Dela via


Granska reparationsåtgärder efter en automatiserad undersökning

Gäller för:

Reparationsåtgärder

När en automatiserad undersökning körs genereras en dom för varje bevis som undersöks. Domar kan vara skadliga, misstänkta eller inga hot som hittas.

Beroende på

  • typen av hot,
  • den resulterande domen, och
  • hur organisationens enhetsgrupper är konfigurerade,

reparationsåtgärder kan utföras automatiskt eller endast efter godkännande av organisationens säkerhetsåtgärdsteam.

Obs!

Skapande av enhetsgrupp stöds i Defender för Endpoint Plan 1 och Plan 2.

Här är några exempel:

  • Exempel 1: Fabrikams enhetsgrupper är inställda på Fullständig – åtgärda hot automatiskt (den rekommenderade inställningen). I det här fallet vidtas reparationsåtgärder automatiskt för artefakter som anses vara skadliga efter en automatiserad undersökning (se Granska slutförda åtgärder).

  • Exempel 2: Contosos enheter ingår i en enhetsgrupp som har angetts för Semi – kräver godkännande för eventuella åtgärder. I det här fallet måste Contosos säkerhetsåtgärdsteam granska och godkänna alla reparationsåtgärder efter en automatiserad undersökning (se Granska väntande åtgärder).

  • Exempel 3: Tailspin Toys har sina enhetsgrupper inställda på Inget automatiserat svar (rekommenderas inte). I det här fallet sker inte automatiserade undersökningar. Inga åtgärder vidtas eller väntar och inga åtgärder loggas i åtgärdscentret för deras enheter (se Hantera enhetsgrupper).

Oavsett om de vidtas automatiskt eller vid godkännande kan en automatiserad undersökning och reparation resultera i en eller flera av reparationsåtgärderna:

  • Placera en fil i karantän
  • Ta bort en registernyckel
  • Avsluta en process
  • Stoppa en tjänst
  • Inaktivera en drivrutin
  • Ta bort en schemalagd aktivitet

Granska väntande åtgärder

  1. Gå till Microsoft Defender-portalen och logga in.

  2. I navigeringsfönstret väljer du Åtgärdscenter.

  3. Granska objekten på fliken Väntar .

  4. Välj en åtgärd för att öppna dess utfällbara fönster.

  5. Granska informationen i det utfällbara fönstret och utför sedan något av följande steg:

    • Välj Öppna undersökningssida om du vill visa mer information om undersökningen.
    • Välj Godkänn för att initiera en väntande åtgärd.
    • Välj Avvisa för att förhindra att en väntande åtgärd vidtas.
    • Välj Go hunt (Gå jakt) för att gå till Avancerad jakt.

Godkänna eller avvisa reparationsåtgärder

För incidenter med reparationsstatusen Väntar på godkännande kan du även godkänna eller avvisa en åtgärd inifrån incidenten.

  1. I navigeringsfönstret går du till Incidenter & aviseringar>Incidenter.
  2. Filtrera på Väntande åtgärd för tillståndet Automatiserad undersökning (valfritt).
  3. Välj ett incidentnamn för att öppna sammanfattningssidan.
  4. Välj fliken Bevis och svar .
  5. Välj ett objekt i listan för att öppna dess utfällbara fönster.
  6. Granska informationen och utför sedan något av följande steg:
    • Välj alternativet Godkänn väntande åtgärd för att initiera en väntande åtgärd.
    • Välj alternativet Avvisa väntande åtgärd för att förhindra att en väntande åtgärd vidtas.

Alternativet Godkänn\Avvisa i fönstret Bevis- och svarshantering för en incident i Microsoft Defender-portalen

Granska slutförda åtgärder

  1. Gå till Microsoft Defender-portalen och logga in.

  2. I navigeringsfönstret väljer du Åtgärdscenter.

  3. Granska objekten på fliken Historik .

  4. Välj ett objekt om du vill visa mer information om reparationsåtgärden.

Ångra slutförda åtgärder

Om du har fastställt att en enhet eller fil inte är ett hot kan du ångra åtgärder som har vidtagits, oavsett om dessa åtgärder har vidtagits automatiskt eller manuellt. På fliken Historik i Åtgärdscenter kan du ångra någon av följande åtgärder:

Åtgärdskälla Åtgärder som stöds
  • Automatiserad undersökning
  • Manuella svarsåtgärder (se anteckningen nedan)
  • Microsoft Defender Antivirus
  • Inaktivera en drivrutin
  • Isolera enhet
  • Placera en fil i karantän
  • Ta bort en registernyckel
  • Ta bort en schemalagd aktivitet
  • Begränsa kodkörning
  • Stoppa en tjänst

Obs!

