Handlingssenteret
Gjelder for:
- Microsoft Defender XDR
Handlingssenteret gir en «enkel glassrute»-opplevelse for hendelses- og varslingsoppgaver som:
- Godkjenner ventende utbedringshandlinger.
- Viser en overvåkingslogg over allerede godkjente utbedringshandlinger.
- Gjennomgår fullførte utbedringshandlinger.
Fordi handlingssenteret gir en omfattende oversikt over Microsoft Defender XDR på jobben, kan sikkerhetsoperasjonsteamet operere mer effektivt og effektivt.
Det enhetlige handlingssenteret
Det enhetlige handlingssenteret (https://security.microsoft.com/action-center) viser ventende og fullførte utbedringshandlinger for enhetene dine, e-post & samarbeidsinnhold og identiteter på ett sted.
Eksempel:
- Hvis du brukte handlingssenteret i Microsoft Defender Sikkerhetssenter (https://securitycenter.windows.com/action-center), kan du prøve det enhetlige handlingssenteret i Microsoft Defender-portalen.
- Hvis du allerede brukte Microsoft Defender-portalen, ser du flere forbedringer i handlingssenteret (https://security.microsoft.com/action-center).
Det enhetlige handlingssenteret samler utbedringshandlinger på tvers av Defender for endepunkt og Defender for Office 365. Den definerer et felles språk for alle utbedringshandlinger og gir en enhetlig undersøkelsesopplevelse. Sikkerhetsoperasjonsteamet har en «enkel glassrute»-opplevelse for å vise og administrere utbedringshandlinger.
Du kan bruke det enhetlige handlingssenteret hvis du har riktige tillatelser og ett eller flere av følgende abonnementer:
Tips
Hvis du vil ha mer informasjon, kan du se Krav.
Du kan gå til listen over handlinger som venter på godkjenning på to forskjellige måter:
- Gå til https://security.microsoft.com/action-center; eller
- Velg Godkjenn i handlingssenteret i Microsoft Defender-portalen (https://security.microsoft.com) i det automatiserte & responskortet.
Bruke handlingssenteret
Gå til Microsoft Defender portalen, og logg på.
Velg Handlingssenter i navigasjonsruten under Handlinger og innsendinger. Eller velg Godkjenn i handlingssenteret i det automatiserte & responskortet.
Bruk ventende handlinger og Logg-fanene . Tabellen nedenfor oppsummerer det du ser på hver fane:
Tab Beskrivelse Ventende Viser en liste over handlinger som krever oppmerksomhet. Du kan godkjenne eller avvise én handling om gangen, eller velge flere handlinger hvis de har samme type handling (for eksempel karantenefil).
Pass på å se gjennom og godkjenne (eller avvise) ventende handlinger så snart som mulig, slik at automatiserte undersøkelser kan fullføres i tide.Historie Fungerer som en overvåkingslogg for handlinger som ble utført, for eksempel:
- Utbedringshandlinger som ble utført som følge av automatiserte undersøkelser
– Utbedringshandlinger som ble utført på mistenkelige eller skadelige e-postmeldinger, filer eller nettadresser
– Utbedringshandlinger som ble godkjent av sikkerhetsoperasjonsteamet
– Kommandoer som ble kjørt og utbedringshandlinger som ble brukt under direkte respons-økter
– Utbedringshandlinger som ble utført av antivirusbeskyttelsen
Gir deg en måte å angre bestemte handlinger på (se Angre fullførte handlinger).Du kan tilpasse, sortere, filtrere og eksportere data i handlingssenteret.
- Velg en kolonneoverskrift for å sortere elementer i stigende eller synkende rekkefølge.
- Bruk tidsperiodefilteret til å vise data for den siste dagen, uken, 30 dager eller 6 måneder.
- Velg kolonnene du vil vise.
- Angi hvor mange elementer som skal inkluderes på hver side med data.
- Bruk filtre til å vise bare elementene du vil se.
- Velg Eksporter for å eksportere resultater til en .csv fil.
Handlinger som spores i handlingssenteret
Alle handlinger, enten de venter på godkjenning eller allerede er utført, spores i handlingssenteret. Tilgjengelige handlinger omfatter følgende:
- Samle inn undersøkelsespakke
- Isolere enhet (denne handlingen kan angres)
- Offboard-maskin
- Frigi kjøring av kode
- Frigi fra karantene
- Eksempel på forespørsel
- Begrens kjøring av kode (denne handlingen kan angres)
- Kjør antivirusskanning
- Stopp og karantene
- Inneholder enheter fra nettverket
I tillegg til utbedringshandlinger som utføres automatisk som følge av automatiserte undersøkelser, sporer handlingssenteret også handlinger sikkerhetsteamet har iverksatt for å håndtere oppdagede trusler, og handlinger som ble utført som følge av trusselbeskyttelsesfunksjoner i Microsoft Defender XDR. Hvis du vil ha mer informasjon om automatiske og manuelle utbedringshandlinger, kan du se Utbedringshandlinger.
