A műveletközpont használata

  • 14 perc

Műveletközpont

A Microsoft Defender portál egyesített műveletközpontja felsorolja az eszközök függőben lévő és befejezett szervizelési műveleteit, az e-mail- és együttműködési tartalmakat és az identitásokat egy helyen.

Az egyesített műveletközpont a Végponthoz készült Defender és Office 365-höz készült Defender szervizelési műveleteit egyesíti. Meghatározza az összes szervizelési művelet közös nyelvét, és egységes vizsgálati felületet biztosít. A biztonsági üzemeltetési csapat "egyetlen üvegablak" felülettel rendelkezik a szervizelési műveletek megtekintéséhez és kezeléséhez.

A Műveletközpont függőben lévő és előzményelemekből áll:

  • A függőben lévők a figyelmet igénylő folyamatban lévő vizsgálatok listáját jelenítik meg. Az ajánlott műveletek megjelennek, amelyeket a biztonsági műveleti csapat jóváhagyhat vagy elutasíthat. A Függőben lap csak akkor jelenik meg, ha függőben lévő műveleteket kell jóváhagyni (vagy elutasítani).

  • Az előzmények naplózási naplóként az alábbi elemek mindegyikéhez:

    • Automatizált vizsgálat eredményeként végrehajtott szervizelési műveletek

    • A biztonsági műveleti csapat által jóváhagyott szervizelési műveletek (egyes műveletek, például egy fájl karanténba küldése, visszavonhatók)

    • Az élő válasz munkamenetekben alkalmazott futtatási és szervizelési műveletek parancsai (egyes műveletek visszavonhatók)

    • A Microsoft Defender víruskereső által alkalmazott szervizelési műveletek (egyes műveletek visszavonhatók)

Válassza az Automatikus vizsgálat, majd a Műveletközpont lehetőséget.

Screenshot of the Microsoft Defender XDR Action center.

Ha automatizált vizsgálat fut, a rendszer ítéletet hoz létre minden vizsgált bizonyítékhoz. Az ítéletek lehetnek rosszindulatúak, gyanúsak vagy nem találhatók fenyegetések a következőtől függően:

  • A fenyegetés típusa

  • Eredményként kapott ítélet

  • A szervezet eszközcsoportjainak konfigurálása

A szervizelési műveletek automatikusan vagy csak a szervezet biztonsági üzemeltetési csapatának jóváhagyásával végezhetők el.

Függőben lévő műveletek áttekintése

Függőben lévő művelet jóváhagyása vagy elutasítása:

  • Jelöljön ki egy elemet a Függőben lapon.

  • Válasszon ki egy vizsgálatot bármelyik kategóriából egy panel megnyitásához, ahol jóváhagyhatja vagy elutasíthatja a szervizelési műveleteket.

Egyéb részletek, például fájl- vagy szolgáltatásadatok, vizsgálati adatok és riasztási adatok jelennek meg. A panelen a Vizsgálat megnyitása lap hivatkozásra kattintva megtekintheti a vizsgálat részleteit. Több vizsgálatot is kijelölhet, ha több vizsgálat műveleteit szeretné jóváhagyni vagy elutasítani.

Befejezett műveletek áttekintése

A befejezett műveletek áttekintése:

  • Válassza az Előzmények lapot. (Szükség esetén bontsa ki az időtartamot további adatok megjelenítéséhez.)

  • Jelöljön ki egy elemet a szervizelési művelet további részleteinek megtekintéséhez.

Befejezett műveletek visszavonása

Megállapította, hogy egy eszköz vagy fájl nem fenyegetés. Visszavonhatja a végrehajtott szervizelési műveleteket, függetlenül attól, hogy ezek a műveletek automatikusan vagy manuálisan lettek-e végrehajtva. Az alábbi műveletek bármelyikét visszavonhatja:

  • Forrás

    • Automatizált vizsgálat

    • Microsoft Defender víruskereső

    • Manuális válaszműveletek

  • Támogatott műveletek

    • Eszköz elkülönítése

    • Kódvégrehajtás korlátozása

    • Fájl karanténba helyezése

    • Beállításkulcs eltávolítása

    • Szolgáltatás leállítása

    • Illesztőprogram letiltása

    • Ütemezett tevékenység eltávolítása

Fájl eltávolítása több eszközön lévő karanténból

Fájl eltávolítása több eszköz karanténjából:

  1. Az Előzmények lapon válassza ki azt a fájlt, amelynek művelettípusa Karantén fájl.

  2. A képernyő jobb oldalán található panelen válassza az Alkalmaz x-hez a fájl további példányai lehetőséget, majd válassza a Visszavonás lehetőséget.

