Просмотр действий и управление ими в центре уведомлений

  • Статья

Область применения:

  • Microsoft Defender XDR

Функции защиты от угроз в Microsoft Defender XDR могут привести к определенным действиям по исправлению. Ниже приводятся примеры:

  • Автоматическое исследование может привести к действиям по исправлению, которые выполняются автоматически или ожидают вашего утверждения.
  • Антивирусная программа, антивредоносное ПО и другие функции защиты от угроз могут привести к действиям по исправлению, таким как блокировка файла, URL-адреса или процесса или отправка артефакта в карантин.
  • Ваша команда по операциям безопасности может выполнять действия по исправлению вручную, например во время расширенной охоты или во время изучения оповещений или инцидентов.

Примечание.

Чтобы утвердить или отклонить действия по исправлению, необходимы соответствующие разрешения. Дополнительные сведения см. в разделе Предварительные требования.

Чтобы перейти в Центр уведомлений, выполните одно из следующих действий.

Просмотрите ожидающие выполнения действия в центре уведомлений

Необходимо как можно скорее утвердить (или отклонить) ожидающие выполнения действия, чтобы автоматизированный анализ угроз мог продолжить работу и своевременно завершить ее.

  1. Перейдите на портал Microsoft Defender и выполните вход.

  2. В области навигации в разделе Действия и отправки выберите Центр уведомлений.

  3. В центре уведомлений на вкладке Ожидание выберите элемент в списке. Откроется всплывающее окно. Ниже приведен пример.

    Параметры для утверждения или отклонения действия

  4. Просмотрите сведения во всплывающей области и выполните одно из следующих действий:

    • Выберите Открыть страницу исследования, чтобы просмотреть дополнительные сведения об исследовании.
    • Выберите Утвердить чтобы инициировать ожидающие действия.
    • Выберите Отклонить чтобы предотвратить действие, ожидающие завершения.
    • Выберите Перейти к охоте , чтобы перейти к разделу Расширенная охота.

Совет

Теперь у вас есть больше возможностей для проверки и утверждения или отклонения действия по исправлению. Помимо использования центра уведомлений, можно также утвердить или отклонить действие по исправлению при проверке инцидента. Дополнительные сведения см. в статье Утверждение или отклонение действий по исправлению.

Отмена завершенных действий

Если вы определили, что устройство или файл не является угрозой, вы можете отменить выполненные действия по исправлению, независимо от того, были ли эти действия выполнены автоматически или вручную. В центре уведомлений на вкладке Журнал можно отменить любое из следующих действий:

Источник действия Поддерживаемые действия
— Автоматическое исследование
— антивирусная программа Microsoft Defender
— Действия реагирования вручную		 — Изоляция устройства
— ограничение выполнения кода
— Помещение файла в карантин
— Удаление раздела реестра
— Остановка службы
— Отключение драйвера
— Удаление запланированной задачи

Отмена одного действия по исправлению

  1. Перейдите в центр уведомлений (https://security.microsoft.com/action-center) и выполните вход.

  2. На вкладке Журнал выберите действие, которое нужно отменить.

  3. В области в правой части экрана выберите Отменить.

Отмена нескольких действий по исправлению

  1. Перейдите в центр уведомлений (https://security.microsoft.com/action-center) и выполните вход.

  2. На вкладке Журнал выберите действия, которые нужно отменить. Обязательно выберите элементы с одинаковым типом действия. Откроется всплывающий элемент.

  3. Во всплывающей области выберите Отменить.

Удаление файла из карантина на нескольких устройствах

  1. Перейдите в центр уведомлений (https://security.microsoft.com/action-center) и выполните вход.

  2. На вкладке Журнал выберите файл с типом Действия файла карантина .

  3. В области в правой части экрана выберите Применить к X дополнительным экземплярам этого файла, а затем выберите Отменить.

Дальнейшие действия

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.