Se gjennom utbedringshandlinger etter en automatisert undersøkelse
Gjelder for:
Utbedringshandlinger
Når en automatisert undersøkelse kjører, genereres en dom for hvert bevis som undersøkes. Dommene kan være skadelige, mistenkelige eller ingen trusler funnet.
Avhengig av
- type trussel,
- den resulterende dommen, og
- hvordan organisasjonens enhetsgrupper er konfigurert,
utbedringshandlinger kan utføres automatisk eller bare ved godkjenning av organisasjonens sikkerhetsoperasjonsteam.
Obs!
Oppretting av enhetsgruppe støttes i Defender for Endpoint Plan 1 og Plan 2.
Her er noen eksempler:
Eksempel 1: Fabrikams enhetsgrupper er satt til Full – utbedrer trusler automatisk (den anbefalte innstillingen). I dette tilfellet utføres utbedringshandlinger automatisk for artefakter som anses å være skadelige etter en automatisert undersøkelse (se Se gjennom fullførte handlinger).
Eksempel 2: Contosos enheter er inkludert i en enhetsgruppe som er angitt for Semi – krever godkjenning for utbedring. I dette tilfellet må Contosos sikkerhetsoperasjonsteam se gjennom og godkjenne alle utbedringshandlinger etter en automatisert undersøkelse (se Se gjennom ventende handlinger).
Eksempel 3: Tailspin Toys har sine enhetsgrupper satt til Ingen automatisert respons (anbefales ikke). I dette tilfellet forekommer ikke automatiserte undersøkelser. Ingen utbedringshandlinger utføres eller venter, og ingen handlinger logges i handlingssenteret for enhetene sine (se Administrere enhetsgrupper).
Enten det utføres automatisk eller ved godkjenning, kan en automatisert undersøkelse og utbedring resultere i én eller flere av utbedringshandlingene:
- Sette en fil i karantene
- Fjerne en registernøkkel
- Drepe en prosess
- Stoppe en tjeneste
- Deaktivere en driver
- Fjerne en planlagt aktivitet
Se gjennom ventende handlinger
Gå til Microsoft Defender-portalen, og logg på.
Velg Handlingssenter i navigasjonsruten.
Se gjennom elementene på Ventende-fanen .
Velg en handling for å åpne undermenyen.
Se gjennom informasjonen i undermenyen, og gjør deretter ett av følgende:
- Velg Åpne undersøkelse-siden for å vise flere detaljer om undersøkelsen.
- Velg Godkjenn for å starte en ventende handling.
- Velg Avvis for å hindre at en ventende handling utføres.
- Velg Gå jakten for å gå inn avansert jakt.
Godkjenn eller avvis utbedringshandlinger
For hendelser med utbedringsstatus som venter på godkjenning, kan du også godkjenne eller avvise en utbedringshandling fra hendelsen.
- Gå til Hendelser & varsler hendelser> i navigasjonsruten.
- Filtrer etter ventende handling for tilstand for automatisert undersøkelse (valgfritt).
- Velg et hendelsesnavn for å åpne sammendragssiden.
- Velg bevis- og svarfanen .
- Velg et element i listen for å åpne undermenyen.
- Se gjennom informasjonen, og gjør deretter ett av følgende:
- Velg alternativet Godkjenn ventende handling for å starte en ventende handling.
- Velg alternativet Forkast ventende handling for å hindre at en ventende handling utføres.
Se gjennom fullførte handlinger
Gå til Microsoft Defender-portalen, og logg på.
Velg Handlingssenter i navigasjonsruten.
Se gjennom elementene på Logg-fanen .
Velg et element for å vise flere detaljer om utbedringshandlingen.
Angre fullførte handlinger
Hvis du har fastslått at en enhet eller fil ikke er en trussel, kan du angre utbedringshandlinger som ble utført, enten disse handlingene ble utført automatisk eller manuelt. I handlingssenteret, på Logg-fanen , kan du angre en av følgende handlinger:
| Handlingskilde | Støttede handlinger |
|---|---|
|
|
Obs!
Defender for Endpoint Plan 1 og Microsoft Defender for bedrifter inkluderer bare følgende manuelle svarhandlinger:
- Kjør antivirusskanning
- Isolere enhet
- Stoppe og sette en fil i karantene
- Legge til en indikator for å blokkere eller tillate en fil
Angre flere handlinger samtidig
Gå til handlingssenteret (https://security.microsoft.com/action-center) og logg på.
