת מהתצוגות הבאות:

  • תור התראות - בחר את שם ההתקן לצד סמל המכשיר מתור ההתראות.
  • רשימת מכשירים - בחר את הכותרת של שם המכשיר מרשימת המכשירים.
  • תיבת חיפוש - בחר התקן מהתפריט הנפתח והזן את שם המכשיר.

חשוב

  • פעולות תגובה אלה זמינות רק עבור מכשירים ב- Windows 10, בגירסה 1703 ואילך, ב- Windows 11, ב- Windows Server 2019 וב- Windows Server 2022.
  • עבור פלטפורמות שאינן של Windows, יכולות התגובה (כגון התקן בודד) תלויות ביכולות של ספקים חיצוניים.
  • עבור נציגי צד ראשון של Microsoft, עיין בקישור 'מידע נוסף' תחת כל תכונה לקבלת דרישות מינימליות של מערכת ההפעלה.

ניהול תגיות

הוסף או נהל תגיות כדי ליצור השתייכות לקבוצה לוגית. תגיות מכשיר תומכות במיפוי נכון של הרשת, ומאפשרות לך לצרף תגיות שונות כדי ללכוד הקשר ולאפשר יצירת רשימה דינאמית כחלק מתקרית.

לקבלת מידע נוסף אודות תיוג מכשירים, ראה יצירה וניהול של תגיות מכשיר.

הפעלת חקירה אוטומטית

באפשרותך להתחיל חקירה אוטומטית חדשה של מטרה כללית במכשיר במידת הצורך. בזמן שחקירה פועלת, כל התראה אחרת שנוצרת מהמכשיר תתווסף לחקירה אוטומטית מתמשכת עד להשלמת חקירה זו. בנוסף, אם אותו איום מוצג במכשירים אחרים, מכשירים אלה נוספים לחקירה.

לקבלת מידע נוסף אודות חקירות אוטומטיות, ראה מבט כולל על חקירות אוטומטיות.

הפעל הפעלת תגובה חיה

תגובה חיה היא יכולת שמספקת לך גישה מיידית למכשיר באמצעות חיבור מעטפת מרוחק. כך תוכל לבצע עבודת חקירה מעמיקה ולבצע פעולות תגובה מיידיות כדי להכיל מיד איומים שזוהו בזמן אמת.

תגובה חיה מיועדת לשפר את החקירות על-ידי כך שהיא מאפשרת לך לאסוף נתונים משפטיים, להפעיל קבצי Script, לשלוח ישויות חשודות לניתוח, לתיקון איומים ולצוד באופן יזום אחר איומים מתפתחים.

לקבלת מידע נוסף על תגובה חיה, ראה חקירת ישויות במכשירים המשתמשים בתגובה חיה.

איסוף חבילת חקירה ממכשירים

כחלק מתהליך החקירה או התגובה, באפשרותך לאסוף חבילת חקירה ממכשיר. על-ידי איסוף חבילת החקירה, באפשרותך לזהות את המצב הנוכחי של המכשיר ולהבין עוד יותר את הכלים והטכניקות שבהם משתמש התוקף.

חשוב

פעולות אלה אינן נתמכות בשלב זה עבור מכשירים שבהם פועל macOS או Linux. השתמש בתגובה חיה כדי להפעיל את הפעולה. לקבלת מידע נוסף על תגובה חיה, ראה חקירת ישויות במכשירים המשתמשים בתגובה חיה

כדי להוריד את החבילה (קובץ Zip) ולחקור את האירועים שהתרחשו במכשיר

  1. בחר אסוף חבילת חקירה משורת פעולות התגובה בחלק העליון של דף המכשיר.

  2. ציין בתיבת הטקסט מדוע ברצונך לבצע פעולה זו. בחר אשר.

  3. קובץ ה- zip ייורד

דרך חלופית:

  1. בחר מרכז הפעולות ממקטע פעולות התגובה בדף המכשיר.

    האפשרות 'מרכז הפעולות'

  2. בתפריט הנשלף של מרכז הפעולות, בחר חבילת איסוף חבילה זמינה להורדת קובץ ה- zip.

