Művelet végrehajtása speciális keresési lekérdezési eredményeken
Érintett szolgáltatás:
- Microsoft Defender XDR
Fontos
A cikkben található információk egy része egy előzetesen kiadott termékre vonatkozik, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal kifejezett vagy hallgatólagos szavatosságot az itt megadott információkra vonatkozóan.
Hatékony és átfogó műveletekkel gyorsan elháríthatja a veszélyforrásokat, vagy elháríthatja a speciális veszélyforrás-keresés során talált sérült eszközöket. Az alábbi lehetőségek közül választhat:
- Különböző műveletek végrehajtása az eszközökön
- Fájlok karanténba helyezése
Szükséges engedélyek
Ahhoz, hogy speciális veszélyforrás-kereséssel műveleteket hajtson végre az eszközökön, a Végponthoz készült Microsoft Defenderben olyan szerepkörre van szüksége, amely jogosult szervizelési műveletek küldésére az eszközökön.
Fontos
A Microsoft azt javasolja, hogy a legkevesebb engedéllyel rendelkező szerepköröket használja. Ez segít a szervezet biztonságának javításában. A globális rendszergazda egy kiemelt jogosultságokkal rendelkező szerepkör, amelyet vészhelyzeti helyzetekre kell korlátozni, ha nem használhat meglévő szerepkört.
Ha nem tud lépéseket tenni, forduljon egy globális rendszergazdához a következő engedély beszerzéséhez:
Aktív szervizelési műveletek > Fenyegetés- és biztonságirés-kezelés – Szervizelés kezelése
Ha speciális veszélyforrás-kereséssel szeretne műveletet végezni az e-maileken, az Office 365-höz készült Microsoft Defenderben szerepkörre van szüksége az e-mailek kereséséhez és törléséhez.
Különböző műveletek végrehajtása az eszközökön
A következő műveleteket hajthatja végre a lekérdezési eredmények oszlopa által DeviceId
azonosított eszközökön:
- Izolálja az érintett eszközöket, hogy fertőzést tartalmazzanak, vagy megakadályozzák a támadások oldalirányú mozgását
- Vizsgálati csomag összegyűjtése további kriminalisztikai információk beszerzéséhez
- Víruskeresés futtatása a fenyegetések kereséséhez és eltávolításához a legújabb biztonságiintelligencia-frissítésekkel
- Automatizált vizsgálat kezdeményezése az eszközön és esetleg más érintett eszközökön található fenyegetések ellenőrzéséhez és elhárításához
- Az alkalmazás végrehajtásának korlátozása csak a Microsoft által aláírt végrehajtható fájlokra, ezzel megelőzve a kártevők vagy más nem megbízható végrehajtható fájlok további fenyegetésekkel kapcsolatos tevékenységét
Ha többet szeretne megtudni arról, hogyan hajthatók végre ezek a válaszműveletek a Végponthoz készült Microsoft Defenderben, olvassa el az eszközökre vonatkozó válaszműveleteket ismertető cikket.
Fájlok karanténba helyezése
A karanténműveletet telepítheti a fájlokon, így azok automatikusan karanténba kerülnek, amikor a rendszer észleli őket. A művelet kiválasztásakor a következő oszlopok közül választhat a karanténba helyezendő lekérdezési eredményekben szereplő fájlok azonosításához:
-
SHA1
: A legtöbb speciális veszélyforrás-keresési táblában ez az oszlop a rögzített művelet által érintett fájl SHA-1-re hivatkozik. Ha például átmásolt egy fájlt, ez az érintett fájl lesz a másolt fájl. -
InitiatingProcessSHA1
: A legtöbb speciális veszélyforrás-keresési táblában ez az oszlop a rögzített művelet elindításáért felelős fájlra hivatkozik. Ha például gyermekfolyamatot indítanak el, ez a kezdeményezőfájl a szülőfolyamat része lesz. -
SHA256
: Ez az oszlop az oszlop általSHA1
azonosított fájl SHA-256 megfelelője. -
InitiatingProcessSHA256
: Ez az oszlop az oszlop általInitiatingProcessSHA1
azonosított fájl SHA-256 megfelelője.
A karanténműveletekkel és a fájlok visszaállításával kapcsolatos további információkért olvassa el a fájlokkal kapcsolatos válaszműveleteket.
