Megosztás a következőn keresztül:


Művelet végrehajtása speciális keresési lekérdezési eredményeken

Érintett szolgáltatás:

  • Microsoft Defender XDR

Fontos

A cikkben található információk egy része egy előzetesen kiadott termékre vonatkozik, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal kifejezett vagy hallgatólagos szavatosságot az itt megadott információkra vonatkozóan.

Hatékony és átfogó műveletekkel gyorsan elháríthatja a veszélyforrásokat, vagy elháríthatja a speciális veszélyforrás-keresés során talált sérült eszközöket. Az alábbi lehetőségek közül választhat:

  • Különböző műveletek végrehajtása az eszközökön
  • Fájlok karanténba helyezése

Szükséges engedélyek

Ahhoz, hogy speciális veszélyforrás-kereséssel műveleteket hajtson végre az eszközökön, a Végponthoz készült Microsoft Defenderben olyan szerepkörre van szüksége, amely jogosult szervizelési műveletek küldésére az eszközökön.

Fontos

A Microsoft azt javasolja, hogy a legkevesebb engedéllyel rendelkező szerepköröket használja. Ez segít a szervezet biztonságának javításában. A globális rendszergazda egy kiemelt jogosultságokkal rendelkező szerepkör, amelyet vészhelyzeti helyzetekre kell korlátozni, ha nem használhat meglévő szerepkört.

Ha nem tud lépéseket tenni, forduljon egy globális rendszergazdához a következő engedély beszerzéséhez:

Aktív szervizelési műveletek > Fenyegetés- és biztonságirés-kezelés – Szervizelés kezelése

Ha speciális veszélyforrás-kereséssel szeretne műveletet végezni az e-maileken, az Office 365-höz készült Microsoft Defenderben szerepkörre van szüksége az e-mailek kereséséhez és törléséhez.

Különböző műveletek végrehajtása az eszközökön

A következő műveleteket hajthatja végre a lekérdezési eredmények oszlopa által DeviceId azonosított eszközökön:

  • Izolálja az érintett eszközöket, hogy fertőzést tartalmazzanak, vagy megakadályozzák a támadások oldalirányú mozgását
  • Vizsgálati csomag összegyűjtése további kriminalisztikai információk beszerzéséhez
  • Víruskeresés futtatása a fenyegetések kereséséhez és eltávolításához a legújabb biztonságiintelligencia-frissítésekkel
  • Automatizált vizsgálat kezdeményezése az eszközön és esetleg más érintett eszközökön található fenyegetések ellenőrzéséhez és elhárításához
  • Az alkalmazás végrehajtásának korlátozása csak a Microsoft által aláírt végrehajtható fájlokra, ezzel megelőzve a kártevők vagy más nem megbízható végrehajtható fájlok további fenyegetésekkel kapcsolatos tevékenységét

Ha többet szeretne megtudni arról, hogyan hajthatók végre ezek a válaszműveletek a Végponthoz készült Microsoft Defenderben, olvassa el az eszközökre vonatkozó válaszműveleteket ismertető cikket.

Fájlok karanténba helyezése

A karanténműveletet telepítheti a fájlokon, így azok automatikusan karanténba kerülnek, amikor a rendszer észleli őket. A művelet kiválasztásakor a következő oszlopok közül választhat a karanténba helyezendő lekérdezési eredményekben szereplő fájlok azonosításához:

  • SHA1: A legtöbb speciális veszélyforrás-keresési táblában ez az oszlop a rögzített művelet által érintett fájl SHA-1-re hivatkozik. Ha például átmásolt egy fájlt, ez az érintett fájl lesz a másolt fájl.
  • InitiatingProcessSHA1: A legtöbb speciális veszélyforrás-keresési táblában ez az oszlop a rögzített művelet elindításáért felelős fájlra hivatkozik. Ha például gyermekfolyamatot indítanak el, ez a kezdeményezőfájl a szülőfolyamat része lesz.
  • SHA256: Ez az oszlop az oszlop által SHA1 azonosított fájl SHA-256 megfelelője.
  • InitiatingProcessSHA256: Ez az oszlop az oszlop által InitiatingProcessSHA1 azonosított fájl SHA-256 megfelelője.

A karanténműveletekkel és a fájlok visszaállításával kapcsolatos további információkért olvassa el a fájlokkal kapcsolatos válaszműveleteket.