    אפשרות חבילת ההורדה

החבילה מכילה את התיקיות הבאות:

התיקיה תיאור
הפעלות אוטומטיות מכיל ערכת קבצים שכל אחד מהם מייצג את התוכן של הרישום של נקודת כניסה ידועה של התחלה אוטומטית (ASEP) כדי לסייע בזיהוי עקביות התוקף במכשיר.

הערה: אם מפתח הרישום לא נמצא, הקובץ יכיל את ההודעה הבאה: "שגיאה: למערכת לא היתה אפשרות למצוא את מפתח הרישום או הערך שצוינו."
תוכניות מותקנות קובץ .CSV זה מכיל את רשימת התוכניות המותקנות, שעשויות לעזור לזהות מה מותקן כעת במכשיר. לקבלת מידע נוסף, ראה Win32_Product שלך.
חיבורי רשת תיקיה זו מכילה ערכה של נקודות נתונים הקשורות למידע הקישוריות, שעשויות לסייע בזיהוי קישוריות לכתובות URL חשודות, לפקודה ולשליטה של התוקף (C&C), לתנועה רוחבית או לחיבורים מרוחקים.
  • ActiveNetConnections.txt: הצגת סטטיסטיקת פרוטוקולים וחיבורי רשת TCP/IP נוכחיים. מספק את היכולת לחפש קישוריות חשודה שנוצרה על-ידי תהליך.
  • Arp.txt: הצגת טבלאות המטמון הנוכחיות של פרוטוקול זיהוי כתובות (ARP) עבור כל הממשקים. מטמון ARP יכול לחשוף מארחים אחרים ברשת שנחשפו או מערכות חשודות ברשת שייתכן ששימשו להפעלת מתקפה פנימית.
  • DnsCache.txt: הצגת התוכן של מטמון פותרן לקוח ה- DNS, הכולל את שני הערכים שנטענו מראש מקובץ Hosts המקומי וכל רשומת משאבים שהושגה לאחרונה עבור שאילתות שם שנפתרו על-ידי המחשב. הדבר יכול לסייע בזיהוי חיבורים חשודים.
  • IpConfig.txt: הצגת תצורת TCP/IP המלאה עבור כל המתאם. מתאמים יכולים לייצג ממשקים פיזיים, כגון מתאמי רשת מותקנים או ממשקים לוגיים, כגון חיבורי חיוג.
  • FirewallExecutionLog.txt ו- pfirewall.log

הערה: קובץ pfirewall.log חייב להיות קיים ב- %windir%\system32\logfiles\firewall\pfirewall.log, כך שהוא ייכלל בחבילה החקירה. לקבלת מידע נוסף אודות יצירת קובץ יומן הרישום של חומת האש, ראה קביעת תצורה Windows Defender האש עם יומן אבטחה מתקדם
הזנה מראש של קבצים קבצי Windows Prefetch מיועדים לזרז את תהליך ההפעלה של היישום. ניתן להשתמש בו כדי לעקוב אחר כל הקבצים שהיו בשימוש לאחרונה במערכת ולאתר מעקבים עבור יישומים שייתכן שנמחקו, אך עדיין ניתן למצוא אותם ברשימת הקבצים של ההפצה מראש.
  • התיקיה Prefetch: מכילה עותק של קבצי ההפצה מראש מ- %SystemRoot%\Prefetch. הערה: מומלץ להוריד מציג קבצים של התאמה מראש כדי להציג את קבצי ההפצה מראש.
  • PrefetchFilesList.txt: מכיל את הרשימה של כל הקבצים שהועתקו שניתן להשתמש בהם כדי לעקוב אם היו כשלים כלשהם בהעתקה אל התיקיה prefetch.
תהליכים מכיל קובץ .CSV המציין את התהליכים הפועלים ומספק את היכולת לזהות תהליכים נוכחיים הפועלים במכשיר. פעולה זו יכולה להיות שימושית בעת זיהוי תהליך חשוד והמצב שלו.
פעילויות מתוזמנות מכילה .CSV רישום של המשימות המתוזמנות, שניתן להשתמש בו לזיהוי שגרות שבוצעו באופן אוטומטי במכשיר שנבחר כדי לחפש קוד חשוד שהוגדר לפעול באופן אוטומטי.
יומן אירועי אבטחה מכיל את יומן אירועי האבטחה, המכיל רשומות של פעילות כניסה או התחברות, או אירועים אחרים הקשורים לאבטחה שצוינו על-ידי מדיניות הביקורת של המערכת.

