Reparationsåtgärder i Microsoft Defender XDR
Gäller för:
- Microsoft Defender XDR
Under och efter en automatiserad undersökning i Microsoft Defender XDR identifieras reparationsåtgärder för skadliga eller misstänkta objekt. Vissa typer av åtgärder vidtas på enheter, även kallade slutpunkter. Andra åtgärder vidtas för identiteter, konton och e-postinnehåll. Dessutom kan vissa typer av åtgärder utföras automatiskt, medan andra typer av åtgärder vidtas manuellt av organisationens säkerhetsteam. När en automatiserad undersökning resulterar i en eller flera åtgärder slutförs undersökningen endast när reparationsåtgärderna vidtas, godkänns eller avvisas.
Viktigt
Om reparationsåtgärder vidtas automatiskt eller endast vid godkännande beror på vissa inställningar, till exempel automatiseringsnivåer. Mer information finns i följande artiklar:
I följande tabell sammanfattas reparationsåtgärder som för närvarande stöds i Microsoft Defender XDR.
| Åtgärdsåtgärder för enhet (slutpunkt) | Åtgärder för e-postreparation | Användare (konton) |
|---|---|---|
| – Samla in undersökningspaket – Isolera enhet (den här åtgärden kan ångras) – Avregistreringsmaskin – Versionskodkörning – Frisläpp från karantän – Exempel på begäran – Begränsa kodkörningen (den här åtgärden kan ångras) – Kör antivirusgenomsökning – Stoppa och placera i karantän – Innehåller enheter från nätverket |
– Blockera URL (klicktid) – Mjuk borttagning av e-postmeddelanden eller kluster – E-post i karantän – Placera en e-postbilaga i karantän – Inaktivera vidarebefordran av extern e-post |
– Inaktivera användare – Återställa användarlösenord – Bekräfta att användaren har komprometterats |
Reparationsåtgärder, oavsett om de väntar på godkännande eller redan har slutförts, kan visas i Åtgärdscenter.
Reparationsåtgärder som följer på automatiserade undersökningar
När en automatiserad undersökning slutförs nås en dom för varje bevis som är inblandade. Beroende på domen identifieras reparationsåtgärder. I vissa fall vidtas åtgärder automatiskt. i andra fall väntar reparationsåtgärder på godkännande. Allt beror på hur automatiserad undersökning och svar konfigureras.
I följande tabell visas möjliga domar och resultat:
| Dom | Berörda entiteter | Resultat |
|---|---|---|
| Skadlig | Enheter (slutpunkter) | Reparationsåtgärder vidtas automatiskt (förutsatt att organisationens enhetsgrupper är inställda på Fullständig – åtgärda hot automatiskt) |
| Äventyras | Användare | Åtgärdsåtgärder vidtas automatiskt |
| Skadlig | E-postinnehåll (URL:er eller bifogade filer) | Rekommenderade åtgärder väntar på godkännande |
| Misstänksam | Enheter eller e-postinnehåll | Rekommenderade åtgärder väntar på godkännande |
| Inga hot hittades | Enheter eller e-postinnehåll | Inga åtgärder krävs |
Åtgärdsåtgärder som vidtas manuellt
Förutom åtgärder som följer på automatiserade undersökningar kan ditt säkerhetsteam vidta vissa åtgärder manuellt. Dessa åtgärder omfattar:
- Manuell enhetsåtgärd, till exempel enhetsisolering eller filkarantän
- Manuell e-poståtgärd, till exempel mjuk borttagning av e-postmeddelanden
- Manuell användaråtgärd, till exempel inaktivera användare eller återställa användarlösenord
- Avancerad jaktåtgärd på enheter, användare eller e-post
- Explorer-åtgärd för e-postinnehåll, till exempel flytt av e-post till skräppost, mjuk borttagning av e-post eller hård borttagning av e-post
- Manuell direktsvarsåtgärd , till exempel att ta bort en fil, stoppa en process och ta bort en schemalagd aktivitet
- Livesvarsåtgärd med Api:er för Microsoft Defender för Endpoint, till exempel isolera en enhet, köra en antivirusgenomsökning och hämta information om en fil
Nästa steg
- Besök åtgärden centret
- Visa och hantera reparationsåtgärder
- Åtgärda falska positiva eller falska negativa identifieringar
- Innehålla enheter från nätverket
Tips
Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.