Velg handlingene du vil angre, på Logg-fanen. Pass på å velge elementer som har samme handlingstype. En undermenyrute åpnes.
Velg Angre i undermenyen.
Slik fjerner du en fil fra karantene på tvers av flere enheter
Gå til handlingssenteret (https://security.microsoft.com/action-center) og logg på.
Velg et element som har karantenefilen for handlingstypen, på Logg-fanen.
Velg Bruk på X flere forekomster av denne filen i undermenyen, og velg deretter Angre.
Automatiseringsnivåer, automatiserte undersøkelsesresultater og resulterende handlinger
Automatiseringsnivåer påvirker om visse utbedringshandlinger utføres automatisk eller bare ved godkjenning. Noen ganger har sikkerhetsoperasjonsteamet flere trinn å utføre, avhengig av resultatene av en automatisert undersøkelse. Tabellen nedenfor oppsummerer automatiseringsnivåer, resultater av automatiserte undersøkelser og hva de skal gjøre i hvert tilfelle.
| Innstilling for enhetsgruppe | Automatiserte undersøkelsesresultater | Hva du må gjøre |
|---|---|---|
|
Full – utbedr trusler automatisk (anbefales) |
En dom av Ondsinnet er nådd for et stykke bevis. Aktuelle utbedringshandlinger utføres automatisk. |
Se gjennom fullførte handlinger |
| Semi – krev godkjenning for utbedring | En dom av enten ondsinnet eller mistenkelig er nådd for et stykke bevis. Utbedringshandlinger venter på godkjenning for å fortsette. |
Godkjenn (eller avvis) ventende handlinger |
| Semi – krev godkjenning for utbedring av kjernemapper | En dom av Ondsinnet er nådd for et stykke bevis. Hvis artefakten er en fil eller kjørbar fil og er i en operativsystemkatalog, for eksempel Windows-mappen eller Programfiler-mappen, venter utbedringshandlinger på godkjenning. Hvis artefakten ikke er i en operativsystemkatalog, utføres utbedringshandlinger automatisk. |
|
| Semi – krev godkjenning for utbedring av kjernemapper | En dom av Mistenkelig er nådd for et stykke bevis. Utbedringshandlinger venter på godkjenning. |
Godkjenn (eller avvis) ventende handlinger. |
| Semi – krev godkjenning for utbedring av ikke-midlertidige mapper | En dom av Ondsinnet er nådd for et stykke bevis. Hvis artefakten er en fil eller kjørbar fil som ikke er i en midlertidig mappe, for eksempel brukerens nedlastingsmappe eller midlertidig mappe, venter utbedringshandlinger på godkjenning. Hvis artefakten er en fil eller kjørbar fil som er i en midlertidig mappe, utføres utbedringshandlinger automatisk. |
|
| Semi – krev godkjenning for utbedring av ikke-midlertidige mapper | En dom av Mistenkelig er nådd for et stykke bevis. Utbedringshandlinger venter på godkjenning. |
Godkjenn (eller avvis) ventende handlinger |
| Alle fullstendige eller halvautomatiseringsnivåer | En dom av Ingen trusler funnet er nådd for et stykke bevis. Ingen utbedringshandlinger utføres, og ingen handlinger venter på godkjenning. |
Vis detaljer og resultater av automatiserte undersøkelser |
| Ingen automatisert svar (anbefales ikke) | Ingen automatiserte undersøkelser kjøres, så ingen dommer er nådd, og ingen utbedringstiltak utføres eller venter på godkjenning. | Vurder å konfigurere eller endre enhetsgruppene til å bruke fullstendig eller halvautomatisering |
Alle dommer spores i handlingssenteret.
Obs!
I Defender for Business er automatiserte undersøkelses- og utbedringsfunksjoner forhåndsinnstilt til å bruke Full – utbedr trusler automatisk. Disse funksjonene brukes på alle enheter som standard.
Neste trinn
- Finn ut mer om funksjoner for direkte respons
- Proaktivt jakten på trusler med avansert jakt
- Adresser falske positiver/negativer i Microsoft Defender for endepunkt
Se også
Tips
Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.