Menggunakan pusat tindakan

  • 14 menit

Pusat tindakan

Pusat Tindakan terpadu portal Pertahanan Microsoft mencantumkan tindakan remediasi yang tertunda dan selesai untuk perangkat, konten email & kolaborasi, dan identitas Anda di satu lokasi.

Pusat Tindakan terpadu menyatukan tindakan perbaikan di seluruh Pertahanan untuk Titik Akhir dan Pertahanan untuk Office 365. Pusat Tindakan mendefinisikan bahasa umum untuk semua tindakan remediasi dan memberikan pengalaman investigasi terpadu. Tim operasi keamanan Anda memiliki pengalaman "satu panel kaca" untuk melihat dan mengelola tindakan remediasi.

Pusat Tindakan terdiri dari item yang sedang diproses dan memiliki riwayat:

  • Sedang diproses menampilkan daftar investigasi yang sedang berlangsung yang memerlukan perhatian. Tindakan yang direkomendasikan disajikan agar tim operasi keamanan Anda dapat menyetujui atau menolak. Tab Sedang Diproses hanya muncul jika ada tindakan yang sedang diproses untuk disetujui (atau ditolak).

  • Riwayat sebagai log audit untuk semua item berikut:

    • Tindakan remediasi yang diambil sebagai hasil dari penyelidikan otomatis

    • Tindakan remediasi yang disetujui oleh tim operasi keamanan Anda (beberapa tindakan, seperti mengirim file ke karantina, dapat dibatalkan)

    • Perintah yang dijalankan dan tindakan remediasi yang diterapkan di sesi Respons Langsung (beberapa tindakan dapat dibatalkan)

    • Tindakan remediasi yang diterapkan oleh Antivirus Pertahanan Microsoft (beberapa tindakan dapat dibatalkan)

Pilih Investigasi Otomatis, lalu Pusat tindakan.

Screenshot of the Microsoft Defender XDR Action center.

Ketika investigasi otomatis berjalan, putusan dihasilkan untuk setiap bukti yang diselidiki. Putusan dapat Berbahaya, Mencurigakan, atau Tidak ada ancaman yang ditemukan tergantung pada:

  • Jenis ancaman

  • Putusan yang dihasilkan

  • Bagaimana grup perangkat organisasi Anda dikonfigurasi

Tindakan remediasi dapat terjadi secara otomatis atau hanya setelah disetujui oleh tim operasi keamanan organisasi Anda.

Meninjau tindakan yang sedang diproses

Untuk menyetujui atau menolak tindakan yang sedang diproses:

  • Pilih item apa pun pada tab Sedang Diproses.

  • Pilih investigasi dari salah satu kategori untuk membuka panel tempat Anda dapat menyetujui atau menolak tindakan remediasi.

Detail lainnya, seperti detail file atau layanan, detail investigasi, dan detail pemberitahuan ditampilkan. Dari panel, Anda dapat memilih tautan Buka halaman investigasi untuk melihat detail investigasi. Anda juga dapat memilih beberapa investigasi untuk menyetujui atau menolak tindakan pada beberapa investigasi.

Meninjau tindakan yang telah selesai.

Untuk meninjau tindakan yang telah selesai:

  • Pilih tab Riwayat. (Jika perlu, perluas periode waktu untuk menampilkan lebih banyak data.)

  • Pilih item untuk melihat detail selengkapnya tentang tindakan remediasi tersebut.

Membatalkan tindakan yang telah selesai

Anda telah menentukan bahwa perangkat atau file bukan ancaman. Anda dapat membatalkan tindakan remediasi yang telah dilakukan, baik tindakan tersebut dilakukan secara otomatis atau manual. Anda dapat membatalkan salah satu tindakan berikut:

  • Sumber

    • Investigasi otomatis

    • Antivirus Pertahanan Microsoft

    • Tindakan respons manual

  • Tindakan yang Didukung

    • Mengisolasi perangkat

    • Membatasi eksekusi kode

    • Mengkarantina file

    • Menghapus kunci registri

    • Menghentikan layanan

    • Nonaktifkan driver

    • Menghapus tugas terjadwal

Menghapus file dari karantina di beberapa perangkat

Untuk menghapus file dari karantina di beberapa perangkat:

  1. Pada tab Riwayat, pilih file yang memiliki file Karantina jenis Tindakan.

  2. Di panel di sisi kanan layar, pilih Terapkan ke X contoh file ini lagi, lalu pilih Batalkan.

Melihat detail sumber tindakan

Pusat Tindakan menyertakan kolom sumber Tindakan yang memberi tahu Anda dari mana setiap tindakan berasal. Tabel berikut ini menguraikan kemungkinan Nilai sumber tindakan:

Nilai sumber tindakan Deskripsi
Tindakan perangkat manual Tindakan manual yang diambil pada perangkat. Contohnya termasuk mengisolasi perangkat atau mengarantina file.
Tindakan email manual Tindakan manual yang diambil pada email. Contohnya termasuk penghapusan sementara pesan email atau meremediasi pesan email.
Tindakan perangkat otomatis Tindakan otomatis yang diambil pada entitas, seperti file atau proses. Contoh tindakan otomatis termasuk mengirim file ke karantina, menghentikan proses, dan menghapus kunci registri.
Tindakan email otomatis Tindakan otomatis yang diambil pada konten email, seperti pesan email, lampiran, atau URL. Contoh tindakan otomatis termasuk penghapusan sementara pesan email, memblokir URL, dan menonaktifkan penerusan email eksternal.
Tindakan perburuan tingkat lanjut Tindakan yang diambil pada perangkat atau email dengan perburuan tingkat lanjut.
Tindakan penjelajah Tindakan yang diambil pada konten email dengan Penjelajah.
Tindakan respons langsung manual Tindakan yang diambil di perangkat dengan respons langsung. Contohnya termasuk menghapus file, menghentikan proses, dan menghapus tugas terjadwal.
Tindakan respons langsung Tindakan yang diambil pada perangkat dengan API Pertahanan Microsoft untuk Titik Akhir. Contoh tindakan termasuk mengisolasi perangkat, menjalankan pemindaian antivirus, dan mendapatkan informasi tentang file.

Pengiriman

Di organisasi Microsoft 365 dengan kotak surat Exchange Online, admin dapat menggunakan portal Pengiriman di portal Microsoft Defender untuk mengirimkan pesan email, URL, dan lampiran ke Microsoft untuk pemindaian.

Saat mengirimkan pesan email untuk analisis, Anda akan mendapatkan:

  • Pemeriksaan autentikasi email: Detail tentang apakah autentikasi email berhasil atau gagal saat dikirimkan.
  • Temuan kebijakan: Informasi tentang kebijakan apa pun yang mungkin mengizinkan atau memblokir email masuk ke penyewa Anda, mengesampingkan keputusan filter layanan kami.
  • Reputasi/detonasi payload: Pemeriksaan terkini dari setiap URL dan lampiran dalam pesan.
  • Analisis penilai: Tinjauan dilakukan oleh penilai manusia untuk mengonfirmasi apakah pesan berbahaya atau tidak.

Penting

Reputasi payload/detonasi dan analisis penilai tidak dilakukan di semua penyewa. Informasi diblokir untuk keluar dari organisasi ketika data tidak seharusnya meninggalkan batas penyewa untuk tujuan kepatuhan.

Apa yang perlu Anda ketahui sebelum memulai?

  • Untuk mengirimkan pesan dan file ke Microsoft, Anda harus memiliki salah satu peran berikut:

    Administrator Keamanan atau Pembaca Keamanan di portal Pertahanan Microsoft.

  • Admin dapat mengirimkan pesan paling lama 30 hari jika masih tersedia di kotak surat dan tidak dihapus oleh pengguna atau admin lain.

  • Pengiriman admin dibatasi dengan kapasitas berikut:

    Pengiriman maksimum dalam periode 15 menit: 150 pengiriman

    Pengiriman yang sama dalam periode 24 jam: Tiga pengiriman

    Pengiriman yang sama dalam periode 15 menit: Satu pengiriman

Melaporkan konten yang mencurigakan ke Microsoft

Pada halaman Pengiriman, pastikan tab Email, Lampiran email, atau URL dipilih berdasarkan jenis konten yang ingin Anda laporkan. Kemudian pilih ikon Kirim ke Microsoft untuk analisis. Kirim ke Microsoft untuk analisis.

Gunakan flyout Kirim ke Microsoft untuk analisis yang muncul untuk mengirim masing-masing jenis konten (email, URL, atau lampiran email).

