Выполнение действий ответов на устройстве

Область применения:

Важно!

Некоторые сведения относятся к предварительным выпускам продуктов, которые могут быть существенно изменены до коммерческого выпуска. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.

Быстро реагируйте на обнаруженные атаки, изолируя устройства или собирая пакет исследования. После выполнения действий на устройствах можно проверить сведения о действиях в центре уведомлений.

Действия ответа выполняются в верхней части определенной страницы устройства и включают:

  • Управление тегами
  • Запуск автоматического исследования
  • Запуск сеанса динамического ответа
  • Сбор пакета исследования
  • Запуск проверки на вирусы
  • Ограничить выполнение приложения
  • Изоляция устройства
  • Содержать устройство
  • Обратитесь к эксперту по угрозам
  • Центр уведомлений

Изображение ответных действий.

Важно!

Defender для конечной точки (план 1) и Microsoft Defender для бизнеса включают только следующие действия ответа вручную:

  • Запуск проверки на вирусы
  • Изоляция устройства
  • Остановка и помещение файла в карантин
  • Добавьте индикатор, чтобы заблокировать или разрешить файл, в подписку необходимо включить Defender для конечной точки (план 2), чтобы все действия ответа, описанные в этой статье.

Страницы устройств можно найти в любом из следующих представлений:

  • Очередь оповещений – Выберите имя устройства рядом со значком устройства из очереди оповещений.
  • Список устройств — выберите заголовок имени устройства из списка устройств.
  • Поле поиска – Выберите устройство из раскрывающегося меню и введите имя устройства.

Важно!

  • Эти ответные действия доступны только для устройств Windows 10 версии 1703 или более поздней, Windows 11, Windows Server 2019 и Windows Server 2022.
  • Для платформ, отличных от Windows, возможности реагирования (например, изоляция устройств) зависят от возможностей сторонних разработчиков.
  • Сведения о минимальных требованиях к ОС для агентов Майкрософт см. по ссылке "Дополнительные сведения" в каждой функции.

Управление тегами

Добавление тегов и управление ими для создания принадлежности логической группы. Теги устройств поддерживают правильное сопоставление сети, позволяя вам присоединять различные теги для захвата контекста и включения динамического создания списков в рамках инцидента.

Дополнительные сведения о тегах устройств см. в разделе "Создание тегов устройств и управление ими".

Запуск автоматического исследования

При необходимости вы можете начать новое автоматическое исследование общего назначения на устройстве. Пока выполняется исследование, любое другое оповещение, созданное с устройства, будет добавлено в текущее автоматическое исследование до завершения этого исследования. Кроме того, если та же угроза возникает на других устройствах, эти устройства добавляются в исследование.

Дополнительные сведения об автоматизированных исследованиях см. в разделе "Обзор автоматических исследований".

Запуск сеанса динамического ответа

Динамический ответ — это возможность, которая обеспечивает мгновенный доступ к устройству с помощью удаленного подключения оболочки. Это дает возможность выполнять подробные исследования и немедленно принимать меры реагирования для оперативного выявления угроз в режиме реального времени.

Динамический ответ предназначен для улучшения исследований, позволяя собирать аналитические данные, запускать скрипты, отправлять подозрительные сущности для анализа, устранять угрозы и заблаговременно искать новые угрозы.

Дополнительные сведения о динамическом ответе см. в статье "Исследование сущностей на устройствах с помощью динамического ответа".

Сбор пакета исследования с устройств

В рамках процесса исследования или реагирования можно собрать пакет исследования с устройства. Сбор пакета исследования позволяет определить текущее состояние устройства и получить дополнительные сведения о средствах и методах, используемых злоумышленником.

Важно!

В настоящее время эти действия не поддерживаются для устройств под управлением macOS или Linux. Используйте динамический ответ для выполнения действия. Дополнительные сведения о динамическом ответе см. в статье "Исследование сущностей на устройствах с помощью динамического ответа".

Скачивание пакета (ZIP-файл) и исследование событий, произошедших на устройстве

  1. Выберите "Сбор пакета исследования " в строке ответных действий в верхней части страницы устройства.

