Действия по исправлению в Microsoft Defender XDR
Область применения:
- Microsoft Defender XDR
Во время и после автоматического исследования в Microsoft Defender XDR определяются действия по исправлению вредоносных или подозрительных элементов. Некоторые типы действий по исправлению выполняются на устройствах, также называемых конечными точками. Другие действия по исправлению выполняются в отношении удостоверений, учетных записей и содержимого электронной почты. Автоматические исследования завершаются после принятия, утверждения или отклонения действий по исправлению.
Важно!
То, выполняются ли действия по исправлению автоматически или только после утверждения, зависит от определенных параметров, таких как уровни автоматизации. Дополнительные сведения см. в следующих разделах:
В следующей таблице перечислены действия по исправлению, которые в настоящее время поддерживаются в Microsoft Defender XDR.
| Действия по исправлению устройства (конечной точки) | Действия по исправления для электронной почты | Пользователи (учетные записи) |
|---|---|---|
| — сбор пакета исследования — Изоляция устройства (это действие можно отменить) — Выключение компьютера — Выполнение кода выпуска — Освобождение из карантина — Пример запроса — ограничение выполнения кода (это действие можно отменить). — Запуск проверки на вирусы — Остановка и помещение в карантин — содержать устройства из сети; |
— URL-адрес блокировки (время щелчка) — Обратимое удаление сообщений электронной почты или кластеров — Сообщение электронной почты о карантине — помещенное в карантин вложение электронной почты — Отключить внешнюю пересылку почты |
— Отключить пользователя — сброс пароля пользователя — подтвердите, что пользователь скомпрометирован. |
Действия по исправлению, ожидающие утверждения или уже завершенные, можно просмотреть в центре уведомлений.
Действия по исправлению, следующие за автоматизированным исследованием
После завершения автоматического расследования выдается вердикт по всем участвующим доказательствам. В зависимости от решения выявляются действия по исправлению. В некоторых случаях действия по исправлению выполняются автоматически. В других случаях действия по исправлению ожидают утверждения. Все зависит от того, как настроено автоматическое исследование и реагирование.
В таблице ниже перечислены возможные заключения и результаты.
| Заключение | Затронутые сущности | Результаты |
|---|---|---|
| Вредоносные | Устройства (конечные точки) | Действия по исправлению выполняются автоматически (при условии, что для групп устройств вашей организации задано значение Полное — устранять угрозы автоматически) |
| Скомпрометированы | Пользователи | Действия по исправлению выполняются автоматически |
| Вредоносные | Содержимое электронной почты (URL-адреса или вложения) | Рекомендуемые действия по исправлению ожидают утверждения |
| Подозрительные | Устройства или содержимое электронной почты | Рекомендуемые действия по исправлению ожидают утверждения |
| Угрозы не найдены | Устройства или содержимое электронной почты | Действия по исправлению не требуются |
Действия по исправлению, выполняемые вручную
Помимо действий по исправлению, которые следуют за автоматизированным исследованием, команда по операциям безопасности может выполнять определенные действия по исправлению вручную. К ним относятся:
- Действия устройства вручную, такие как изоляция устройства или карантин файлов
- Действие электронной почты вручную, например обратимое удаление сообщений электронной почты
- Действие пользователя вручную, например отключение пользователя или сброс пароля пользователя
- Расширенные действия охоты на устройствах, пользователях или электронной почте
- Обозреватель действия с содержимым электронной почты, например перемещение электронной почты в нежелательное, обратимое или жесткое удаление электронной почты
- Действие динамического ответа вручную, например удаление файла, остановка процесса и удаление запланированной задачи
- Действие динамического реагирования с Microsoft Defender для конечной точки API, например изоляция устройства, запуск антивирусной проверки и получение сведений о файле
Дальнейшие действия
- Посещение Центра уведомлений
- Просмотр действий по исправлению и управление ими
- Устранение ложных срабатываний или ложноотрицательных результатов
- Содержатся устройства от сети
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по