Udostępnij za pośrednictwem

Centrum akcji

  • Artykuł

Dotyczy:

  • Microsoft Defender XDR

Centrum akcji udostępnia środowisko "pojedynczego okienka szkła" dla zadań zdarzeń i alertów, takich jak:

  • Zatwierdzanie oczekujących akcji korygowania.
  • Wyświetlanie dziennika inspekcji już zatwierdzonych akcji korygowania.
  • Przejrzyj ukończone akcje korygowania.

Centrum akcji zapewnia kompleksowy widok Microsoft Defender XDR w pracy, dlatego zespół ds. operacji zabezpieczeń może działać wydajniej i wydajniej.

Ujednolicone Centrum akcji

Ujednolicone centrum akcji (https://security.microsoft.com/action-center) wyświetla listę oczekujących i zakończonych akcji korygowania dla urządzeń, wiadomości e-mail & zawartości współpracy i tożsamości w jednej lokalizacji.

Ujednolicone centrum akcji w portalu Microsoft Defender.

Przykład:

Ujednolicone centrum akcji łączy akcje korygowania w Ochrona punktu końcowego w usłudze Microsoft Defender i Ochrona usługi Office 365 w usłudze Microsoft Defender. Definiuje język wspólny dla wszystkich akcji korygowania i zapewnia ujednolicone środowisko badania. Twój zespół ds. operacji zabezpieczeń ma "pojedyncze okienko szkła" do wyświetlania akcji korygowania i zarządzania nimi.

Możesz użyć ujednoliconego Centrum akcji, jeśli masz odpowiednie uprawnienia i co najmniej jedną z następujących subskrypcji:

Porada

Aby dowiedzieć się więcej, zobacz Wymagania.

Możesz przejść do listy akcji oczekujących na zatwierdzenie na dwa różne sposoby:

Korzystanie z centrum akcji

  1. Przejdź do portalu Microsoft Defender i zaloguj się.

  2. W okienku nawigacji w obszarze Akcje i przesyłanie wybierz pozycję Centrum akcji. Lub na karcie Automatyczna analiza & odpowiedzi wybierz pozycję Zatwierdź w Centrum akcji.

  3. Użyj kart Oczekujące akcje i Historia . Poniższa tabela zawiera podsumowanie tego, co zobaczysz na każdej karcie:

    Tab Opis
    Oczekujące Wyświetla listę akcji, które wymagają uwagi. Możesz zatwierdzać lub odrzucać akcje pojedynczo lub wybrać wiele akcji, jeśli mają one ten sam typ akcji (na przykład plik kwarantanny).

    Pamiętaj, aby jak najszybciej przejrzeć i zatwierdzić (lub odrzucić) oczekujące akcje, aby zautomatyzowane badania mogły zakończyć się w odpowiednim czasie.
    Historia Służy jako dziennik inspekcji dla wykonanych akcji, takich jak:
    • >Akcje korygujące, które zostały podjęte w wyniku zautomatyzowanych dochodzeń
    • Akcje korygowania, które zostały podjęte w przypadku podejrzanych lub złośliwych wiadomości e-mail, plików lub adresów URL
    • Akcje korygowania zatwierdzone przez zespół ds. operacji zabezpieczeń
    • Polecenia, które zostały uruchomione i akcje korygowania, które zostały zastosowane podczas sesji odpowiedzi na żywo
    • Akcje korygowania, które zostały podjęte przez ochronę antywirusową


    Umożliwia cofnięcie niektórych akcji (zobacz Cofnij ukończone akcje).

  4. Dane można dostosowywać, sortować, filtrować i eksportować w centrum akcji.

    Zrzut ekranu przedstawiający możliwości sortowania, filtrowania i dostosowywania centrum akcji.

    • Wybierz nagłówek kolumny, aby sortować elementy w kolejności rosnącej lub malejącej.
    • Użyj filtru okresu, aby wyświetlić dane z ostatniego dnia, tygodnia, 30 dni lub 6 miesięcy.
    • Wybierz kolumny, które chcesz wyświetlić.
    • Określ liczbę elementów do uwzględnienia na każdej stronie danych.
    • Użyj filtrów, aby wyświetlić tylko elementy, które chcesz zobaczyć.
    • Wybierz pozycję Eksportuj , aby wyeksportować wyniki do pliku .csv.

Akcje śledzone w Centrum akcji

Wszystkie akcje, niezależnie od tego, czy oczekują na zatwierdzenie, czy zostały już podjęte, są śledzone w Centrum akcji. Dostępne akcje obejmują następujące elementy:

  • Zbieraj pakiet badań
  • Izolowanie urządzenia (tę akcję można cofnąć)
  • Odłącz komputer
  • Wykonywanie kodu wydania
  • Zwolnienie z kwarantanny
  • Przykład żądania
  • Ograniczanie wykonywania kodu (tę akcję można cofnąć)
  • Uruchomiono skanowanie antywirusowe
  • Zatrzymywanie i kwarantanna
  • Zawiera urządzenia z sieci

Oprócz akcji korygowania, które są wykonywane automatycznie w wyniku zautomatyzowanych badań, centrum akcji śledzi również akcje podjęte przez zespół ds. zabezpieczeń w celu rozwiązania wykrytych zagrożeń oraz akcje, które zostały podjęte w wyniku funkcji ochrony przed zagrożeniami w Microsoft Defender XDR. Aby uzyskać więcej informacji na temat automatycznych i ręcznych akcji korygowania, zobacz Akcje korygowania.

