Megosztás a következőn keresztül:

A Műveletközpont

  • Cikk

Érintett szolgáltatás:

  • Microsoft Defender XDR

A Műveletközpont "egyetlen ablaktábla" felületet biztosít az incidens- és riasztási feladatokhoz, például:

  • Függőben lévő szervizelési műveletek jóváhagyása.
  • A már jóváhagyott szervizelési műveletek auditnaplójának megtekintése.
  • A befejezett szervizelési műveletek áttekintése.

Mivel a Műveletközpont átfogó képet nyújt a munkahelyi Microsoft Defender XDR, a biztonsági üzemeltetési csapat hatékonyabban és hatékonyabban működhet.

Az egyesített műveletközpont

Az egyesített műveletközpont (https://security.microsoft.com/action-center) egy helyen listázza az eszközök függőben lévő és befejezett javítási műveleteit, az e-mail-& az együttműködési tartalmat és az identitásokat.

Az egyesített műveletközpont a Microsoft Defender portálon.

Például:

Az egyesített műveletközpont összefogja a szervizelési műveleteket Végponthoz készült Microsoft Defender és Office 365-höz készült Microsoft Defender. Minden szervizelési művelethez meghatároz egy közös nyelvet, és egységes vizsgálati élményt biztosít. A biztonsági üzemeltetési csapat "egyetlen ablaktábla" felülettel rendelkezik a szervizelési műveletek megtekintéséhez és kezeléséhez.

Az egyesített műveletközpontot akkor használhatja, ha rendelkezik a megfelelő engedélyekkel és az alábbi előfizetések legalább egyével:

Tipp

További információ: Követelmények.

A jóváhagyásra váró műveletek listáját kétféleképpen érheti el:

A Műveletközpont használata

  1. Nyissa meg Microsoft Defender portált, és jelentkezzen be.

  2. A navigációs ablak Műveletek és beküldések területén válassza a Műveletközpont elemet. Vagy az Automatizált vizsgálat & válaszkártyán válassza a Jóváhagyás lehetőséget a Műveletközpontban.

  3. Használja a Függőben lévő műveletek és az Előzmények lapot. Az alábbi táblázat összefoglalja, hogy mit fog látni az egyes lapokon:

    Lapon Leírás
    Függőben lévő Megjeleníti a figyelmet igénylő műveletek listáját. A műveleteket egyenként is jóváhagyhatja vagy elutasíthatja, vagy több műveletet is kijelölhet, ha ugyanazzal a művelettípussal (például Karanténfájl) rendelkeznek.

    Győződjön meg arról, hogy a lehető leghamarabb áttekinti és jóváhagyja (vagy elutasítja) a függőben lévő műveleteket, hogy az automatizált vizsgálatok időben befejeződhessenek.
    Történelem Auditnaplóként szolgál a végrehajtott műveletekhez, például:
    • >Automatizált vizsgálatok eredményeként végrehajtott szervizelési műveletek
    • A gyanús vagy rosszindulatú e-mail-üzeneteken, fájlokon vagy URL-címeken végrehajtott szervizelési műveletek
    • A biztonsági üzemeltetési csapat által jóváhagyott szervizelési műveletek
    • Az élő válasz munkamenetei során végrehajtott parancsok és szervizelési műveletek
    • A víruskereső által végrehajtott szervizelési műveletek


    Lehetővé teszi bizonyos műveletek visszavonását (lásd: Befejezett műveletek visszavonása).

  4. A Műveletközpontban testre szabhatja, rendezheti, szűrheti és exportálhatja az adatokat.

    Képernyőkép a Műveletközpont rendezési, szűrési és testreszabási képességeiről.

    • Jelöljön ki egy oszlopfejlécet az elemek növekvő vagy csökkenő sorrendbe rendezéséhez.
    • Az időszakszűrővel megtekintheti az elmúlt nap, hét, 30 nap vagy 6 hónap adatait.
    • Válassza ki a megtekinteni kívánt oszlopokat.
    • Itt adhatja meg, hogy az egyes adatlapokon hány elem szerepeljen.
    • Szűrők használatával csak a megtekinteni kívánt elemeket tekintheti meg.
    • Válassza az Exportálás lehetőséget az eredmények .csv fájlba való exportálásához.

A Műveletközpontban nyomon követett műveletek

A Műveletközpontban minden művelet nyomon követhető, függetlenül attól, hogy jóváhagyásra várnak-e vagy már végrehajtották őket. Az elérhető műveletek a következők:

  • Vizsgálati csomag összegyűjtése
  • Eszköz elkülönítése (ez a művelet visszavonható)
  • Gép kivezetése
  • Kiadási kód végrehajtása
  • Karanténból való feloldás
  • Minta kérése
  • Kódvégrehajtás korlátozása (ez a művelet visszavonható)
  • Víruskereső futtatása
  • Leállítás és karantén
  • Eszközök elhatárolása a hálózattól

Az automatizált vizsgálatok eredményeként automatikusan végrehajtott szervizelési műveletek mellett a műveletközpont nyomon követi a biztonsági csapat által az észlelt fenyegetések elhárításához végrehajtott műveleteket, valamint a Microsoft Defender XDR fenyegetésvédelmi funkcióinak eredményeként végrehajtott műveleteket is. Az automatikus és manuális szervizelési műveletekkel kapcsolatos további információkért lásd: Szervizelési műveletek.