Műveletforrás részleteinek megtekintése

A Műveletközpont tartalmaz egy műveleti forrásoszlopot, amelyből megtudhatja, hogy az egyes műveletek honnan származnak. Az alábbi táblázat a lehetséges műveleti forrásértékeket ismerteti:

Művelet forrásértéke Leírás
Manuális eszközművelet Kézi művelet egy eszközön. Ilyenek például az eszközelkülönítés vagy a fájl karanténba helyezése.
Manuális e-mail-művelet Manuális művelet az e-mailen. Ilyen például az e-mailek helyreállítható törlése vagy az e-mailek szervizelése.
Automatizált eszközművelet Egy entitáson, például egy fájlon vagy folyamaton végrehajtott automatizált művelet. Az automatizált műveletek közé tartozik például egy fájl karanténba küldése, egy folyamat leállítása és egy beállításkulcs eltávolítása.
Automatizált e-mail-művelet Automatikus művelet az e-mail-tartalomon, például e-mailen, mellékleten vagy URL-címen. Az automatizált műveletek közé tartozik például az e-mailek helyreállítható törlése, az URL-címek letiltása és a külső levelek továbbításának kikapcsolása.
Speciális vadászati művelet Eszközökön vagy e-maileken végzett műveletek speciális kereséssel.
Explorer-művelet Az Explorerrel végzett e-mail-tartalommal kapcsolatos műveletek.
Manuális élő válaszművelet Élő választ tartalmazó eszközön végrehajtott műveletek. Ilyen például egy fájl törlése, egy folyamat leállítása és egy ütemezett feladat eltávolítása.
Élő válaszművelet A Végponthoz készült Microsoft Defender API-kkal rendelkező eszközökön végrehajtott műveletek. Ilyen műveletek például az eszközök elkülönítése, a víruskereső vizsgálat futtatása és a fájlokkal kapcsolatos információk lekérése.

Beadványok

Az Exchange Online-postaládákkal rendelkező Microsoft 365-szervezetekben a rendszergazdák a Microsoft Defender portálján található Beküldések portállal küldhetnek e-maileket, URL-címeket és mellékleteket a Microsoftnak vizsgálat céljából.

Amikor elküld egy e-mailt elemzésre, a következőt fogja kapni:

  • E-mail-hitelesítés ellenőrzése: Annak részletei, hogy az e-mail-hitelesítés sikeres vagy sikertelen volt-e a kézbesítéskor.
  • Szabályzattal kapcsolatos találatok: Információk azokról a szabályzatokról, amelyek engedélyezték vagy blokkolták a bejövő e-maileket a bérlőben, felülírva a szolgáltatásszűrők ítéleteit.
  • Hasznos adat hírneve/robbantása: Az üzenetben szereplő URL-címek és mellékletek naprakész vizsgálata.
  • Osztályozói elemzés: Az emberi osztályozók által végzett felülvizsgálat annak ellenőrzésére, hogy az üzenetek rosszindulatúak-e.

Fontos

A hasznos adatok reputációja/detonációja és az osztályozó elemzése nem minden bérlőben történik. Az adatok nem léphetnek ki a szervezeten kívülre, ha az adatoknak nem kellene megfelelőségi célokból elhagyniuk a bérlői határt.

Mit kell tudnia a kezdés előtt?

  • Ha üzeneteket és fájlokat szeretne küldeni a Microsoftnak, az alábbi szerepkörök egyikével kell rendelkeznie:

    Biztonsági Rendszergazda istrator vagy biztonsági olvasó a Microsoft Defender portálon.

  • A Rendszergazda 30 naposan küldhetnek üzeneteket, ha továbbra is elérhetők a postaládában, és nem törlik a felhasználó vagy egy másik rendszergazda.

  • Rendszergazda beküldések szabályozása a következő díjszabás szerint történt:

    Maximális beküldés 15 perces időszakokban: 150 beküldés

    Ugyanazok a beküldések egy 24 órás időszakban: Három beküldés

    Ugyanazok a beküldések 15 perces időszakban: Egy beküldés

Gyanús tartalom jelentése a Microsoftnak

A Beküldések lapon ellenőrizze, hogy az E-mailek, e-mail mellékletek vagy URL-címek lap ki van-e jelölve a jelenteni kívánt tartalom típusa alapján. Ezután válassza a Küldés a Microsoftnak elemzéshez ikont. Küldés a Microsoftnak elemzés céljából.

A Küldés a Microsoftnak a megfelelő tartalomtípus (e-mail, URL vagy e-mail melléklet) elküldéséhez használható elemzési úszó panelen.

Feljegyzés

A fájl- és URL-beküldések nem érhetők el a felhőkben, amelyek nem teszik lehetővé, hogy az adatok elhagyják a környezetet. A fájl vagy URL-cím kiválasztásának lehetősége szürkítve jelenik meg.