Vise informasjon om handlingskilde
(NY!) Det forbedrede handlingssenteret inneholder nå en handlingskildekolonne som forteller deg hvor hver handling kom fra. Tabellen nedenfor beskriver mulige handlingskildeverdier :
| Handlingskildeverdi | Beskrivelse |
|---|---|
| Manuell enhetshandling | En manuell handling utført på en enhet. Eksempler inkluderer isolering av enhet eller karantene. |
| Manuell e-posthandling | En manuell handling utført på e-post. Et eksempel inkluderer myk sletting av e-postmeldinger eller utbedring av en e-postmelding. |
| Automatisert enhetshandling | En automatisert handling utført på en enhet, for eksempel en fil eller prosess. Eksempler på automatiserte handlinger er å sende en fil i karantene, stoppe en prosess og fjerne en registernøkkel. (Se utbedringshandlinger i Microsoft Defender for endepunkt.) |
| Automatisert e-posthandling | En automatisert handling utført på e-postinnhold, for eksempel en e-postmelding, et vedlegg eller en nettadresse. Eksempler på automatiserte handlinger inkluderer myk sletting av e-postmeldinger, blokkering av nettadresser og deaktivering av ekstern videresending av e-post. (Se utbedringshandlinger i Microsoft Defender for Office 365.) |
| Avansert jakthandling | Handlinger utført på enheter eller e-post med avansert jakt. |
| Explorer-handling | Handlinger som utføres på e-postinnhold med Explorer. |
| Manuell handling for direkte respons | Handlinger som utføres på en enhet med direkte respons. Eksempler er å slette en fil, stoppe en prosess og fjerne en planlagt oppgave. |
| Handling for direkte respons | Handlinger utført på en enhet med Microsoft Defender for endepunkt API-er. Eksempler på handlinger er å isolere en enhet, kjøre en antivirusskanning og få informasjon om en fil. |
Nødvendige tillatelser for handlingssenteroppgaver
Hvis du vil utføre oppgaver, for eksempel godkjenne eller avvise ventende handlinger i handlingssenteret, må du ha tillatelser tilordnet som oppført i tabellen nedenfor:
| Utbedringshandling | Obligatoriske roller og tillatelser |
|---|---|
| Microsoft Defender for endepunkt utbedring (enheter) | Rollen sikkerhetsadministrator er tilordnet enten Microsoft Entra ID (https://portal.azure.com) eller Administrasjonssenter for Microsoft 365 (https://admin.microsoft.com) ---Eller--- Rolle for aktive utbedringshandlinger som er tilordnet i Microsoft Defender for endepunkt Hvis du vil ha mer informasjon, kan du se følgende ressurser: - Microsoft Entra innebygde roller - Opprett og behandle roller for rollebasert tilgangskontroll (Microsoft Defender for endepunkt) |
| Microsoft Defender for Office 365 utbedring (Office-innhold og e-post) | Rollen sikkerhetsadministrator er tilordnet enten Microsoft Entra ID (https://portal.azure.com) eller Administrasjonssenter for Microsoft 365 (https://admin.microsoft.com) ---Og--- Søk- og Tøm-rollen som er tilordnet i >Microsoft Defender XDR e-& samarbeidsroller VIKTIG: Hvis du bare har rollen som sikkerhetsadministrator i Microsoft Defender XDR >e-& samarbeidsroller, får du ikke tilgang til handlingssenteret eller Microsoft Defender XDR funksjoner. Du må ha sikkerhetsadministratorrollen tilordnet Microsoft Entra ID eller Administrasjonssenter for Microsoft 365. Hvis du vil ha mer informasjon, kan du se følgende ressurser: - Microsoft Entra innebygde roller - Tillatelser i sikkerhets- & samsvarssenteret |
Tips
Brukere som har global administratorrolle tilordnet Microsoft Entra ID, kan godkjenne eller avvise eventuelle ventende handlinger i handlingssenteret. Som anbefalt fremgangsmåte bør organisasjonen imidlertid begrense antall personer som har tilordnet rollen global administrator . Vi anbefaler at du bruker sikkerhetsadministratoren, aktive utbedringshandlinger og Søk- og tømmingsroller som er oppført i den forrige tabellen for handlingssentertillatelser.
Neste trinn:
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.
Tilbakemeldinger
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se: https://aka.ms/ContentUserFeedback.
Send inn og vis tilbakemelding for