Просмотр действий по исправлению после автоматического исследования

Область применения:

Действия по исправлению

При выполнении автоматического расследования для каждого исследуемого доказательства выдается вердикт. Приговоры могут быть вредоносными, подозрительными или Не найдены угрозы.

В зависимости от

  • тип угрозы,
  • результирующий вердикт, и
  • как настроены группы устройств вашей организации,

Действия по исправлению могут выполняться автоматически или только после утверждения группой по обеспечению безопасности вашей организации.

Примечание.

Создание группы устройств поддерживается в Defender для конечной точки плана 1 и плана 2.

Вот несколько примеров:

  • Пример 1. Группы устройств Fabrikam имеют значение Полный — устраняйте угрозы автоматически (рекомендуемый параметр). В этом случае действия по исправлению автоматически выполняются для артефактов, которые считаются вредоносными после автоматического исследования (см . раздел Проверка завершенных действий).

  • Пример 2. Устройства Contoso включены в группу устройств, для которых задано значение Semi. Для любого исправления требуется утверждение. В этом случае группа по операциям безопасности Contoso должна проверить и утвердить все действия по исправлению после автоматического исследования (см . раздел Проверка ожидающих действий).

  • Пример 3. Для tailspin Toys для групп устройств задано значение Нет автоматического ответа (не рекомендуется). В этом случае автоматизированные исследования не выполняются. Никакие действия по исправлению не выполняются или не ожидаются, и никакие действия не регистрируются в центре уведомлений для своих устройств (см. раздел Управление группами устройств).

Независимо от того, выполняется ли автоматическое или после утверждения, автоматическое исследование и исправление может привести к одному или нескольким действиям по исправлению:

  • Поместить файл в карантин
  • Удаление раздела реестра
  • Завершение процесса
  • Остановка службы
  • Отключение драйвера
  • Удаление запланированной задачи

Проверка ожидающих действий

  1. Перейдите на портал Microsoft Defender и выполните вход.

  2. В панели навигации щелкните Центр уведомлений.

  3. Просмотрите элементы на вкладке Ожидание .

  4. Выберите действие, чтобы открыть его всплывающий элемент.

  5. На всплывающей панели просмотрите сведения, а затем выполните одно из следующих действий:

    • Выберите Открыть страницу исследования, чтобы просмотреть дополнительные сведения об исследовании.
    • Выберите Утвердить чтобы инициировать ожидающие действия.
    • Выберите Отклонить чтобы предотвратить действие, ожидающие завершения.
    • Выберите Перейти к охоте , чтобы перейти к разделу Расширенная охота.

Утверждение или отклонение действий по исправлению

Для инцидентов с состоянием исправления в ожидании утверждения можно также утвердить или отклонить действие по исправлению из инцидента.

  1. В области навигации перейдите в раздел Инциденты & оповещения Инциденты>.
  2. Фильтр по действию Pending для состояния автоматического исследования (необязательно).
  3. Выберите имя инцидента, чтобы открыть страницу его сводки.
  4. Перейдите на вкладку Доказательства и Ответ .
  5. Выберите элемент в списке, чтобы открыть его всплывающее меню.
  6. Просмотрите сведения и выполните одно из следующих действий.
    • Выберите параметр Утвердить ожидающее действие, чтобы инициировать ожидающее действие.
    • Выберите параметр Отклонить ожидающее действие, чтобы предотвратить принятие ожидающего действия.

Параметр Утвердить и отклонить в области управления доказательствами и ответами для инцидента на портале Microsoft Defender

Проверка завершенных действий

  1. Перейдите на портал Microsoft Defender и выполните вход.

  2. В панели навигации щелкните Центр уведомлений.

  3. Просмотрите элементы на вкладке Журнал .

  4. Выберите элемент, чтобы просмотреть дополнительные сведения об этом действии по исправлению.

Отмена завершенных действий

Если вы определили, что устройство или файл не является угрозой, вы можете отменить выполненные действия по исправлению, независимо от того, были ли эти действия выполнены автоматически или вручную. В центре уведомлений на вкладке Журнал можно отменить любое из следующих действий:

Источник действия Поддерживаемые действия
  • Автоматическое исследование
  • Действия реагирования вручную (см. примечание ниже)
  • Антивирусная программа в Microsoft Defender
  • Отключение драйвера
  • Изоляция устройства
  • Поместить файл в карантин
  • Удаление раздела реестра
  • Удаление запланированной задачи
  • Ограничение выполнения кода
  • Остановка службы

Примечание.