Megjegyzés:
A fájlok megkereséséhez és karanténba helyezésükhöz a lekérdezés eredményeinek eszközazonosítóként is tartalmazniuk DeviceId
kell az értékeket.
A leírt műveletek bármelyikének elvégzéséhez jelöljön ki egy vagy több rekordot a lekérdezés eredményei között, majd válassza a Műveletek végrehajtása lehetőséget. Egy varázsló végigvezeti a kiválasztott műveletek kiválasztásának és elküldésének folyamatán.
Különböző műveletek végrehajtása az e-maileken
Az eszközközpontú szervizelési lépéseken kívül a lekérdezés eredményeiből származó e-maileken is végezhet bizonyos műveleteket. Jelölje ki azokat a rekordokat, amelyeken műveletet szeretne végrehajtani, válassza a Műveletek végrehajtása lehetőséget, majd a Műveletek kiválasztása területen válassza ki a kívánt elemet a következők közül:
Move to mailbox folder
– ezt a műveletet választva áthelyezheti az e-maileket a Levélszemét, a Beérkezett üzenetek vagy a Törölt elemek mappábaVegye figyelembe, hogy a Beérkezett üzenetek lehetőséget választva áthelyezheti a karanténba helyezett elemekből álló e-mail-eredményeket (például hamis pozitív üzenetek esetén).
Delete email
– ezt a műveletet választva áthelyezheti az e-maileket a Törölt elemek mappába (helyreállítható törlés), vagy véglegesen törölheti őket (végleges törlés)A Helyreállítható törlés lehetőség kiválasztásával automatikusan helyreállítható módon törli az üzeneteket a feladó Elküldött elemek mappájából, ha a feladó a szervezet tagja.
A feladó példányának automatikus helyreállítható törlése a és
EmailPostDeliveryEvents
aEmailEvents
táblát használó eredményekhez érhető el, aUrlClickEvents
táblával nem. Ezenkívül az eredménynek tartalmaznia kell a műveletbeállításhoz tartozó oszlopokat ésSenderFromAddress
oszlopokatEmailDirection
, hogy megjelenjenek a Műveletek végrehajtása varázslóban. A feladó másolásának törlése a szervezeten belüli e-mailekre és a kimenő e-mailekre vonatkozik, biztosítva, hogy csak a feladó másolata legyen helyreállíthatóan törölve ezekhez az e-mailekhez. A bejövő üzenetek hatókörén kívül vannak.Tekintse meg referenciaként a következő lekérdezést:
EmailEvents | where ThreatTypes contains "spam" | project NetworkMessageId,RecipientEmailAddress, EmailDirection, SenderFromAddress, LatestDeliveryAction,LatestDeliveryLocation
Megadhat egy szervizelési nevet és egy rövid leírást is a műveletközpont előzményeiben való egyszerű nyomon követés érdekében. A Műveletközpontban a Jóváhagyási azonosítóval is szűrhet ezekre a műveletekre. Ezt az azonosítót a varázsló végén adták meg:
Ezek az e-mail-műveletek egyéni észlelésekre is érvényesek.
A végrehajtott műveletek áttekintése
Minden műveletet külön rögzít a műveletközpont Műveletközpont>előzményei (security.microsoft.com/action-center/history) területén. Az egyes műveletek állapotának ellenőrzéséhez lépjen a műveletközpontba.
Megjegyzés:
Előfordulhat, hogy a cikkben szereplő táblák némelyike nem érhető el a Végponthoz készült Microsoft Defenderben. Kapcsolja be a Microsoft Defender XDR-t , hogy több adatforrás használatával keressen fenyegetéseket. A speciális veszélyforrás-keresési munkafolyamatokat a Végponthoz készült Microsoft Defenderből a Microsoft Defender XDR-be helyezheti át a Speciális veszélyforrás-keresési lekérdezések migrálása a Végponthoz készült Microsoft Defenderből című cikk lépéseit követve.
Kapcsolódó cikkek
- Speciális veszélyforrás-keresés áttekintése
- Lekérdezés nyelvének megismerése
- A lekérdezés eredményeinek használata
- A séma értelmezése
- A Műveletközpont áttekintése
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.