Megjegyzés:

A fájlok megkereséséhez és karanténba helyezésükhöz a lekérdezés eredményeinek eszközazonosítóként is tartalmazniuk DeviceId kell az értékeket.

A leírt műveletek bármelyikének elvégzéséhez jelöljön ki egy vagy több rekordot a lekérdezés eredményei között, majd válassza a Műveletek végrehajtása lehetőséget. Egy varázsló végigvezeti a kiválasztott műveletek kiválasztásának és elküldésének folyamatán.

Képernyőkép a Műveletek végrehajtása lehetőségről a Microsoft Defender portálon.

Különböző műveletek végrehajtása az e-maileken

Az eszközközpontú szervizelési lépéseken kívül a lekérdezés eredményeiből származó e-maileken is végezhet bizonyos műveleteket. Jelölje ki azokat a rekordokat, amelyeken műveletet szeretne végrehajtani, válassza a Műveletek végrehajtása lehetőséget, majd a Műveletek kiválasztása területen válassza ki a kívánt elemet a következők közül:

  • Move to mailbox folder – ezt a műveletet választva áthelyezheti az e-maileket a Levélszemét, a Beérkezett üzenetek vagy a Törölt elemek mappába

    Vegye figyelembe, hogy a Beérkezett üzenetek lehetőséget választva áthelyezheti a karanténba helyezett elemekből álló e-mail-eredményeket (például hamis pozitív üzenetek esetén).

    Képernyőkép a Beérkezett üzenetek lehetőségről a Műveletek végrehajtása panelen a Microsoft Defender portálon.

  • Delete email – ezt a műveletet választva áthelyezheti az e-maileket a Törölt elemek mappába (helyreállítható törlés), vagy véglegesen törölheti őket (végleges törlés)

    A Helyreállítható törlés lehetőség kiválasztásával automatikusan helyreállítható módon törli az üzeneteket a feladó Elküldött elemek mappájából, ha a feladó a szervezet tagja.

    Képernyőkép a Műveletek végrehajtása lehetőségről a Microsoft Defender portálon.

    A feladó példányának automatikus helyreállítható törlése a és EmailPostDeliveryEvents a EmailEvents táblát használó eredményekhez érhető el, a UrlClickEvents táblával nem. Ezenkívül az eredménynek tartalmaznia kell a műveletbeállításhoz tartozó oszlopokat és SenderFromAddress oszlopokatEmailDirection, hogy megjelenjenek a Műveletek végrehajtása varázslóban. A feladó másolásának törlése a szervezeten belüli e-mailekre és a kimenő e-mailekre vonatkozik, biztosítva, hogy csak a feladó másolata legyen helyreállíthatóan törölve ezekhez az e-mailekhez. A bejövő üzenetek hatókörén kívül vannak.

    Tekintse meg referenciaként a következő lekérdezést:

    EmailEvents
    | where ThreatTypes contains "spam"
    | project NetworkMessageId,RecipientEmailAddress, EmailDirection, SenderFromAddress, LatestDeliveryAction,LatestDeliveryLocation
    

Megadhat egy szervizelési nevet és egy rövid leírást is a műveletközpont előzményeiben való egyszerű nyomon követés érdekében. A Műveletközpontban a Jóváhagyási azonosítóval is szűrhet ezekre a műveletekre. Ezt az azonosítót a varázsló végén adták meg:

Műveletek végrehajtása varázsló az entitások kiválasztási műveleteivel

Ezek az e-mail-műveletek egyéni észlelésekre is érvényesek.

A végrehajtott műveletek áttekintése

Minden műveletet külön rögzít a műveletközpont Műveletközpont>előzményei (security.microsoft.com/action-center/history) területén. Az egyes műveletek állapotának ellenőrzéséhez lépjen a műveletközpontba.

Megjegyzés:

Előfordulhat, hogy a cikkben szereplő táblák némelyike nem érhető el a Végponthoz készült Microsoft Defenderben. Kapcsolja be a Microsoft Defender XDR-t , hogy több adatforrás használatával keressen fenyegetéseket. A speciális veszélyforrás-keresési munkafolyamatokat a Végponthoz készült Microsoft Defenderből a Microsoft Defender XDR-be helyezheti át a Speciális veszélyforrás-keresési lekérdezések migrálása a Végponthoz készült Microsoft Defenderből című cikk lépéseit követve.

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.