Defender för Endpoint Plan 1 och Microsoft Defender för företag endast innehålla följande manuella svarsåtgärder:

  • Kör antivirusgenomsökning
  • Isolera enhet
  • Stoppa och placera en fil i karantän
  • Lägga till en indikator för att blockera eller tillåta en fil

Ångra flera åtgärder samtidigt

  1. Gå till Åtgärdscenter (https://security.microsoft.com/action-center) och logga in.

  2. På fliken Historik väljer du de åtgärder som du vill ångra. Se till att välja objekt som har samma åtgärdstyp. Ett utfällt fönster öppnas.

  3. I den utfällbara rutan väljer du Ångra.

Ta bort en fil från karantänen på flera enheter

  1. Gå till Åtgärdscenter (https://security.microsoft.com/action-center) och logga in.

  2. På fliken Historik väljer du ett objekt som har åtgärdstypen Karantänfil.

  3. I den utfällbara rutan väljer du Använd för X fler instanser av den här filen och väljer sedan Ångra.

Automatiseringsnivåer, automatiserade undersökningsresultat och resulterande åtgärder

Automatiseringsnivåer påverkar om vissa reparationsåtgärder vidtas automatiskt eller endast vid godkännande. Ibland har ditt säkerhetsteam fler åtgärder att vidta, beroende på resultatet av en automatiserad undersökning. I följande tabell sammanfattas automatiseringsnivåer, resultat av automatiserade undersökningar och vad du ska göra i varje enskilt fall.

Inställning för enhetsgrupp Automatiserade undersökningsresultat Lämplig åtgärd
Fullständig – åtgärda hot automatiskt
(rekommenderas)
En dom om skadlig nås för ett bevis.

Lämpliga åtgärder vidtas automatiskt.

Granska slutförda åtgärder
Semi – kräver godkännande för eventuella åtgärder En bedömning av antingen skadlig eller misstänkt har nåtts för ett bevis.

Reparationsåtgärder väntar på godkännande för att fortsätta.

Godkänn (eller avvisa) väntande åtgärder
Semi – kräver godkännande för reparation av kärnmappar En dom om skadlig nås för ett bevis.

Om artefakten är en fil eller körbar fil och finns i en operativsystemkatalog, till exempel Windows-mappen eller mappen Programfiler, väntar reparationsåtgärder på godkännande.

Om artefakten inte finns i en operativsystemkatalog vidtas reparationsåtgärder automatiskt.

  1. Godkänn (eller avvisa) väntande åtgärder
  2. Granska slutförda åtgärder
Semi – kräver godkännande för reparation av kärnmappar En dom om misstänkt har nåtts för ett bevismaterial.

Reparationsåtgärder väntar på godkännande.

Godkänn (eller avvisa) väntande åtgärder.
Semi – kräver godkännande för reparation av icke-temporära mappar En dom om skadlig nås för ett bevis.

Om artefakten är en fil eller körbar fil som inte finns i en tillfällig mapp, till exempel användarens mapp för nedladdningar eller temp-mappen, väntar reparationsåtgärder på godkännande.

Om artefakten är en fil eller körbar fil som finns i en tillfällig mapp vidtas reparationsåtgärder automatiskt.

  1. Godkänn (eller avvisa) väntande åtgärder
  2. Granska slutförda åtgärder
Semi – kräver godkännande för reparation av icke-temporära mappar En dom om misstänkt har nåtts för ett bevismaterial.

Reparationsåtgärder väntar på godkännande.

Godkänn (eller avvisa) väntande åtgärder
Någon av automatiseringsnivåerna Full eller Semi En dom om inga hot hittas nås för ett bevismaterial.

Inga åtgärder vidtas och inga åtgärder väntar på godkännande.

Visa detaljer och resultat av automatiserade undersökningar
Inget automatiserat svar (rekommenderas inte) Inga automatiserade undersökningar körs, så inga domar nås och inga åtgärder vidtas eller väntar på godkännande. Överväg att konfigurera eller ändra dina enhetsgrupper så att de använder fullständig automatisering eller halvautomatisering

Alla domar spåras i Åtgärdscenter.

Obs!

I Defender för företag är funktionerna för automatiserad undersökning och reparation förinställda för att använda Fullständig – åtgärda hot automatiskt. Dessa funktioner tillämpas som standard på alla enheter.

Nästa steg

Se även

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.