Catatan

Pengiriman file dan URL tidak tersedia di cloud yang tidak memungkinkan data keluar dari lingkungan. Kemampuan untuk memilih File atau URL akan berwarna abu-abu.

Beri tahu pengguna dari dalam portal

Pada halaman Pengiriman, pilih tab Pesan yang dilaporkan pengguna, lalu pilih pesan yang ingin Anda tandai dan beri tahu.

Pilih menu dropdown Tandai sebagai dan beri tahu, lalu pilih Tidak ada ancaman yang ditemukan > Phishing atau Sampah.

Pesan yang dilaporkan akan ditandai sebagai positif palsu atau negatif palsu. Pemberitahuan email dikirim secara otomatis dari dalam portal ke pengguna yang melaporkan pesan tersebut.

Mengirim email yang dipertanyakan ke Microsoft

  1. Di kotak Pilih jenis pengiriman, verifikasi bahwa Email dipilih dalam daftar dropdown.

  2. Di bagian Tambahkan ID pesan jaringan atau unggah file email, gunakan salah satu opsi berikut:

    • Tambahkan ID pesan jaringan email: ID adalah nilai GUID yang tersedia di header X-MS-Exchange-Organization-Network-Message-Id di pesan atau di header X-MS-Office365-Filtering-Correlation-Id di pesan yang dikarantina.

    • Unggah file email (.msg atau.eml): Pilih Telusuri file. Dalam dialog yang terbuka, temukan dan pilih file.eml atau.msg, lalu pilih buka.

    Di kotak Pilih penerima yang memiliki masalah, tentukan penerima yang ingin Anda periksa kebijakannya. Pemeriksaan kebijakan akan menentukan apakah email melewati pemindaian karena kebijakan pengguna atau organisasi.

  3. Di bagian Pilih alasan pengiriman ke Microsoft, pilih salah satu opsi berikut:

    • Seharusnya tidak diblokir (Positif palsu)
    • Seharusnya diblokir (Negatif palsu): Di bagian, "Email seharusnya dikategorikan sebagai" yang muncul, pilih salah satu nilai berikut (jika Anda tidak yakin, gunakan penilaian terbaik Anda) : Phish, Malware, atau Spam

  4. Setelah selesai, pilih Kirim.

Mengirim URL yang dicurigai ke Microsoft

  1. Di kotak Pilih jenis pengiriman, pilih URL dari daftar dropdown.

  2. Pada kotak URL yang muncul, masukkan URL lengkapnya. Contohnya, https://www.fabrikam.com/marketing.html.

  3. Di bagian Pilih alasan pengiriman ke Microsoft, pilih salah satu opsi berikut:

    • Seharusnya tidak diblokir (Positif palsu)
    • Seharusnya diblokir (Negatif palsu): Di bagian, "URL ini seharusnya dikategorikan sebagai" yang muncul, pilih salah satu nilai berikut (jika Anda tidak yakin, gunakan penilaian terbaik Anda) : Phish, Malware

  4. Setelah selesai, pilih Kirim.

Mengirim lampiran email yang dicurigai ke Microsoft

  1. Di kotak Pilih jenis pengiriman, pilih Lampiran email dari daftar dropdown.

  2. Di bagian File yang muncul, pilih Telusuri file. Dalam dialog yang terbuka, temukan dan pilih file, lalu pilih Buka.

  3. Di bagian Pilih alasan pengiriman ke Microsoft, pilih salah satu opsi berikut:

    • Seharusnya tidak diblokir (Positif palsu)
    • Seharusnya diblokir (Negatif palsu): Di bagian, "File ini seharusnya dikategorikan sebagai" yang muncul, pilih salah satu nilai berikut (jika Anda tidak yakin, gunakan penilaian terbaik Anda): Phish, Malware

  4. Setelah selesai, pilih Kirim.

Catatan

Jika pemfilteran malware telah mengganti lampiran pesan dengan file Text.txt Peringatan Malware, Anda harus mengirimkan pesan asli dari karantina yang berisi lampiran asli. Untuk informasi selengkapnya tentang karantina dan cara merilis pesan dengan positif palsu malware, lihat Mengelola pesan dan file yang dikarantina sebagai admin.

