Szervizelési műveletek áttekintése automatizált vizsgálatot követően

Érintett szolgáltatás:

• Végponthoz készült Microsoft Defender 2. csomag
• Microsoft Defender Vállalati verzió

Szervizelési műveletek

Az automatizált vizsgálat futtatásakor minden vizsgált bizonyítékhoz létre lesz hozva egy ítélet. Az ítéletek lehetnek rosszindulatúak, gyanúsak vagy nem találhatók fenyegetések.

Függően

• a fenyegetés típusa,
• az eredményként kapott ítéletet, és
• a szervezet eszközcsoportjai konfigurálásának módját,

a szervizelési műveletek automatikusan vagy csak a szervezet biztonsági üzemeltetési csapatának jóváhagyásával hajthatók végre.

Megjegyzés:

Az eszközcsoport létrehozása a Végponthoz készült Defender 1. és 2. csomagjában támogatott.

Íme néhány példa:

• 1. példa: A Fabrikam eszközcsoportjai a Teljes – fenyegetések automatikus elhárítása (az ajánlott beállítás) értékre vannak állítva. Ebben az esetben a rendszer automatikusan elvégzi a javítási műveleteket az olyan összetevők esetében, amelyek egy automatizált vizsgálat után rosszindulatúnak minősülnek (lásd: Befejezett műveletek áttekintése).

• 2. példa: A Contoso eszközei olyan eszközcsoportba tartoznak, amely félbe van állítva – minden szervizeléshez jóváhagyás szükséges. Ebben az esetben a Contoso biztonsági üzemeltetési csapatának át kell tekintenie és jóvá kell hagynia az összes javítási műveletet egy automatizált vizsgálat után (lásd : Függőben lévő műveletek áttekintése).

• 3. példa: A Tailspin Toys eszközcsoportja Nincs automatizált válasz (nem ajánlott) értékre van állítva. Ebben az esetben nem történik automatikus vizsgálat. Nincsenek javítási műveletek vagy függőben, és a műveletközpont nem naplózza a műveleteket az eszközeiken (lásd: Eszközcsoportok kezelése).

Akár automatikusan, akár jóváhagyáskor történik, az automatikus vizsgálat és szervizelés egy vagy több javítási műveletet eredményezhet:

• Fájl karanténba helyezése
• Beállításkulcs eltávolítása
• Folyamat leállítása
• Szolgáltatás leállítása
• Illesztőprogram letiltása
• Ütemezett tevékenység eltávolítása

Függőben lévő műveletek áttekintése

1. Nyissa meg a Microsoft Defender portált, és jelentkezzen be.

2. A navigációs ablakban válassza a Műveletközpont lehetőséget.

3. Tekintse át az elemeket a Függőben lapon.

4. Válasszon ki egy műveletet az úszó panel megnyitásához.

5. Az úszó panelen tekintse át az információkat, majd hajtsa végre az alábbi lépések egyikét:

   • Válassza a Vizsgálat lap megnyitása lehetőséget a vizsgálat további részleteinek megtekintéséhez.
   • Függőben lévő művelet elindításához válassza a Jóváhagyás lehetőséget.
   • A függőben lévő művelet végrehajtásának megakadályozásához válassza az Elutasítás lehetőséget.
   • Válassza a Keresés megnyitása lehetőséget a Speciális veszélyforrás-kereséshez.

Szervizelési műveletek jóváhagyása vagy elutasítása

A Függőben jóváhagyásra váró javítási állapotú incidensek esetén az incidensen belülről is jóváhagyhat vagy elutasíthat javítási műveletet.

1. A navigációs panelen lépjen az Incidensek & riasztások>Incidensek elemre.
2. Szűrjön a Függőben műveletre az Automatizált vizsgálat állapota esetén (nem kötelező).
3. Válassza ki az incidens nevét az összefoglaló oldal megnyitásához.
4. Válassza a Bizonyíték és válasz lapot.
5. Jelöljön ki egy elemet a listában az úszó panel megnyitásához.
6. Tekintse át az információkat, majd hajtsa végre az alábbi lépések egyikét:
   • Függőben lévő művelet elindításához válassza a Függőben lévő művelet jóváhagyása lehetőséget.
   • Válassza a Függőben lévő művelet elutasítása lehetőséget a függőben lévő művelet végrehajtásának megakadályozásához.

Befejezett műveletek áttekintése

1. Nyissa meg a Microsoft Defender portált, és jelentkezzen be.

2. A navigációs ablakban válassza a Műveletközpont lehetőséget.

3. Tekintse át az Előzmények lapon található elemeket.

4. Jelöljön ki egy elemet a javítási művelet további részleteinek megtekintéséhez.

Befejezett műveletek visszavonása

Ha megállapította, hogy egy eszköz vagy fájl nem fenyegetés, visszavonhatja a végrehajtott szervizelési műveleteket, függetlenül attól, hogy ezeket a műveleteket automatikusan vagy manuálisan hajtották-e végre. A Műveletközpont Előzmények lapján az alábbi műveletek bármelyikét visszavonhatja:

Művelet forrása	Támogatott műveletek
Automatizált vizsgálat Manuális válaszműveletek (lásd az alábbi megjegyzést) Microsoft Defender víruskereső	Illesztőprogram letiltása Eszköz elkülönítése Fájl karanténba helyezése Beállításkulcs eltávolítása Ütemezett tevékenység eltávolítása Kódvégrehajtás korlátozása Szolgáltatás leállítása

Megjegyzés:

A Végponthoz készült Defender 1. csomagja és Microsoft Defender Vállalati verzió csak a következő manuális válaszműveleteket tartalmazzák:

• Víruskereső futtatása
• Eszköz elkülönítése
• Fájl leállítása és karanténba helyezése
• Mutató hozzáadása egy fájl letiltásához vagy engedélyezéséhez

Egyszerre több művelet visszavonása

1. Lépjen a Műveletközpontba (https://security.microsoft.com/action-center), és jelentkezzen be.

2. Az Előzmények lapon válassza ki a visszavonni kívánt műveleteket. Ügyeljen arra, hogy azonos művelettípusú elemeket jelöljön ki. Ekkor megnyílik egy úszó panel.