  2. Укажите в текстовом поле причину выполнения этого действия. Выберите Подтвердить.

  3. ZIP-файл будет скачан.

Альтернативный способ:

  1. Выберите центр уведомлений в разделе ответных действий на странице устройства.

    Параметр

  2. Во всплывающем окне центра уведомлений выберите пакет сбора пакетов, доступный для скачивания ZIP-файла.

    Параметр скачивания пакета

Пакет содержит следующие папки:

Folder Описание
Автозапуски Содержит набор файлов, каждый из которых представляет содержимое реестра известной точки входа автоматического запуска (ASEP), чтобы определить сохраняемость злоумышленника на устройстве.

ПРИМЕЧАНИЕ: Если раздел реестра не найден, файл будет содержать следующее сообщение: "ERROR: The system was unable to find the specified registry key or value".
Установленные программы Этот .CSV содержит список установленных программ, которые могут помочь определить, что в настоящее время установлено на устройстве. Дополнительные сведения см. в Win32_Product класса.
Сетевые подключения Эта папка содержит набор точек данных, связанных с информацией о подключении, которые могут помочь в определении подключения к подозрительным URL-адресам, инфраструктуре команд и управления (C&) злоумышленника, любому боковому смещению или удаленным подключениям.
  • ActiveNetConnections.txt: отображает статистику протокола и текущие сетевые подключения TCP/IP. Предоставляет возможность поиска подозрительных подключений, созданных процессом.
  • Arp.txt: отображает таблицы кэша текущего протокола разрешения адресов (ARP) для всех интерфейсов. Кэш ARP может выявлять другие узлы в сети, которые были скомпрометированы, или подозрительные системы в сети, которые могли использоваться для выполнения внутренней атаки.
  • DnsCache.txt: отображает содержимое кэша сопоставителя DNS-клиента, который включает как записи, предварительно загруженные из файла локальных узлов, так и все недавно полученные записи ресурсов для запросов имен, разрешенных компьютером. Это может помочь в выявлении подозрительных подключений.
  • IpConfig.txt: отображает полную конфигурацию TCP/IP для всех адаптеров. Адаптеры могут представлять физические интерфейсы, такие как установленные сетевые адаптеры или логические интерфейсы, такие как коммутаторные подключения.
  • FirewallExecutionLog.txt и pfirewall.log

ПРИМЕЧАНИЕ: Файл pfirewall.log должен существовать в папке %windir%\system32\logfiles\firewall\pfirewall.log, поэтому он будет включен в пакет исследования. Дополнительные сведения о создании файла журнала брандмауэра см. в разделе "Настройка брандмауэра Защитник Windows с помощью журнала расширенной безопасности".
Файлы предварительной выборки Файлы предварительной выборки Windows предназначены для ускорения процесса запуска приложения. Его можно использовать для отслеживания всех файлов, недавно использовавшихся в системе, и поиска трассировок для приложений, которые могли быть удалены, но по-прежнему находятся в списке файлов предварительной выборки.
  • Папка предварительной выборки: содержит копию файлов предварительной выборки из %SystemRoot%\Prefetch. ПРИМЕЧАНИЕ. Рекомендуется скачать средство просмотра файлов предварительной выборки для просмотра файлов предварительной выборки.
  • PrefetchFilesList.txt: содержит список всех скопированных файлов, которые можно использовать для отслеживания сбоев копирования в папку предварительной выборки.
Процессы Содержит .CSV с описанием выполняющегося процесса и позволяет определить текущие процессы, выполняемые на устройстве. Это может быть полезно при определении подозрительного процесса и его состояния.
Запланированные задачи Содержит .CSV с описанием запланированных задач, которые можно использовать для определения процедур, автоматически выполняемых на выбранном устройстве, для поиска подозрительного кода, настроенного для автоматического выполнения.
Журнал событий безопасности Содержит журнал событий безопасности, содержащий записи о действиях входа или выхода, а также другие события, связанные с безопасностью, указанные политикой аудита системы.

