Dela via


Åtgärdsåtgärder i Microsoft Defender XDR

Gäller för:

  • Microsoft Defender XDR

Under och efter en automatiserad undersökning i Microsoft Defender XDR identifieras reparationsåtgärder för skadliga eller misstänkta objekt. Vissa typer av åtgärder vidtas på enheter, även kallade slutpunkter. Andra åtgärder vidtas för identiteter, konton och e-postinnehåll. Automatiserade undersökningar slutförs efter att reparationsåtgärder har vidtagits, godkänts eller avvisats.

Viktigt

Om reparationsåtgärder vidtas automatiskt eller endast vid godkännande beror på vissa inställningar, till exempel automatiseringsnivåer. Mer information finns i följande artiklar:

I följande tabell sammanfattas reparationsåtgärder som för närvarande stöds i Microsoft Defender XDR.

Åtgärdsåtgärder för enhet (slutpunkt) Email åtgärder Användare (konton)
– Samla in undersökningspaket
– Isolera enhet (den här åtgärden kan ångras)
– Avregistreringsmaskin
– Versionskodkörning
– Frisläpp från karantän
– Exempel på begäran
– Begränsa kodkörningen (den här åtgärden kan ångras)
– Kör antivirusgenomsökning
– Stoppa och placera i karantän
– Innehåller enheter från nätverket
– Blockera URL (klicktid)
– Mjuk borttagning av e-postmeddelanden eller kluster
– E-post i karantän
– Placera en e-postbilaga i karantän
– Inaktivera vidarebefordran av extern e-post
– Inaktivera användare
– Återställa användarlösenord
– Bekräfta att användaren har komprometterats

Reparationsåtgärder, oavsett om de väntar på godkännande eller redan har slutförts, kan visas i Åtgärdscenter.

Reparationsåtgärder som följer på automatiserade undersökningar

När en automatiserad undersökning slutförs nås en dom för varje bevis som är inblandade. Beroende på domen identifieras reparationsåtgärder. I vissa fall vidtas åtgärder automatiskt. i andra fall väntar reparationsåtgärder på godkännande. Allt beror på hur automatiserad undersökning och svar konfigureras.

I följande tabell visas möjliga domar och resultat:

Dom Berörda entiteter Resultat
Skadlig Enheter (slutpunkter) Reparationsåtgärder vidtas automatiskt (förutsatt att organisationens enhetsgrupper är inställda på Fullständig – åtgärda hot automatiskt)
Äventyras Användare Åtgärdsåtgärder vidtas automatiskt
Skadlig Email innehåll (URL:er eller bifogade filer) Rekommenderade åtgärder väntar på godkännande
Misstänkta Enheter eller e-postinnehåll Rekommenderade åtgärder väntar på godkännande
Inga hot hittades Enheter eller e-postinnehåll Inga åtgärder krävs

Åtgärdsåtgärder som vidtas manuellt

Förutom åtgärder som följer på automatiserade undersökningar kan ditt säkerhetsteam vidta vissa åtgärder manuellt. Dessa inkluderar följande:

  • Manuell enhetsåtgärd, till exempel enhetsisolering eller filkarantän
  • Manuell e-poståtgärd, till exempel mjuk borttagning av e-postmeddelanden
  • Manuell användaråtgärd, till exempel inaktivera användare eller återställa användarlösenord
  • Avancerad jaktåtgärd på enheter, användare eller e-post
  • Explorer-åtgärd för e-postinnehåll, till exempel flytt av e-post till skräppost, mjuk borttagning av e-post eller hård borttagning av e-post
  • Manuell direktsvarsåtgärd , till exempel att ta bort en fil, stoppa en process och ta bort en schemalagd aktivitet
  • Livesvarsåtgärd med Microsoft Defender för Endpoint-API:er, till exempel isolera en enhet, köra en antivirusgenomsökning och hämta information om en fil

Nästa steg

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.