Műveletforrás részleteinek megtekintése

A továbbfejlesztett Műveletközpont tartalmaz egy Műveletforrás oszlopot, amelyből megtudhatja, honnan származnak az egyes műveletek. Az alábbi táblázat a művelet forrásának lehetséges értékeit ismerteti:

Művelet forrásértéke Leírás
Manuális eszközművelet Egy eszközön végrehajtott manuális művelet. Ilyen például az eszközelkülönítés vagy a fájl karanténba helyezése.
Manuális e-mail-művelet Manuális művelet az e-mailen. Ilyen például az e-mailek helyreállítható törlése vagy az e-mailek szervizelése.
Automatizált eszközművelet Egy entitáson, például egy fájlon vagy folyamaton végrehajtott automatizált művelet. Az automatizált műveletek közé tartozik például egy fájl karanténba helyezése, egy folyamat leállítása és egy beállításkulcs eltávolítása. (Lásd: Szervizelési műveletek a Végponthoz készült Microsoft Defender.)
Automatizált e-mail-művelet Automatikus művelet az e-mail-tartalommal, például e-mail üzenettel, melléklettel vagy URL-címmel kapcsolatban. Az automatizált műveletek közé tartozik például az e-mailek helyreállítható törlése, az URL-címek blokkolása és a külső e-mailek továbbításának kikapcsolása. (Lásd: Szervizelési műveletek a Office 365-höz készült Microsoft Defender.)
Speciális veszélyforrás-keresési művelet Speciális veszélyforrás-kereséssel végzett műveletek az eszközökön vagy e-mailekben.
Explorer-művelet E-mail-tartalommal kapcsolatos műveletek az Explorerrel.
Manuális élő válaszművelet Élő válaszokkal végrehajtott műveletek egy eszközön. Ilyen például egy fájl törlése, egy folyamat leállítása és egy ütemezett feladat eltávolítása.
Élő válaszművelet Az eszközön Végponthoz készült Microsoft Defender API-kkal végrehajtott műveletek. A műveletek közé tartozik például az eszközök elkülönítése, a víruskereső vizsgálat futtatása és a fájlokkal kapcsolatos információk lekérése.

A Műveletközpont feladataihoz szükséges engedélyek

A műveletek végrehajtásához, például a függőben lévő műveletek jóváhagyásához vagy elutasításához a Műveletközpontban meghatározott engedélyekre van szükség. A következő lehetőségek közül választhat:

  • Microsoft Entra engedélyek: Ezek a szerepkörök a microsoft 365 egyéb funkcióihoz szükséges engedélyeket és engedélyeket biztosítják a felhasználóknak:

    • Végponthoz készült Microsoft Defender szervizelés (eszközök): Tagság a biztonsági rendszergazda szerepkörben.

    • Office 365-höz készült Microsoft Defender szervizelés (Office-tartalom és e-mail-cím):

      • Tagság a Biztonsági rendszergazda szerepkörben.

      és

  • Email & együttműködési engedélyeket a Microsoft Defender portálon:

    • Office 365-höz készült Microsoft Defender szervizelés (Office-tartalom és e-mail-cím):

      • Tagság a Biztonsági rendszergazda szerepkörcsoportban

      és

  • Microsoft Defender XDR egyesített szerepköralapú hozzáférés-vezérlés (RBAC)

    • Végponthoz készült Microsoft Defender szervizelés: Biztonsági műveletek \ Biztonsági adatok \ Válasz (kezelés).
    • Office 365-höz készült Microsoft Defender szervizelés (Office-tartalom és e-mail- Email & együttműködés>esetén az engedélyek Aktívak Office 365-höz készült Defender Csak a Defender portált érinti, a PowerShellt nem):
      • Olvasási hozzáférés az e-mailek és a Teams üzenetfejléceihez: Biztonsági műveletek/Nyers adatok (e-mail & együttműködés)/Email & együttműködési metaadatok (olvasás).
      • Rosszindulatú e-mailek szervizelése: Biztonsági műveletek/Biztonsági adatok/Email & együttműködés speciális műveletei (kezelése).

    Tipp

    A Biztonsági rendszergazda szerepkörcsoport tagsága Email & együttműködési engedélyek nem biztosítanak hozzáférést a Műveletközponthoz vagy Microsoft Defender XDR képességekhez. Ezek esetében a biztonsági rendszergazda szerepkör tagjának kell lennie Microsoft Entra engedélyekben.

  • Végponthoz készült Defender engedélyei:

    • Végponthoz készült Microsoft Defender szervizelés (eszközök): Tagság az Aktív szervizelési műveletek szerepkörben.

Tipp

A Microsoft Entra ID globális rendszergazdai szerepkörének tagjai jóváhagyhatnak vagy elutasíthatnak minden függőben lévő műveletet a Műveletközpontban. Ajánlott eljárásként azonban korlátoznia kell a globális rendszergazdai szerepkör tagjait. Javasoljuk, hogy az előző listában ismertetett alternatív szerepköröket és szerepkörcsoportokat használja a Műveletközpont engedélyeihez.

További lépés

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.