ПРИМЕЧАНИЕ: Откройте файл журнала событий с помощью средства просмотра событий.
Службы Содержит .CSV, в котором перечислены службы и их состояния.
Сеансы блока сообщений Windows Server (SMB) Перечисляет общий доступ к файлам, принтерам, последовательным портам и прочие связи между узлами в сети. Это может помочь определить кражу данных или боковое смещение.

Содержит файлы для SMBInboundSessions и SMBOutboundSession.

ПРИМЕЧАНИЕ: Если сеансы (входящие или исходящие) отсутствуют, вы получите текстовый файл с сообщением о том, что сеансы SMB не найдены.
Сведения о системе Содержит SystemInformation.txt, в котором перечислены системные сведения, такие как версия ОС и сетевые карты.
Временные каталоги Содержит набор текстовых файлов, в которых перечислены файлы, расположенные в %Temp% для каждого пользователя в системе.

Это может помочь отслеживать подозрительные файлы, которые злоумышленник мог удалить в системе.

ПРИМЕЧАНИЕ: Если файл содержит следующее сообщение: "The system cannot find the path specified", it means that there is no temp directory for this user, and might be because the user didn't log in the system.
Пользователи и группы Предоставляет список файлов, каждый из которых представляет группу и ее участников.
WdSupportLogs Предоставляет MpCmdRunLog.txt и MPSupportFiles.cab

ПРИМЕЧАНИЕ: Эта папка будет создана только в Windows 10 версии 1709 или более поздней с накопительным пакетом обновления за февраль 2020 г. или с более поздней версией:
  • Сборка Win10 1709 (RS3) 16299.1717: KB4537816
  • Сборка Win10 1803 (RS4) 17134.1345: KB4537795
  • Сборка Win10 1809 (RS5) 17763.1075: KB4537818
  • Win10 1903/1909 (19h1/19h2) Сборки 18362.693 и 18363.693: KB4535996
CollectionSummaryReport.xls Этот файл представляет собой сводку по сбору пакетов исследования, содержит список точек данных, команду, используемую для извлечения данных, состояние выполнения и код ошибки в случае сбоя. Этот отчет можно использовать для отслеживания того, содержит ли пакет все ожидаемые данные, и определить наличие ошибок.

Запуск Microsoft Defender антивирусной программы на устройствах

В рамках процесса исследования или реагирования можно удаленно инициировать антивирусную проверку, чтобы выявить и устранить вредоносные программы, которые могут присутствовать на скомпрометированных устройствах.

Важно!

Выберите "Запустить антивирусную проверку ", выберите тип проверки, который вы хотите запустить (быстрый или полный), и добавьте комментарий перед подтверждением проверки.

Уведомление для выбора быстрой проверки или полной проверки и добавления комментария

Центр уведомлений отобразит сведения о проверке, а временная шкала устройства будет содержать новое событие, отражающее, что на устройстве было отправлено действие сканирования. Microsoft Defender оповещения антивирусной программы будут отражать все обнаружения, выявленные во время проверки.

Примечание.

При активации проверки с помощью действия ответа Defender для конечной точки Microsoft Defender антивирусная программа ScanAvgCPULoadFactor по-прежнему применяется и ограничивает влияние проверки на ЦП. Если scanAvgCPULoadFactor не настроен, значением по умолчанию является ограничение в 50 % максимальной загрузки ЦП во время сканирования. Дополнительные сведения см. в разделе configure-advanced-scan-types-microsoft-defender-antivirus.

Ограничить выполнение приложения

Помимо предотвращения атаки путем остановки вредоносных процессов, вы также можете заблокировать устройство и предотвратить последующие попытки запуска потенциально вредоносных программ.

Важно!

  • Это действие доступно для устройств Windows 10 версии 1709 или более поздней, Windows 11 и Windows Server 2019 или более поздней версии.
  • Эта функция доступна, если ваша организация использует Microsoft Defender антивирусной программе.
  • Это действие должно соответствовать Защитник Windows политики целостности кода управления приложениями и требованиям к подписывании. Дополнительные сведения см. в разделе "Форматы политики целостности кода и подписывание".

