Akcje korygowania w Microsoft Defender XDR
Uwaga
Chcesz skorzystać z usługi Microsoft Defender XDR? Dowiedz się więcej o tym, jak można oceniać i pilotować usługę Microsoft Defender XDR.
Dotyczy:
- Microsoft Defender XDR
W trakcie i po zautomatyzowanym badaniu w Microsoft Defender XDR są identyfikowane akcje korygowania dla złośliwych lub podejrzanych elementów. Niektóre rodzaje akcji korygowania są podejmowane na urządzeniach, nazywanych również punktami końcowymi. Inne akcje korygowania są podejmowane w przypadku tożsamości, kont i zawartości poczty e-mail. Zautomatyzowane badania są wykonywane po wykonaniu akcji korygowania, zatwierdzeniu lub odrzuceniu.
Ważna
To, czy akcje korygowania są wykonywane automatycznie, czy tylko po zatwierdzeniu, zależy od pewnych ustawień, takich jak poziomy automatyzacji. Aby dowiedzieć się więcej, zobacz następujące artykuły:
Poniższa tabela zawiera podsumowanie akcji korygowania, które są obecnie obsługiwane w Microsoft Defender XDR.
| Akcje korygowania urządzenia (punktu końcowego) | akcje korygowania Email | Użytkownicy (konta) |
|---|---|---|
| — Zbieranie pakietu badania - Izolowanie urządzenia (tę akcję można cofnąć) - Maszyna odłączona — Wykonywanie kodu wydania — Zwolnienie z kwarantanny — Przykład żądania — Ograniczanie wykonywania kodu (tę akcję można cofnąć) — Uruchamianie skanowania antywirusowego — Zatrzymywanie i kwarantanna — Zawiera urządzenia z sieci |
- Blokuj adres URL (czas kliknięcia) - Usuwanie nietrwałe wiadomości e-mail lub klastrów — Wiadomość e-mail o kwarantannie — Kwarantanna załącznika wiadomości e-mail - Wyłącz przekazywanie poczty zewnętrznej |
— Wyłączanie użytkownika - Resetowanie hasła użytkownika — Potwierdź, że użytkownik został naruszona |
Akcje korygowania, oczekujące na zatwierdzenie lub już zakończone, można wyświetlić w Centrum akcji.
Akcje korygowania, które są wykonywane po zautomatyzowanych badaniach
Po zakończeniu zautomatyzowanego dochodzenia zostaje osiągnięty werdykt dla każdego dowodu. W zależności od werdyktu są identyfikowane akcje korygowania. W niektórych przypadkach akcje korygowania są wykonywane automatycznie; w innych przypadkach akcje korygowania oczekują na zatwierdzenie. Wszystko zależy od tego, jak jest skonfigurowane zautomatyzowane badanie i reagowanie.
Poniższa tabela zawiera listę możliwych werdyktów i wyników:
| Werdykt | Jednostki, których dotyczy problem | Wyniki |
|---|---|---|
| Złośliwy | Urządzenia (punkty końcowe) | Akcje korygowania są wykonywane automatycznie (przy założeniu, że grupy urządzeń w organizacji są ustawione na Pełne — automatycznie koryguj zagrożenia) |
| Zagrożone | Użytkownicy | Akcje korygowania są wykonywane automatycznie |
| Złośliwy | zawartość Email (adresy URL lub załączniki) | Zalecane akcje korygowania oczekują na zatwierdzenie |
| Podejrzanych | Zawartość urządzeń lub wiadomości e-mail | Zalecane akcje korygowania oczekują na zatwierdzenie |
| Nie znaleziono zagrożeń | Zawartość urządzeń lub wiadomości e-mail | Nie są wymagane żadne akcje korygowania |
Akcje korygowania, które są podejmowane ręcznie
Oprócz akcji korygowania, które są wykonywane po zautomatyzowanych badaniach, zespół ds. operacji zabezpieczeń może ręcznie wykonać pewne akcje korygowania. Są to następujące funkcje:
- Ręczne działanie urządzenia, takie jak izolacja urządzenia lub kwarantanna pliku
- Ręczne działanie poczty e-mail, takie jak usuwanie nietrwałe wiadomości e-mail
- Ręczne działanie użytkownika, takie jak wyłączenie użytkownika lub zresetowanie hasła użytkownika
- Zaawansowana akcja wyszukiwania zagrożeń na urządzeniach, użytkownikach lub w wiadomościach e-mail
- Akcja Eksploratora dotycząca zawartości wiadomości e-mail, taka jak przenoszenie wiadomości e-mail na wiadomości-śmieci, usuwanie nietrwałe wiadomości e-mail lub usuwanie wiadomości e-mail
- Ręczna akcja odpowiedzi na żywo , taka jak usuwanie pliku, zatrzymywanie procesu i usuwanie zaplanowanego zadania
- Akcja odpowiedzi na żywo za pomocą interfejsów API Ochrona punktu końcowego w usłudze Microsoft Defender, takich jak izolowanie urządzenia, uruchamianie skanowania antywirusowego i uzyskiwanie informacji o pliku
Następne kroki
- Odwiedź centrum akcji
- Wyświetlanie działań naprawczych i zarządzanie nimi
- Adres fałszywie dodatnie lub fałszywie ujemne
- Zawiera urządzenia z sieci
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla