Akcje korygowania w usłudze Microsoft Defender XDR

Dotyczy:

• Microsoft Defender XDR

Podczas i po zautomatyzowanym badaniu w usłudze Microsoft Defender XDR są identyfikowane akcje korygowania dla złośliwych lub podejrzanych elementów. Niektóre rodzaje akcji korygowania są podejmowane na urządzeniach, nazywanych również punktami końcowymi. Inne akcje korygowania są podejmowane w przypadku tożsamości, kont i zawartości wiadomości e-mail. Ponadto niektóre typy akcji korygowania mogą być wykonywane automatycznie, podczas gdy inne typy akcji korygowania są wykonywane ręcznie przez zespół ds. zabezpieczeń organizacji. Gdy zautomatyzowane badanie powoduje co najmniej jedną akcję korygowania, badanie kończy się tylko wtedy, gdy akcje korygowania są podejmowane, zatwierdzane lub odrzucane.

Ważna

To, czy akcje korygowania są wykonywane automatycznie, czy tylko po zatwierdzeniu, zależy od pewnych ustawień, takich jak poziomy automatyzacji. Aby dowiedzieć się więcej, zobacz następujące artykuły:

• Konfigurowanie możliwości zautomatyzowanego badania i reagowania w usłudze Microsoft Defender XDR
• Konfigurowanie kont akcji w usłudze Microsoft Defender for Identity
• Sposób korygowanie zagrożeń na urządzeniach
• Zagrożenia i akcje korygowania dotyczące zawartości współpracy & poczty e-mail

Poniższa tabela zawiera podsumowanie akcji korygowania, które są obecnie obsługiwane w usłudze Microsoft Defender XDR.

Akcje korygowania urządzenia (punktu końcowego)	Akcje korygowania poczty e-mail	Użytkownicy (konta)
— Zbieranie pakietu badania - Izolowanie urządzenia (tę akcję można cofnąć) - Maszyna odłączona — Wykonywanie kodu wydania — Zwolnienie z kwarantanny — Przykład żądania — Ograniczanie wykonywania kodu (tę akcję można cofnąć) — Uruchamianie skanowania antywirusowego — Zatrzymywanie i kwarantanna — Zawiera urządzenia z sieci	- Blokuj adres URL (czas kliknięcia) - Usuwanie nietrwałe wiadomości e-mail lub klastrów — Wiadomość e-mail o kwarantannie — Kwarantanna załącznika wiadomości e-mail - Wyłącz przekazywanie poczty zewnętrznej	— Wyłączanie użytkownika - Resetowanie hasła użytkownika — Potwierdź, że użytkownik został naruszona

Akcje korygowania, oczekujące na zatwierdzenie lub już zakończone, można wyświetlić w Centrum akcji.

Akcje korygowania, które są wykonywane po zautomatyzowanych badaniach

Po zakończeniu zautomatyzowanego dochodzenia zostaje osiągnięty werdykt dla każdego dowodu. W zależności od werdyktu są identyfikowane akcje korygowania. W niektórych przypadkach akcje korygowania są wykonywane automatycznie; w innych przypadkach akcje korygowania oczekują na zatwierdzenie. Wszystko zależy od tego, jak jest skonfigurowane zautomatyzowane badanie i reagowanie.

Poniższa tabela zawiera listę możliwych werdyktów i wyników:

Werdykt	Jednostki, których dotyczy problem	Wyniki
Złośliwy	Urządzenia (punkty końcowe)	Akcje korygowania są wykonywane automatycznie (przy założeniu, że grupy urządzeń w organizacji są ustawione na Pełne — automatycznie koryguj zagrożenia)
Zagrożone	Użytkownicy	Akcje korygowania są wykonywane automatycznie
Złośliwy	Zawartość wiadomości e-mail (adresy URL lub załączniki)	Zalecane akcje korygowania oczekują na zatwierdzenie
Podejrzany	Zawartość urządzeń lub wiadomości e-mail	Zalecane akcje korygowania oczekują na zatwierdzenie
Nie znaleziono zagrożeń	Zawartość urządzeń lub wiadomości e-mail	Nie są wymagane żadne akcje korygowania

Akcje korygowania, które są podejmowane ręcznie

Oprócz akcji korygowania, które są wykonywane po zautomatyzowanych badaniach, zespół ds. operacji zabezpieczeń może ręcznie wykonać pewne akcje korygowania. Te akcje obejmują:

• Ręczne działanie urządzenia, takie jak izolacja urządzenia lub kwarantanna pliku
• Ręczne działanie poczty e-mail, takie jak usuwanie nietrwałe wiadomości e-mail
• Ręczne działanie użytkownika, takie jak wyłączenie użytkownika lub zresetowanie hasła użytkownika
• Zaawansowana akcja wyszukiwania zagrożeń na urządzeniach, użytkownikach lub w wiadomościach e-mail
• Akcja Eksploratora dotycząca zawartości wiadomości e-mail, taka jak przenoszenie wiadomości e-mail na wiadomości-śmieci, usuwanie nietrwałe wiadomości e-mail lub usuwanie wiadomości e-mail
• Ręczna akcja odpowiedzi na żywo , taka jak usuwanie pliku, zatrzymywanie procesu i usuwanie zaplanowanego zadania
• Akcja odpowiedzi na żywo za pomocą interfejsów API punktu końcowego w usłudze Microsoft Defender, takich jak izolowanie urządzenia, uruchamianie skanowania antywirusowego i uzyskiwanie informacji o pliku

Następne kroki

• Odwiedź centrum akcji
• Wyświetlanie działań naprawczych i zarządzanie nimi
• Adres fałszywie dodatnie lub fałszywie ujemne
• Zawiera urządzenia z sieci

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.