3. Az úszó panelen válassza a Visszavonás lehetőséget.

Fájl eltávolítása több eszköz karanténjából

1. Lépjen a Műveletközpontba (https://security.microsoft.com/action-center), és jelentkezzen be.

2. Az Előzmények lapon válasszon ki egy elemet, amelynek Művelet típusa Karantén fájl.

3. Az úszó panelen válassza az Alkalmaz a fájl további X példányára lehetőséget, majd válassza a Visszavonás lehetőséget.

Automatizálási szintek, automatizált vizsgálati eredmények és az eredményként kapott műveletek

Az automatizálási szintek befolyásolják, hogy bizonyos szervizelési műveletek végrehajtása automatikusan vagy csak jóváhagyáskor történik-e. Előfordulhat, hogy a biztonsági üzemeltetési csapatnak több lépést kell elvégeznie az automatizált vizsgálat eredményeitől függően. Az alábbi táblázat összefoglalja az automatizálási szinteket, az automatizált vizsgálatok eredményeit és az egyes esetekben teendőket.

Eszközcsoport-beállítás	Automatizált vizsgálati eredmények	Teendők
Teljes – a fenyegetések automatikus elhárítása (ajánlott)	Egy rosszindulatú ítéletet kell hozni egy bizonyíték miatt. A rendszer automatikusan elvégzi a megfelelő javítási műveleteket.	Befejezett műveletek áttekintése
Részben – jóváhagyást igényel minden szervizeléshez	A rosszindulatú vagya gyanús ítéletet egy bizonyítékra vonatkozóan állapítják meg. A javítási műveletek jóváhagyásra várnak a folytatáshoz.	Függőben lévő műveletek jóváhagyása (vagy elutasítása)
Részben – jóváhagyás szükséges az alapvető mappák szervizeléséhez	Egy rosszindulatú ítéletet kell hozni egy bizonyíték miatt. Ha az összetevő egy fájl vagy végrehajtható fájl, és egy operációsrendszer-könyvtárban található, például a Windows mappában vagy a Program files mappájában, akkor a javítási műveletek jóváhagyásra várnak. Ha az összetevő nem egy operációsrendszer-könyvtárban található, a rendszer automatikusan elvégzi a javítási műveleteket.	Függőben lévő műveletek jóváhagyása (vagy elutasítása) Befejezett műveletek áttekintése
Részben – jóváhagyás szükséges az alapvető mappák szervizeléséhez	Gyanús ítélet született egy bizonyíték miatt. A szervizelési műveletek jóváhagyásra várnak.	Függőben lévő műveletek jóváhagyása (vagy elutasítása).
Részben – jóváhagyás szükséges a nem ideiglenes mappák szervizeléséhez	Egy rosszindulatú ítéletet kell hozni egy bizonyíték miatt. Ha az összetevő olyan fájl vagy végrehajtható fájl, amely nem ideiglenes mappában található, például a felhasználó letöltési mappájában vagy ideiglenes mappájában, a javítási műveletek jóváhagyásra várnak. Ha az összetevő egy ideiglenes mappában található fájl vagy végrehajtható fájl, a rendszer automatikusan elvégzi a javítási műveleteket.	Függőben lévő műveletek jóváhagyása (vagy elutasítása) Befejezett műveletek áttekintése
Részben – jóváhagyás szükséges a nem ideiglenes mappák szervizeléséhez	Gyanús ítélet született egy bizonyíték miatt. A szervizelési műveletek jóváhagyásra várnak.	Függőben lévő műveletek jóváhagyása (vagy elutasítása)
A Teljes vagy a Részben automatizálási szint bármelyike	Egy bizonyíték miatt nem található fenyegetésről szóló ítélet. A rendszer nem hajt végre javítási műveleteket, és nem vár jóváhagyásra.	Automatizált vizsgálatok részleteinek és eredményeinek megtekintése
Nincs automatizált válasz (nem ajánlott)	Nem futnak automatizált vizsgálatok, ezért nem születik ítélet, és nem hajtanak végre javítási műveleteket, és nem várnak jóváhagyásra.	Fontolja meg az eszközcsoportok beállítását vagy módosítását teljes vagy részbeni automatizálás használatára

Az összes ítélet nyomon követhető a Műveletközpontban.

Megjegyzés:

A Defender Vállalati verzióban az automatikus vizsgálati és javítási képességek előre be vannak állítva a Teljes – fenyegetések automatikus szervizelése funkció használatához. Ezek a képességek alapértelmezés szerint minden eszközre érvényesek.

Következő lépések

• Az élő válaszképességek ismertetése
• Proaktív veszélyforrás-keresés fejlett veszélyforrás-kereséssel
• A végponthoz készült Microsoft Defenderben észlelt téves pozitív/negatív eredmények kezelése

Lásd még

• Az automatizált vizsgálatok áttekintése

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.