הערה: פתח את קובץ יומן האירועים באמצעות מציג האירועים.
שירותי מכיל קובץ .CSV המפרט את השירותים ואת המצבים שלהם.
הפעלות בלוק הודעות של Windows Server (SMB) פירוט הגישה המשותפת לקבצים, מדפסות ויציאות טוריות ותקשורת בין צמתים ברשת. פעולה זו יכולה לסייע בזיהוי סינון נתונים או תנועה רוחבית.

מכיל קבצים עבור SMBInboundSessions ו- SMBOutboundSession.

הערה: אם אין הפעלות (נכנסות או יוצאות), תקבל קובץ טקסט שיודיע לך שלא נמצאו הפעלות SMB.
מידע מערכת מכיל קובץ SystemInformation.txt המפרט מידע מערכת כגון גירסת מערכת ההפעלה וכרטיסי רשת.
ספריות זמניות מכיל ערכה של קבצי טקסט המפרטים את הקבצים הממוקמים ב- %Temp% עבור כל משתמש במערכת.

פעולה זו יכולה לסייע במעקב אחר קבצים חשודים שתוקף שחרר במערכת.

הערה: אם הקובץ מכיל את ההודעה הבאה: "למערכת אין אפשרות למצוא את הנתיב שצוין", פירוש הדבר שאין ספריה זמנית עבור משתמש זה, וייתכן שהסיבה לכך היא שהמשתמש לא נכנס למערכת.
משתמשים וקבוצות מספק רשימה של קבצים שכל אחד מהם מייצג קבוצה וחבריה.
WdSupportLogs מספק את MpCmdRunLog.txt ואת MPSupportFiles.cab

הערה: תיקיה זו תיווצר רק בגירסה Windows 10 1709 ואילך עם אוסף עדכונים של פברואר 2020 או בהתקנה עדכנית יותר:
  • Win10 1709 (RS3) גירסת Build מס' 16299.1717: KB4537816
  • Win10 1803 (RS4) גירסת Build מס' 17134.1345: KB4537795
  • Win10 1809 (RS5) גירסת Build מס' 17763.1075: KB4537818
  • Win10 1903/1909 (19h1/19h2) גירסאות Build מס' 18362.693 ו- 18363.693: KB4535996
CollectionSummaryReport.xls קובץ זה הוא סיכום של אוסף חבילת החקירה, הוא מכיל את רשימת נקודות הנתונים, הפקודה המשמשת לחילוץ הנתונים, מצב הביצוע וקוד השגיאה אם מתרחש כשל. באפשרותך להשתמש בדוח זה כדי לעקוב אם החבילה כוללת את כל הנתונים הצפויים ולזהות אם אירעה שגיאות.

הפעל את Microsoft Defender אנטי-וירוס במכשירים

כחלק מתהליך החקירה או התגובה, באפשרותך ליזום מרחוק סריקת אנטי-וירוס כדי לסייע בזיהוי ובתיקון של תוכנות זדוניות שעשויות להיחשף למכשיר שנחשף לסכנה.

חשוב

  • פעולה זו אינה נתמכת בשלב זה עבור macOS ו- Linux. השתמש בתגובה חיה כדי להפעיל את הפעולה. לקבלת מידע נוסף על תגובה חיה, ראה חקירת ישויות במכשירים המשתמשים בתגובה חיה
  • סריקת Microsoft Defender אנטי-וירוס יכולה לפעול לצד פתרונות אנטי-וירוס אחרים, בין אם אנטי Microsoft Defender אנטי-וירוס הוא פתרון האנטי-וירוס הפעיל או לא. Microsoft Defender האנטי-וירוס יכול להיות במצב פאסיבי. לקבלת מידע נוסף, ראה Microsoft Defender אנטי-וירוס.

לאחר שבחרת באפשרות הפעל סריקת אנטי-וירוס, בחר את סוג הסריקה שברצונך להפעיל (מהיר או מלא) והוסף הערה לפני אישור הסריקה.

