Åtgärdsåtgärder i Microsoft Defender XDR
Obs!
Vill du uppleva Microsoft Defender XDR? Läs mer om hur du kan utvärdera och pilottesta Microsoft Defender XDR.
Gäller för:
- Microsoft Defender XDR
Under och efter en automatiserad undersökning i Microsoft Defender XDR identifieras reparationsåtgärder för skadliga eller misstänkta objekt. Vissa typer av åtgärder vidtas på enheter, även kallade slutpunkter. Andra åtgärder vidtas för identiteter, konton och e-postinnehåll. Automatiserade undersökningar slutförs efter att reparationsåtgärder har vidtagits, godkänts eller avvisats.
Viktigt
Om reparationsåtgärder vidtas automatiskt eller endast vid godkännande beror på vissa inställningar, till exempel automatiseringsnivåer. Mer information finns i följande artiklar:
I följande tabell sammanfattas reparationsåtgärder som för närvarande stöds i Microsoft Defender XDR.
Åtgärdsåtgärder för enhet (slutpunkt) | Email åtgärder | Användare (konton) |
---|---|---|
– Samla in undersökningspaket – Isolera enhet (den här åtgärden kan ångras) – Avregistreringsmaskin – Versionskodkörning – Frisläpp från karantän – Exempel på begäran – Begränsa kodkörningen (den här åtgärden kan ångras) – Kör antivirusgenomsökning – Stoppa och placera i karantän – Innehåller enheter från nätverket |
– Blockera URL (klicktid) – Mjuk borttagning av e-postmeddelanden eller kluster – E-post i karantän – Placera en e-postbilaga i karantän – Inaktivera vidarebefordran av extern e-post |
– Inaktivera användare – Återställa användarlösenord – Bekräfta att användaren har komprometterats |
Reparationsåtgärder, oavsett om de väntar på godkännande eller redan har slutförts, kan visas i Åtgärdscenter.
Reparationsåtgärder som följer på automatiserade undersökningar
När en automatiserad undersökning slutförs nås en dom för varje bevis som är inblandade. Beroende på domen identifieras reparationsåtgärder. I vissa fall vidtas åtgärder automatiskt. i andra fall väntar reparationsåtgärder på godkännande. Allt beror på hur automatiserad undersökning och svar konfigureras.
I följande tabell visas möjliga domar och resultat:
Dom | Berörda entiteter | Resultat |
---|---|---|
Skadlig | Enheter (slutpunkter) | Reparationsåtgärder vidtas automatiskt (förutsatt att organisationens enhetsgrupper är inställda på Fullständig – åtgärda hot automatiskt) |
Äventyras | Användare | Åtgärdsåtgärder vidtas automatiskt |
Skadlig | Email innehåll (URL:er eller bifogade filer) | Rekommenderade åtgärder väntar på godkännande |
Misstänkta | Enheter eller e-postinnehåll | Rekommenderade åtgärder väntar på godkännande |
Inga hot hittades | Enheter eller e-postinnehåll | Inga åtgärder krävs |
Åtgärdsåtgärder som vidtas manuellt
Förutom åtgärder som följer på automatiserade undersökningar kan ditt säkerhetsteam vidta vissa åtgärder manuellt. Dessa inkluderar följande:
- Manuell enhetsåtgärd, till exempel enhetsisolering eller filkarantän
- Manuell e-poståtgärd, till exempel mjuk borttagning av e-postmeddelanden
- Manuell användaråtgärd, till exempel inaktivera användare eller återställa användarlösenord
- Avancerad jaktåtgärd på enheter, användare eller e-post
- Explorer-åtgärd för e-postinnehåll, till exempel flytt av e-post till skräppost, mjuk borttagning av e-post eller hård borttagning av e-post
- Manuell direktsvarsåtgärd , till exempel att ta bort en fil, stoppa en process och ta bort en schemalagd aktivitet
- Livesvarsåtgärd med Microsoft Defender för Endpoint-API:er, till exempel isolera en enhet, köra en antivirusgenomsökning och hämta information om en fil
Nästa steg
- Besök åtgärden centret
- Visa och hantera reparationsåtgärder
- Åtgärda falska positiva eller falska negativa identifieringar
- Innehålla enheter från nätverket
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för