Чтобы запретить запуск приложения, применяется политика целостности кода, которая позволяет запускать файлы только в том случае, если они подписаны сертификатом, выданным корпорацией Майкрософт. Этот метод ограничения может помочь предотвратить управление скомпрометированными устройствами и выполнение дальнейших вредоносных действий.

Примечание.

Вы сможете отменить ограничение запуска приложений в любое время. Кнопка на странице устройства изменится на "Удалить ограничения приложения", а затем вы выполните те же действия, что и при ограничении выполнения приложения.

После выбора ограничения выполнения приложения на странице устройства введите комментарий и нажмите кнопку "Подтвердить". Центр уведомлений отобразит сведения о проверке, а временная шкала устройства будет содержать новое событие.

Уведомление об ограничении приложения

Уведомление для пользователя устройства

Если приложение ограничено, отображается следующее уведомление, информирующее пользователя о том, что приложение запрещено запускать:

Сообщение об ограничении приложения

Примечание.

Уведомление недоступно в Windows Server 2016 и Windows Server 2012 R2.

Изолировать устройства от сети

В зависимости от серьезности атаки и конфиденциальности устройства может потребоваться изолировать устройство от сети. Это действие может помочь предотвратить управление скомпрометированным устройством и выполнение дальнейших действий, таких как кража данных и боковое перемещение.

Важно!

  • Изоляция устройств из сети в настоящее время не поддерживается для устройств под управлением macOS или Linux. Для macOS используйте динамический ответ для выполнения действия. Дополнительные сведения о динамическом ответе см. в статье "Исследование сущностей на устройствах с помощью динамического ответа".
  • Полная изоляция доступна для устройств под управлением Windows 11, Windows 10 версии 1703 или более поздней, Windows Server 2022, Windows Server 2019 и Windows Server 2016.
  • Выборочная изоляция доступна для устройств под управлением Windows 10 версии 1709 или более поздней и Windows 11.
  • При изоляции устройства разрешены только определенные процессы и назначения. Таким образом, устройства, которые находятся за полным VPN-туннелем, не смогут подключиться к облачной Microsoft Defender для конечной точки после изоляции устройства. Мы рекомендуем использовать VPN с раздельным туннелированием для Microsoft Defender для конечной точки и Microsoft Defender трафика, связанного с облачной защитой антивирусной программы.

Эта функция изоляции устройства отключит скомпрометированные устройства от сети, сохраняя подключение к службе Defender для конечной точки, которая продолжает отслеживать устройство.

В Windows 10 версии 1709 или более поздней вы получите более полный контроль над уровнем сетевой изоляции. Вы также можете включить Outlook, Microsoft Teams и Skype для бизнеса подключения (например, "Выборочная изоляция").

Примечание.

Вы сможете повторно подключить устройство к сети в любое время. Кнопка на странице устройства изменится на "Освободить от изоляции ", а затем вы выполните те же действия, что и изоляция устройства.

Выбрав " Изолировать устройство" на странице устройства, введите комментарий и нажмите кнопку "Подтвердить". Центр уведомлений отобразит сведения о проверке, а временная шкала устройства будет содержать новое событие.

Страница сведений об изолированном устройстве

Примечание.

Устройство останется подключенным к службе Defender для конечной точки, даже если оно изолировано от сети. Если вы решили включить Outlook и Skype для бизнеса связи, вы сможете взаимодействовать с пользователем, пока устройство изолировано.

Уведомление для пользователя устройства

При изоляции устройства отображается следующее уведомление, информирующее пользователя о том, что устройство изолировано от сети:

Сообщение об отсутствии сетевого подключения

Содержатся устройства от сети

Примечание.

Возможности contain в настоящее время доступны в общедоступной предварительной версии. Сведения о новых функциях в предварительной версии Microsoft 365 Defender и быть одними из первых, чтобы опробовать предстоящие функции, включив функции предварительной версии, см. предварительные версии функций в Micrsoft 365 Defender.