ההודעה לבחירת סריקה מהירה או סריקה מלאה והוספת הערה

מרכז הפעולות יציג את מידע הסריקה וציר הזמן של המכשיר יכלול אירוע חדש, המציין שפעולה סריקה נשלחה במכשיר. Microsoft Defender אנטי-וירוס ישקפו את כל הזיהויים שהופעלו במהלך הסריקה.

הערה

בעת הפעלת סריקה באמצעות פעולת התגובה של Defender for Endpoint, Microsoft Defender האנטי-וירוס 'ScanAvgCPULoadFactor' עדיין חל ומגביל את השפעת ה- CPU של הסריקה. אם התצורה של ScanAvgCPULoadFactor לא נקבעה, ערך ברירת המחדל הוא מגבלה של 50% טעינת CPU מרבית במהלך סריקה. לקבלת מידע נוסף, ראה configure-advanced-scan-types-microsoft-defender-antivirus.

הגבל ביצוע אפליקציה

בנוסף להתקפה על-ידי הפסקת תהליכים זדוניים, באפשרותך גם לנעול מכשיר ולמנוע את הניסיונות הבאים של תוכניות שעשויות להיות זדוניות לפעול.

חשוב

  • פעולה זו זמינה עבור מכשירים בגירסה Windows 10, בגירסה 1709 ואילך, ב- Windows 11 וב- Windows Server 2019 ואילך.
  • תכונה זו זמינה אם הארגון שלך משתמש ב- Microsoft Defender אנטי-וירוס.
  • פעולה זו צריכה לעמוד בתבניות מדיניות תקינות קוד Windows Defender Application Control ובדרישות החתימה. לקבלת מידע נוסף, ראה תבניות וחתימה של מדיניות תקינות קוד).

כדי להגביל את הפעלת היישום, חלה מדיניות תקינות קוד המאפשרת לקבצים לפעול רק אם הם חתומים על-ידי אישור שהונפק על-ידי Microsoft. שיטה זו של הגבלה יכולה למנוע מתוקף לשלוט במכשירים שנחשף לסכנה ולבצע פעילויות זדוניות נוספות.

הערה

תוכל לבטל את הגבלת היכולת של אפליקציות לפעול בכל עת. הלחצן בדף המכשיר ישתנה כדי לומר הסר הגבלות של אפליקציות ולאחר מכן בצע את אותם שלבים כמו הגבלת ביצוע האפליקציה.

לאחר שבחרת הגבל ביצוע אפליקציה בדף המכשיר, הקלד הערה ובחר אשר. מרכז הפעולות יציג את פרטי הסריקה וציר הזמן של המכשיר יכלול אירוע חדש.

הודעת הגבלת היישום

הודעה על משתמש במכשיר

כאשר אפליקציה מוגבלת, מוצגת ההודעה הבאה כדי ליידע את המשתמש כי אפליקציה מסוימת מוגבלת מההפעלה:

הודעת ההגבלה של היישום

הערה

ההודעה אינה זמינה ב- Windows Server 2016 וב- Windows Server 2012 R2.

בודד מכשירים מהרשת

בהתאם לחומרת התקיפה ולרגישות המכשיר, ייתכן שתרצה לבודד את ההתקן מהרשת. פעולה זו יכולה לעזור למנוע מהתוקף לשלוט במכשיר שנחשף לסכנה ולבצע פעילויות נוספות כגון הסרת נתונים ותנועה רוחבית.