Felhasználók értesítése a portálról

A Beküldések lapon válassza a Felhasználó által jelentett üzenetek lapot, majd jelölje ki a megjelölni és értesíteni kívánt üzenetet.

Válassza a Megjelölés másként lehetőséget, és értesítse a legördülő menüt, majd válassza a Nem található > adathalászat vagy levélszemét lehetőséget.

A jelentett üzenet hamis pozitívként vagy hamis negatívként lesz megjelölve. A rendszer automatikusan e-mail-értesítést küld a portálról annak a felhasználónak, aki az üzenetet jelentette.

Kérdőjeles e-mail küldése a Microsoftnak

  1. A Küldési típus kiválasztása mezőben ellenőrizze, hogy az E-mail ki van-e jelölve a legördülő listában.

  2. A Hálózati üzenetazonosító hozzáadása vagy az e-mail-fájl feltöltése szakaszban használja az alábbi lehetőségek egyikét:

    • Adja hozzá az e-mail-hálózati üzenet azonosítóját: Az azonosító egy GUID-érték, amely elérhető az üzenet X-MS-Exchange-Organization-Network-Message-Id fejlécében vagy az X-MS-Office365-Filtering-Correlation-Id fejlécben karanténba helyezett üzenetekben.

    • Töltse fel az e-mail-fájlt (.msg vagy .eml): Válassza a Tallózás a fájlok között lehetőséget. A megnyíló párbeszédpanelen keresse meg és válassza ki a .eml vagy .msg fájlt, majd válassza a Megnyitás lehetőséget.

    A Probléma címzettjének kiválasztása mezőben adja meg azt a címzettet, akivel szabályzat-ellenőrzést szeretne futtatni. A házirend-ellenőrzés meghatározza, hogy az e-mail megkerülte-e a vizsgálatot a felhasználói vagy szervezeti szabályzatok miatt.

  3. A Microsoftnak való küldés okának kiválasztása szakaszban válassza az alábbi lehetőségek egyikét:

    • Nem kellett volna blokkolni (hamis pozitív)
    • Blokkolva kellett volna lennie (Hamis negatív): A megjelenő "Az e-mail kategorizálása" szakaszban válasszon az alábbi értékek közül (ha nem biztos benne, használja a legjobb ítéletet): Adathalászat, kártevő vagy levélszemét

  4. Ha végzett, válassza a Küldés lehetőséget.

Gyanús URL-cím küldése a Microsoftnak

  1. A Kiválasztás a beküldési típus mezőben válassza ki az URL-címet a legördülő listából.

  2. A megjelenő URL-címmezőbe írja be a teljes URL-címet. Például: https://www.fabrikam.com/marketing.html.

  3. A Microsoftnak való küldés okának kiválasztása szakaszban válassza az alábbi lehetőségek egyikét:

    • Nem kellett volna blokkolni (hamis pozitív)
    • Blokkolva kellett volna lennie (Hamis negatív): A megjelenő "Ennek az URL-címnek kategorizálva kellett volna lennie" szakaszban válasszon az alábbi értékek közül (ha nem biztos benne, használja a legjobb ítélőképességét): Adathalászat, kártevő

  4. Ha végzett, válassza a Küldés lehetőséget.

Gyanús e-mail-melléklet elküldése a Microsoftnak

  1. A Küldés típusa mezőben válassza az E-mail melléklet lehetőséget a legördülő listából.

  2. A megjelenő Fájl szakaszban válassza a Tallózás a fájlok között lehetőséget. A megnyíló párbeszédpanelen keresse meg és jelölje ki a fájlt, majd válassza a Megnyitás lehetőséget.

  3. A Microsoftnak való küldés okának kiválasztása szakaszban válassza az alábbi lehetőségek egyikét:

    • Nem kellett volna blokkolni (hamis pozitív)
    • Blokkolva kellett volna lennie (Hamis negatív): A megjelenő "Ezt a fájlt kategorizálni kellett volna" szakaszban válasszon az alábbi értékek közül (ha nem biztos benne, használja a legjobb ítéletet): Adathalászat, kártevők

  4. Ha végzett, válassza a Küldés lehetőséget.

Feljegyzés

Ha a kártevők szűrése az üzenet mellékleteit a Malware Alert Text.txt fájlra cserélte, az eredeti mellékleteket tartalmazó karanténból kell elküldenie az eredeti üzenetet. A karanténról és az üzenetek kártevő hamis pozitív üzenetekkel való kiadásáról további információt a karanténba helyezett üzenetek és fájlok rendszergazdaként történő kezelése című témakörben talál.