Если вы определили неуправляемое устройство, которое скомпрометировано или потенциально скомпрометировано, может потребоваться включить это устройство из сети. Если устройство содержится, Microsoft Defender для конечной точки подключенное устройство блокирует входящий и исходящий обмен данными с этим устройством. Это действие может помочь предотвратить компрометацию соседних устройств, пока аналитик операций безопасности находит, идентифицирует и устраняет угрозу на скомпрометированных устройствах.

Примечание.

Блокировка входящего и исходящего обмена данными с "автономным" устройством поддерживается на подключенных устройствах Microsoft Defender для конечной точки Windows 10 и Windows Server 2019 и более поздних версий.

Как содержать устройство

  1. Перейдите на страницу инвентаризации устройств и выберите устройство для хранения.

  2. Выберите "Содержать устройство " в меню действий во всплывающем окне устройства.

Снимок экрана: всплывающее сообщение

  1. Во всплывающем окне "Включить устройство" введите комментарий и нажмите кнопку "Подтвердить".

Снимок экрана: пункт меню

Содержат устройство со страницы устройства

Устройство также может содержаться на странице устройства, выбрав "Содержать устройство" на панели действий:

Снимок экрана: пункт меню

Примечание.

Для получения сведений о новом устройстве с подключением к подключенным устройствам может потребоваться до Microsoft Defender для конечной точки 5 минут.

Важно!

  • Если автономные устройства меняют свой IP-адрес, все подключенные Microsoft Defender для конечной точки распознают это и начинают блокировать связь с новым IP-адресом. Исходный IP-адрес больше не будет заблокирован (для просмотра этих изменений может потребоваться до 5 минут).
  • В случаях, когда IP-адрес содержащегося устройства используется другим устройством в сети, во время его хранения отображается предупреждение со ссылкой на расширенную охоту (с предварительно заполненным запросом). Это обеспечит видимость других устройств, использующих тот же IP-адрес, чтобы принять решение, если вы хотите продолжить работу с устройством.
  • В случаях, когда автономным устройством является сетевое устройство, отображается предупреждение с сообщением о том, что это может вызвать проблемы с сетевым подключением (например, с маршрутизатором, который выступает в качестве шлюза по умолчанию). На этом этапе вы сможете выбрать, должно ли устройство содержаться.

Если после того как устройство содержится, проверьте, включена ли служба базового модуля фильтрации (BFE) на подключенных устройствах Defender для конечной точки.

Остановка хранения устройства

Вы сможете в любое время прекратить использовать устройство.

  1. Выберите устройство в списке устройств или откройте страницу устройства.

  2. В меню действий выберите "Выпуск из вмещего элемента". Это действие восстанообразит подключение этого устройства к сети.

Обратитесь к эксперту по угрозам

Вы можете обратиться к эксперту майкрософт по угрозам, чтобы получить дополнительные сведения о потенциально скомпрометированных или уже скомпрометированных устройствах. эксперты Майкрософт по угрозам могут быть задействованы непосредственно из Microsoft 365 Defender для получения правильного и правильного ответа. Эксперты предоставляют аналитические сведения не только о потенциально скомпрометированных устройствах, но и для лучшего понимания сложных угроз, уведомлений о целевых атаках, которые вы получаете, или если вам нужны дополнительные сведения об оповещениях или контекст аналитики угроз, который отображается на панели мониторинга портала.

Дополнительные сведения см. в статье "Обратитесь к специалисту по угрозам Майкрософт".

Проверка сведений о действиях в центре действий

Центр уведомлений предоставляет сведения о действиях, выполненных на устройстве или в файле. Вы сможете просмотреть следующие сведения:

  • Сбор пакетов исследования
  • Антивирусная проверка
  • Ограничение приложения
  • Изоляция устройств

Также отображаются все другие связанные сведения, например дата и время отправки, отправка пользователя, а также успешное или неудачное действие.

Центр уведомлений с информацией

См. также