Share via

Művelet végrehajtása speciális keresési lekérdezési eredményeken

  • Cikk

Érintett szolgáltatás:

  • Microsoft Defender XDR

Fontos

A cikkben található információk egy része egy előzetesen kiadott termékre vonatkozik, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal kifejezett vagy hallgatólagos szavatosságot az itt megadott információkra vonatkozóan.

Hatékony és átfogó műveletekkel gyorsan elháríthatja a veszélyforrásokat, vagy elháríthatja a speciális veszélyforrás-keresés során talált sérült eszközöket. Az alábbi lehetőségek közül választhat:

  • Különböző műveletek végrehajtása az eszközökön
  • Fájlok karanténba helyezése

Szükséges engedélyek

Ahhoz, hogy speciális veszélyforrás-kereséssel műveleteket hajtson végre az eszközökön, szüksége van egy szerepkörre Végponthoz készült Microsoft Defender, amely jogosult szervizelési műveletek küldésére az eszközökön. Ha nem tud lépéseket tenni, forduljon egy globális rendszergazdához a következő engedély beszerzéséhez:

Aktív szervizelési műveletek > Fenyegetés- és biztonságirés-kezelés – Szervizelés kezelése

Ha speciális veszélyforrás-kereséssel szeretne műveletet végezni az e-maileken, az e-mailek kereséséhez és törléséhez Office 365-höz készült Microsoft Defender szerepkörre van szüksége.

Különböző műveletek végrehajtása az eszközökön

A következő műveleteket hajthatja végre a lekérdezési eredmények oszlopa által DeviceId azonosított eszközökön:

  • Izolálja az érintett eszközöket, hogy fertőzést tartalmazzanak, vagy megakadályozzák a támadások oldalirányú mozgását
  • Vizsgálati csomag összegyűjtése további kriminalisztikai információk beszerzéséhez
  • Víruskeresés futtatása a fenyegetések kereséséhez és eltávolításához a legújabb biztonságiintelligencia-frissítésekkel
  • Automatizált vizsgálat kezdeményezése az eszközön és esetleg más érintett eszközökön található fenyegetések ellenőrzéséhez és elhárításához
  • Az alkalmazás végrehajtásának korlátozása csak a Microsoft által aláírt végrehajtható fájlokra, ezzel megelőzve a kártevők vagy más nem megbízható végrehajtható fájlok további fenyegetésekkel kapcsolatos tevékenységét

Ha többet szeretne megtudni arról, hogyan hajtják végre ezeket a válaszműveleteket Végponthoz készült Microsoft Defender, olvassa el az eszközök válaszműveleteiről szóló cikket.

Fájlok karanténba helyezése

A karanténműveletet telepítheti a fájlokon, így azok automatikusan karanténba kerülnek, amikor a rendszer észleli őket. A művelet kiválasztásakor a következő oszlopok közül választhat a karanténba helyezendő lekérdezési eredményekben szereplő fájlok azonosításához:

  • SHA1: A legtöbb speciális veszélyforrás-keresési táblában ez az oszlop a rögzített művelet által érintett fájl SHA-1-re hivatkozik. Ha például átmásolt egy fájlt, ez az érintett fájl lesz a másolt fájl.
  • InitiatingProcessSHA1: A legtöbb speciális veszélyforrás-keresési táblában ez az oszlop a rögzített művelet elindításáért felelős fájlra hivatkozik. Ha például gyermekfolyamatot indítanak el, ez a kezdeményezőfájl a szülőfolyamat része lesz.
  • SHA256: Ez az oszlop az oszlop által SHA1 azonosított fájl SHA-256 megfelelője.
  • InitiatingProcessSHA256: Ez az oszlop az oszlop által InitiatingProcessSHA1 azonosított fájl SHA-256 megfelelője.

A karanténműveletekkel és a fájlok visszaállításával kapcsolatos további információkért olvassa el a fájlokkal kapcsolatos válaszműveleteket.

Megjegyzés:

A fájlok megkereséséhez és karanténba helyezésükhöz a lekérdezés eredményeinek eszközazonosítóként is tartalmazniuk DeviceId kell az értékeket.

A leírt műveletek bármelyikének elvégzéséhez jelöljön ki egy vagy több rekordot a lekérdezés eredményei között, majd válassza a Műveletek végrehajtása lehetőséget. A varázsló végigvezeti a kiválasztott műveletek kiválasztásának és elküldésének folyamatán.

Műveletek végrehajtása lehetőség a Microsoft Defender portálon

Különböző műveletek végrehajtása az e-maileken

Az eszközközpontú szervizelési lépéseken kívül a lekérdezés eredményeiből származó e-maileken is végezhet bizonyos műveleteket. Jelölje ki azokat a rekordokat, amelyeken műveletet szeretne végrehajtani, válassza a Műveletek végrehajtása lehetőséget, majd a Műveletek kiválasztása területen válassza ki a kívánt elemet a következők közül:

  • Move to mailbox folder – ezzel a beállítással áthelyezheti az e-maileket a Levélszemét, a Beérkezett üzenetek vagy a Törölt elemek mappába

    A Műveletek végrehajtása a Microsoft Defender portálon lehetőség

  • Delete email – ezzel a beállítással áthelyezheti az e-maileket a Törölt elemek mappába (helyreállítható törlés), vagy véglegesen törölheti őket (végleges törlés)

    A Műveletek végrehajtása lehetőség a Microsoft Defender portálon

Megadhat egy szervizelési nevet és egy rövid leírást is a műveletközpont előzményeiben való egyszerű nyomon követés érdekében. A Műveletközpontban a Jóváhagyási azonosítóval is szűrhet ezekre a műveletekre. Ezt az azonosítót a varázsló végén adták meg:

Műveletek végrehajtása varázsló az entitások kiválasztási műveleteivel

Ezek az e-mail-műveletek egyéni észlelésekre is érvényesek.

A végrehajtott műveletek áttekintése

Minden műveletet külön rögzít a műveletközpont Műveletközpont>előzményei (security.microsoft.com/action-center/history) területén. Az egyes műveletek állapotának ellenőrzéséhez lépjen a műveletközpontba.

Megjegyzés:

Előfordulhat, hogy a cikkben szereplő táblák némelyike nem érhető el Végponthoz készült Microsoft Defender. Kapcsolja be a Microsoft Defender XDR, hogy több adatforrással keressen fenyegetéseket. A speciális veszélyforrás-keresési munkafolyamatokat Végponthoz készült Microsoft Defender-ról Microsoft Defender XDR-ra helyezheti át a speciális veszélyforrás-keresési lekérdezések áttelepítése Végponthoz készült Microsoft Defender.

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.