חשוב

  • אבטחת מכשירים מהרשת אינה נתמכת בשלב זה עבור מכשירים שבהם פועל macOS. עבור macOS, השתמש בתגובה חיה כדי להפעיל את הפעולה. לקבלת מידע נוסף על תגובה חיה, ראה חקירת ישויות במכשירים המשתמשים בתגובה חיה.
  • בידוד מלא זמין עבור מכשירים שבהם Windows 11, Windows 10, גירסה 1703 ואילך, Windows Server 2022, Windows Server 2019 ו- Windows Server 2016.
  • באפשרותך להשתמש ביכולת בידוד המכשיר בתצוגה המקדימה הציבורית בכל Microsoft Defender עבור נקודת קצה הנתמכות ב- Linux המפורטות בדרישות המערכת.
  • בידוד סלקטיבי זמין עבור מכשירים שבהם פועלת Windows 10, גירסה 1709 ואילך, והתקנים Windows 11.
  • בעת מבודד מכשיר, מותרים רק תהליכים ויעדים מסוימים. לכן, מכשירים מאחורי מנהרת VPN מלאה לא יוכלו להגיע לשירות הענן Microsoft Defender עבור נקודת קצה לאחר שהמכשיר מבודד. אנו ממליצים להשתמש ב- VPN לפתרון מנהרה מפוצלת עבור Microsoft Defender עבור נקודת קצה ותעבורה מבוססת ענן של אנטי-וירוס Microsoft Defender אנטי-וירוס.
  • התכונה תומכת בחיבור VPN.
  • דרושות לך לפחות אחת מהרשאות התפקיד הבאות: 'פעולות תיקון פעילות'. לקבלת מידע נוסף, ראה יצירה וניהול של תפקידים.
  • דרושה לך גישה למכשיר בהתבסס על ההגדרות של קבוצת המכשירים. לקבלת מידע נוסף, ראה יצירה וניהול של קבוצות מכשירים.
  • אי הכללה של בידוד Linux אינה נתמכת.

תכונת בידוד מכשיר זו מנתקת את המכשיר שנחשף לסכנה מהרשת ושומרת על הקישוריות לשירות Defender for Endpoint, אשר ממשיך לנטר את המכשיר.

ב Windows 10, גירסה 1709 ואילך, תהיה לך שליטה גבוהה יותר על רמת בידוד הרשת. באפשרותך גם לבחור להפוך את Outlook, Microsoft Teams וקישוריות Skype for Business (נוסחה גם 'בידוד סלקטיבי').

הערה

תוכל לחבר מחדש את המכשיר לרשת בכל עת. הלחצן בדף המכשיר ישתנה כדי ללחוץ על שחרר מהבידוד , ולאחר מכן בצע את אותם השלבים של בידוד המכשיר.

לאחר שתבחר באפשרות בודד מכשיר בדף המכשיר, הקלד הערה ובחר אשר. מרכז הפעולות יציג את פרטי הסריקה וציר הזמן של המכשיר יכלול אירוע חדש.

דף פרטי מכשיר מבודד

הערה

המכשיר יישאר מחובר לשירות נקודות הקצה של Defender for גם אם הוא מבודד מהרשת. אם בחרת להפוך את Outlook Skype for Business לזמין, תוכל לקיים תקשורת עם המשתמש בזמן שהמכשיר מבודד.

הודעה על משתמש במכשיר

כאשר מכשיר מבודד, מוצגת ההודעה הבאה כדי ליידע את המשתמש שהמכשיר מבודד מהרשת:

הודעת 'אין חיבור רשת'

הערה

ההודעה אינה זמינה בפלטפורמות שאינן של Windows.

כלול מכשירים מהרשת

הערה

יכולות להכיל נמצאות כעת בתצוגה מקדימה ציבורית. כדי ללמוד אודות תכונות חדשות בהפצה של Microsoft 365 Defender Preview ולהיכנס בין הראשונים לנסות תכונות קרובות על-ידי הפעלת חוויית התצוגה המקדימה, ראה תצוגה מקדימה של תכונות ב- Micrsoft 365 Defender.

לאחר שזיהית מכשיר לא מנוהל שנחשף לסכנה או שנחשף לסכנה, ייתכן שתרצה להכיל מכשיר זה מהרשת. כאשר אתה מכיל מכשיר, כל Microsoft Defender עבור נקודת קצה מחובר תחסום תקשורת נכנסת ויוצאת עם מכשיר זה. פעולה זו יכולה לסייע במניעת סכנה של מכשירים שכנים בזמן שמנתח פעולות האבטחה מאתר, מזהה ומתקנת את האיום במכשיר שנחשף לסכנה.

הערה

חסימת תקשורת נכנסת ותקשורת יוצאת עם מכשיר 'כלול' נתמכת בהתקנים Microsoft Defender עבור נקודת קצה Windows 10 ו- Windows Server 2019+ .