Wyświetlanie szczegółów źródła akcji

Ulepszone centrum akcji zawiera kolumnę źródła akcji , która informuje o tym, skąd pochodzi każda akcja. W poniższej tabeli opisano możliwe wartości źródła akcji :

Wartość źródła akcji Opis
Ręczna akcja urządzenia Ręczna akcja wykonywana na urządzeniu. Przykłady obejmują izolację urządzenia lub kwarantannę plików.
Ręczna akcja poczty e-mail Ręczna akcja wykonywana w wiadomości e-mail. Przykład obejmuje usuwanie nietrwałe wiadomości e-mail lub korygowanie wiadomości e-mail.
Zautomatyzowana akcja urządzenia Zautomatyzowana akcja wykonywana na jednostce, taka jak plik lub proces. Przykłady zautomatyzowanych akcji obejmują wysyłanie pliku do kwarantanny, zatrzymywanie procesu i usuwanie klucza rejestru. (Zobacz Akcje korygowania w Ochrona punktu końcowego w usłudze Microsoft Defender).
Zautomatyzowana akcja poczty e-mail Zautomatyzowana akcja wykonywana w przypadku zawartości wiadomości e-mail, na przykład wiadomości e-mail, załącznika lub adresu URL. Przykłady zautomatyzowanych akcji obejmują usuwanie nietrwałe wiadomości e-mail, blokowanie adresów URL i wyłączanie przekazywania wiadomości zewnętrznych. (Zobacz Akcje korygowania w Ochrona usługi Office 365 w usłudze Microsoft Defender).
Zaawansowana akcja wyszukiwania zagrożeń Akcje podejmowane na urządzeniach lub w wiadomościach e-mail z zaawansowanym wyszukiwaniem zagrożeń.
Akcja Eksploratora Akcje podejmowane w przypadku zawartości wiadomości e-mail w Eksploratorze.
Ręczna akcja odpowiedzi na żywo Akcje wykonane na urządzeniu z odpowiedzią na żywo. Przykłady obejmują usunięcie pliku, zatrzymanie procesu i usunięcie zaplanowanego zadania.
Akcja odpowiedzi na żywo Akcje podejmowane na urządzeniu za pomocą interfejsów API Ochrona punktu końcowego w usłudze Microsoft Defender. Przykłady akcji obejmują izolowanie urządzenia, uruchamianie skanowania antywirusowego i uzyskiwanie informacji o pliku.

Wymagane uprawnienia do zadań centrum akcji

Do wykonywania zadań, takich jak zatwierdzanie lub odrzucanie oczekujących akcji w Centrum akcji, potrzebne są określone uprawnienia. Dostępne są następujące opcje:

  • uprawnienia Microsoft Entra: Członkostwo w tych rolach daje użytkownikom wymagane uprawnienia i uprawnienia do innych funkcji w usłudze Microsoft 365:

    • Ochrona punktu końcowego w usłudze Microsoft Defender korygowanie (urządzenia): członkostwo w roli administratora zabezpieczeń.

    • Ochrona usługi Office 365 w usłudze Microsoft Defender korygowanie (zawartość pakietu Office i adres e-mail):

      • Członkostwo w roli administratora zabezpieczeń .

      I

  • Email & uprawnienia do współpracy w portalu Microsoft Defender:

    • Ochrona usługi Office 365 w usłudze Microsoft Defender korygowanie (zawartość pakietu Office i adres e-mail):

      • Członkostwo w grupie ról administratora zabezpieczeń

      I

  • Microsoft Defender XDR Ujednolicona kontrola dostępu oparta na rolach (RBAC)

    • Ochrona punktu końcowego w usłudze Microsoft Defender korygowania: Operacje zabezpieczeń \ Dane zabezpieczeń \ Odpowiedź (zarządzanie).
    • Ochrona usługi Office 365 w usłudze Microsoft Defender korygowanie (zawartość pakietu Office i adres e-mail, jeśli Email & współpracy>Ochrona usługi Office 365 w usłudze Defender uprawnienia to Aktywne. Dotyczy tylko portalu usługi Defender, a nie programu PowerShell):
      • Dostęp do odczytu dla nagłówków wiadomości e-mail i wiadomości usługi Teams: Operacje zabezpieczeń/Nieprzetworzone dane (poczta e-mail & współpracy)/metadane współpracy Email & (odczyt).
      • Korygowanie złośliwych wiadomości e-mail: operacje zabezpieczeń/Dane zabezpieczeń/Email & zaawansowane akcje współpracy (zarządzanie).

    Porada

    Członkostwo w grupie ról administratora zabezpieczeń Email & uprawnienia do współpracy nie udzielają dostępu do centrum akcji ani Microsoft Defender XDR możliwości. W tym celu musisz być członkiem roli administratora zabezpieczeń w Microsoft Entra uprawnień.

  • Uprawnienia usługi Defender for Endpoint:

    • Ochrona punktu końcowego w usłudze Microsoft Defender korygowanie (urządzenia): członkostwo w roli aktywnych akcji korygowania.

Porada

Członkowie roli administratora globalnego w Tożsamość Microsoft Entra mogą zatwierdzać lub odrzucać wszelkie oczekujące akcje w Centrum akcji. Jednak najlepszym rozwiązaniem jest ograniczenie liczby członków roli administratora globalnego . Zalecamy używanie alternatywnych ról i grup ról zgodnie z opisem na poprzedniej liście uprawnień centrum akcji.

Następny krok

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.