Melihat pengiriman admin ke Microsoft

Pada halaman Pengiriman, verifikasi bahwa tab Email, URL, atau Lampiran email dipilih.

Anda dapat mengurutkan entri dengan mengeklik header kolom yang tersedia. Pilih Kustomisasi kolom untuk menampilkan maksimal tujuh kolom. Nilai default ditandai dengan tanda bintang (*):

  • Nama pengiriman*
  • Pengirim*
  • Penerima
  • Tanggal Pengiriman*
  • Alasan pengiriman*
  • Status*
  • Hasil*
  • Filter putusan
  • Alasan Pengiriman/Pemblokiran
  • ID Pengiriman
  • ID Pesan Jaringan/ID Objek
  • Arah
  • IP pengirim
  • Tingkat kepatuhan massal (BCL)
  • Tujuan
  • Tindakan kebijakan
  • Dikirim oleh
  • Simulasi phish
  • Tag*
  • Bolehkan

Setelah selesai, pilih Terapkan.

Detail hasil pengiriman admin

Pesan yang dikirimkan dalam pengiriman admin ditinjau dan hasilnya ditampilkan di flyout detail pengiriman:

  • Jika terjadi kegagalan dalam autentikasi email pengirim pada saat pengiriman.
  • Informasi tentang setiap temuan kebijakan yang dapat memengaruhi atau mengesampingkan keputusan sebuah pesan.
  • Hasil detonasi saat ini untuk melihat apakah URL atau file yang terdapat dalam pesan tersebut berbahaya atau tidak.
  • Umpan balik dari penilai.

Jika penggantian ditemukan, hasilnya akan tersedia dalam beberapa menit. Jika tidak ada masalah dalam autentikasi email atau pengiriman tidak terpengaruh oleh penggantian, maka umpan balik dari pemberi nilai dapat memakan waktu hingga satu hari.

Melihat pengiriman pengguna ke Microsoft

Jika Anda telah menyebarkan add-in Pesan Laporan, add-in Laporan Phishing, atau orang-orang menggunakan pelaporan bawaan di Outlook di web, Anda dapat melihat apa yang dilaporkan pengguna di tab Pesan yang dilaporkan pengguna.

Pada halaman Pengiriman, pilih tab Pesan yang dilaporkan pengguna.

Anda dapat mengurutkan entri dengan mengeklik header kolom yang tersedia. Pilih Kustomisasi kolom untuk menampilkan opsi. Nilai default ditandai dengan tanda bintang (*):

  • Subjek email*
  • Dilaporkan oleh*
  • Tanggal pelaporan*
  • Pengirim*
  • Alasan yang dilaporkan*
  • Hasil*
  • ID Pesan yang dilaporkan
  • ID Pesan Jaringan
  • IP pengirim
  • Dilaporkan dari
  • Simulasi phish
  • Dikonversi ke pengiriman admin
  • Tag*
  • Ditandai sebagai*
  • Ditandai oleh
  • Tanggal ditandai

Setelah selesai, pilih Terapkan.

Catatan

Jika organisasi dikonfigurasi untuk mengirim pesan yang dilaporkan pengguna ke kotak surat kustom saja, pesan yang dilaporkan akan muncul di Pesan yang dilaporkan pengguna tetapi hasilnya akan selalu kosong (karena tidak akan dipindai ulang).

Batalkan pengiriman pengguna

Setelah pengguna mengirimkan email yang mencurigakan ke kotak surat kustom, pengguna dan admin tidak memiliki opsi untuk membatalkan pengiriman. Jika pengguna ingin memulihkan email, opsi ini akan tersedia untuk pemulihan di folder Item Terhapus atau Email Sampah.

Mengubah pesan yang dilaporkan pengguna dari kotak surat kustom menjadi pengiriman admin

Jika Anda telah mengonfigurasi kotak surat kustom untuk mencegat pesan yang dilaporkan pengguna tanpa mengirim pesan ke Microsoft, Anda dapat menemukan dan mengirim pesan tertentu ke Microsoft untuk dianalisis.

Pada tab Pesan yang dilaporkan pengguna, pilih pesan dalam daftar, pilih Kirim ke Microsoft untuk analisis, lalu pilih salah satu nilai berikut dari daftar dropdown:

  • Laporkan bersih
  • Laporkan phishing
  • Laporkan malware
  • Laporkan spam
  • Investigasi pemicu