כיצד להכיל מכשיר

  1. עבור אל הדף מלאי מכשירים ובחר את המכשיר שברצונך להכיל.

  2. בחר באפשרות כלול מכשיר מתפריט הפעולות בתפריט הנשלף של המכשיר.

צילום מסך של ההודעה המוקפצת 'כלול מכשיר'.

  1. בחלון המוקפץ מכיל מכשיר, הקלד הערה ובחר אשר.

צילום מסך של פריט התפריט 'כלול מכשיר'.

מכילים מכשיר דף המכשיר

ניתן גם לכלול מכשיר מסוים בדף המכשיר על-ידי בחירה באפשרות כלול מכשיר משורת הפעולות:

צילום מסך של פריט התפריט 'כלול מכשיר' בדף המכשיר.

הערה

ייתכן שידרשו עד 5 דקות עד שהפרטים על מכשיר חדש שנמצא בו יגיעו Microsoft Defender עבור נקודת קצה מחוברים.

חשוב

  • אם מכשיר כלול משנה את כתובת ה- IP שלו, Microsoft Defender עבור נקודת קצה המכשירים הכלולים בו יזהו זאת ויתחילו לחסום את התקשורת עם כתובת ה- IP החדשה. כתובת ה- IP המקורית לא תיחסם עוד (ייתכן שיחלפו עד 5 דקות כדי לראות שינויים אלה).
  • במקרים שבהם ה- IP של המכשיר הכלול נמצא בשימוש על-ידי מכשיר אחר ברשת, תופיע אזהרה בעת הוספת המכשיר, עם קישור לציד מתקדם (עם שאילתה מאוכלסת מראש). פעולה זו תספק ניראות למכשירים האחרים המשתמשים באותה כתובת IP כדי לעזור לך לקבל החלטה מודעת אם ברצונך להמשיך להכיל את המכשיר.
  • במקרים שבהם ההתקן הכלול הוא התקן רשת, תופיע אזהרה עם הודעה שעשויה לגרום לבעיות בקישוריות הרשת (לדוגמה, המכיל נתב הפועל כשער ברירת מחדל). בשלב זה, תוכל לבחור אם להכיל את המכשיר או לא.

לאחר שתכיל מכשיר, אם אופן הפעולה אינו כצפוי, ודא ששירות Base Filtering Engine (BFE) זמין במכשירים הכלולים ב- Defender for Endpoint.

הפסקת ההכיל של מכשיר

תוכל להפסיק את ההכיל של מכשיר בכל עת.

  1. בחר את המכשיר מתוך רשימת המלאי של המכשירים או פתח את דף המכשיר.

  2. בחר הפצה מכליל מתפריט הפעולה. פעולה זו תשחזר את החיבור של מכשיר זה לרשת.

התייעץ עם מומחה לאיומים

באפשרותך להתייעץ עם מומחה איומים של Microsoft לקבלת תובנות נוספות בנוגע למכשיר שעלול להיחשף לסכנה או שכבר נחשף לסכנה. מומחי איומים של Microsoft להיות מעורבת ישירות מתוך Microsoft 365 Defender לתגובה בזמן ומדויק. מומחים מספקים תובנות לא רק בנוגע למכשיר שעלול להיות בסכנה, אלא גם כדי להבין טוב יותר איומים מורכבים, הודעות תקיפה ממוקדות שאתה מקבל, או אם אתה זקוק למידע נוסף אודות ההתראות, או הקשר בינת איומים שאתה רואה בלוח המחוונים של הפורטל.

ראה התייעץ עם מומחה איומים של Microsoft לקבלת פרטים.

בדוק את פרטי הפעילות במרכז הפעולות

מרכז הפעולות מספק מידע אודות פעולות שבוצעו במכשיר או בקובץ. תוכל להציג את הפרטים הבאים:

  • אוסף חבילות חקירה
  • סריקת אנטי-וירוס
  • הגבלת אפליקציה
  • בידוד מכשיר

כל הפרטים הקשורים האחרים מוצגים גם, לדוגמה, תאריך/שעה לשליחה, שליחת משתמש, ואם הפעולה הצליחה או נכשלה.

מרכז הפעולות עם מידע

למידע נוסף