Rendszergazdai beküldések megtekintése a Microsoftnak

A Beküldések lapon ellenőrizze, hogy az E-mailek, AZ URL-cím vagy az E-mail melléklet lap ki van-e jelölve.

A bejegyzéseket egy elérhető oszlopfejlécre kattintva rendezheti. Válassza az Oszlopok testreszabása lehetőséget, ha legfeljebb hét oszlopot szeretne megjeleníteni. Az alapértelmezett értékek csillaggal (*) vannak megjelölve:

  • Beküldési név*
  • Feladó*
  • Címzett
  • Beküldési dátum*
  • A beküldési ok*
  • Állapot*
  • Eredmény*
  • Ítélet szűrése
  • Kézbesítés/blokkolás oka
  • Beküldési azonosító
  • Hálózati üzenetazonosító/objektumazonosító
  • Irány
  • Feladó IP-címe
  • Tömegesen megfelelő szint (BCL)
  • Cél
  • Szabályzatművelet
  • Beküldte:
  • Adathalászati szimuláció
  • Címkék*
  • Engedélyezve

Ha végzett, válassza az Alkalmaz elemet.

Rendszergazda beküldési eredmények részletei

A rendszergazdai beküldésekben elküldött üzeneteket áttekintjük, és az eredmények megjelennek a beküldések részletes úszó panelén:

  • Ha a feladó e-mail-hitelesítésében hiba történt a kézbesítés időpontjában.
  • Információ azokról a házirend-találatokról, amelyek befolyásolhatták vagy felülírhatták az üzenet ítéletét.
  • Az aktuális detonáció eredménye annak ellenőrzése, hogy az üzenetben található URL-címek vagy fájlok rosszindulatúak-e vagy sem.
  • Visszajelzés az osztályozóktól.

Ha felülbírálást talált, az eredménynek néhány perc alatt elérhetőnek kell lennie. Ha nem volt probléma az e-mail-hitelesítésben, vagy a kézbesítést nem befolyásolta a felülbírálás, akkor az osztályozók visszajelzése akár egy napot is igénybe vehet.

Felhasználói beküldések megtekintése a Microsoftnak

Ha telepítette a Jelentésüzenet bővítményt, a Jelentés adathalászat bővítményt, vagy a felhasználók a beépített jelentéskészítést használják a Webes Outlook, a Felhasználók által jelentett üzenet lapon láthatja, hogy mit jelentenek a felhasználók.

A Beküldések lapon válassza a Felhasználó által jelentett üzenetek lapot.

A bejegyzéseket egy elérhető oszlopfejlécre kattintva rendezheti. Válassza az Oszlopok testreszabása lehetőséget a beállítások megjelenítéséhez. Az alapértelmezett értékek csillaggal (*) vannak megjelölve:

  • E-mail tárgy*
  • Jelentés: *
  • Jelentett dátum*
  • Feladó*
  • Jelentett ok*
  • Eredmény*
  • Üzenet jelentett azonosítója
  • Hálózati üzenet azonosítója
  • Feladó IP-címe
  • Jelentett forrás:
  • Adathalászati szimuláció
  • Rendszergazdai beküldéssé alakítva
  • Címkék*
  • Megjelölés*
  • Megjelölte:
  • Megjelölt dátum

Ha végzett, válassza az Alkalmaz elemet.

Feljegyzés

Ha a szervezetek úgy vannak konfigurálva, hogy a felhasználók által jelentett üzeneteket csak az egyéni postaládába küldjék, a jelentett üzenetek megjelennek a Felhasználó által jelentett üzenetekben, de az eredmények mindig üresek lesznek (mivel nem lettek újraolvasva).

Felhasználói beküldések visszavonása

Ha egy felhasználó gyanús e-mailt küld az egyéni postaládába, a felhasználónak és a rendszergazdának nincs lehetősége visszavonni a beküldést. Ha a felhasználó helyre szeretné állítani az e-mailt, az elérhető lesz a Törölt elemek vagy a Levélszemét mappában való helyreállításhoz.

A felhasználó által jelentett üzenetek átalakítása az egyéni postaládából rendszergazdai beküldéssé

Ha úgy konfigurálta az egyéni postaládát, hogy elfogja a felhasználók által jelentett üzeneteket anélkül, hogy elküldené az üzeneteket a Microsoftnak, megkereshet és elküldhet bizonyos üzeneteket a Microsoftnak elemzés céljából.

A Felhasználó által jelentett üzenetek lapon jelöljön ki egy üzenetet a listában, válassza a Küldés a Microsoftnak elemzés céljából lehetőséget, majd válasszon a legördülő listából az alábbi értékek közül:

  • Jelentés tiszta
  • Adathalászat jelentése
  • Kártevő bejelentése
  • Levélszemét jelentése
  • Eseményindító vizsgálata