Defender для конечной точки плана 1 и Microsoft Defender для бизнеса включают только следующие действия реагирования вручную:

  • Запуск проверки на вирусы
  • Изоляция устройства
  • Остановка и карантин файла
  • Добавление индикатора для блокировки или разрешения файла

Отмена нескольких действий одновременно

  1. Перейдите в центр уведомлений (https://security.microsoft.com/action-center) и выполните вход.

  2. На вкладке Журнал выберите действия, которые нужно отменить. Обязательно выберите элементы с одинаковым типом действия. Откроется всплывающий элемент.

  3. Во всплывающей области выберите Отменить.

Удаление файла из карантина на нескольких устройствах

  1. Перейдите в центр уведомлений (https://security.microsoft.com/action-center) и выполните вход.

  2. На вкладке Журнал выберите элемент с файлом карантина типа действия.

  3. Во всплывающей области выберите Применить к X дополнительным экземплярам этого файла, а затем выберите Отменить.

Уровни автоматизации, результаты автоматизированного исследования и результирующие действия

Уровни автоматизации влияют на то, выполняются ли определенные действия по исправлению автоматически или только после утверждения. Иногда вашей команде по операциям с безопасностью требуется выполнить больше действий в зависимости от результатов автоматического исследования. В следующей таблице перечислены уровни автоматизации, результаты автоматизированных исследований и действия в каждом случае.

Параметр группы устройств Результаты автоматического исследования Действия
Полное — автоматическое устранение угроз
(рекомендуется)
Вердикт злоумышленника достигается для части доказательств.

Соответствующие действия по исправлению выполняются автоматически.

Проверка завершенных действий
Semi — требуется утверждение для любого исправления. Для доказательства достигается вердикт вредоносного или подозрительного .

Действия по исправлению ожидают утверждения для продолжения.

Утверждение (или отклонение) ожидающих действий
Semi — требуется утверждение для исправления основных папок Вердикт злоумышленника достигается для части доказательств.

Если артефакт является файлом или исполняемым файлом и находится в каталоге операционной системы, например в папке Windows или папке Program Files, действия по исправлению ожидают утверждения.

Если артефакт отсутствует в каталоге операционной системы, действия по исправлению выполняются автоматически.

  1. Утверждение (или отклонение) ожидающих действий
  2. Проверка завершенных действий
Semi — требуется утверждение для исправления основных папок Вердикт Подозрительный достигается для доказательства.

Действия по исправлению ожидают утверждения.

Утвердить (или отклонить) ожидающие действия.
Semi — требуется утверждение для исправления, отличного от временных папок. Вердикт злоумышленника достигается для части доказательств.

Если артефакт является файлом или исполняемым файлом, который не находится во временной папке, например в папке загрузки пользователя или временной папке, действия по исправлению ожидают утверждения.

Если артефакт является файлом или исполняемым файлом, который находится во временной папке, действия по исправлению выполняются автоматически.

  1. Утверждение (или отклонение) ожидающих действий
  2. Проверка завершенных действий
Semi — требуется утверждение для исправления, отличного от временных папок. Вердикт Подозрительный достигается для доказательства.

Действия по исправлению ожидают утверждения.

Утверждение (или отклонение) ожидающих действий
Любой из уровней полной или полуавто-автоматизации Вердикт о том, что угрозы не найдены , достигнут для доказательства.

Никакие действия по исправлению не выполняются, и никакие действия не ожидают утверждения.

Просмотр сведений и результатов автоматических исследований
Нет автоматического ответа (не рекомендуется) Автоматическое расследование не выполняется, поэтому вердикты не выносятся, а также не принимаются меры по исправлению или ожидают утверждения. Рассмотрите возможность настройки или изменения групп устройств для использования полной или полуавто-автоматизации

Все вердикты отслеживаются в центре уведомлений.

Примечание.

В Defender для бизнеса возможности автоматического исследования и исправления предустановлены для использования полного — автоматического устранения угроз. Эти возможности применяются ко всем устройствам по умолчанию.

Дальнейшие действия

См. также

Совет

Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в нашем техническом сообществе: Microsoft Defender для конечной точки технического сообщества.