分享方式:


Microsoft Defender XDR 中的補救動作

適用於:

  • Microsoft Defender XDR

在 Microsoft Defender XDR 的自動化調查期間和之後,會識別惡意或可疑專案的補救動作。 裝置上會採取一些補救動作,也稱為端點。 系統會對身分識別、帳戶和電子郵件內容採取其他補救動作。 此外,某些類型的補救動作可能會自動發生,而組織的安全性小組會手動採取其他類型的補救動作。 當自動化調查導致一或多個補救動作時,只有在採取、核准或拒絕補救動作時,調查才會完成。

重要事項

是否自動採取補救動作,或只在核准時採取補救動作,取決於某些設定,例如自動化層級。 若要深入了解,請參閱下列文章:

下表摘要說明 Microsoft Defender XDR 中目前支援的補救動作。

裝置 (端點) 補救動作 電子郵件補救動作 使用者 (帳戶)
- 收集調查套件
- 隔離裝置 (此動作可以復原)
- 下架計算機
- 發行程式代碼執行
- 從隔離釋放
- 要求範例
- 限制程式代碼執行 (可以復原此動作)
- 執行防毒軟體掃描
- 停止並隔離
- 包含來自網路的裝置
- 封鎖 URL (點選)
- 虛刪除電子郵件訊息或叢集
- 隔離電子郵件
- 隔離電子郵件附件
- 關閉外部郵件轉寄
- 停用使用者
- 重設用戶密碼
- 確認使用者遭到入侵

無論擱置核准或已完成補救動作,都可以在 控制中心中檢視。

遵循自動化調查的補救動作

當自動化調查完成時,會針對涉及的每個辨識項達成決策。 根據決策,確定補救動作。 在某些情況下,系統會自動進行修正動作;在其他情況下,修正動作需要核准。 這完全取決於 自動化調查和響應的設定方式

下表列出可能的裁決和結果:

裁決 受影響的實體 結果
惡意 裝置 (端點) 假設貴組織的 裝置群組 設定為 [ 完整- 補救威脅 ] 時,會自動採取補救動作 ()
妥協 使用者 自動採取修正動作
惡意 電子郵件內容 (URL 或附件) 建議的修正動作待核准
可疑 裝置或電子郵件內容 建議的修正動作待核准
找不到威脅 裝置或電子郵件內容 不需要修正動作

手動採取的補救動作

除了遵循自動化調查的補救動作之外,您的安全性作業小組還可以手動採取某些補救動作。 這些動作包括:

  • 手動裝置動作,例如裝置隔離或檔案隔離
  • 手動電子郵件動作,例如虛刪除電子郵件訊息
  • 手動用戶動作,例如停用使用者或重設用戶密碼
  • 裝置、用戶或電子郵件上的進階搜捕動作
  • 瀏覽器 對電子郵件內容的動作,例如將電子郵件移至垃圾郵件、虛刪除電子郵件或硬式刪除電子郵件
  • 手動 即時回應 動作,例如刪除檔案、停止進程,以及移除排程的工作
  • 使用 適用於端點Microsoft Defender API 的即時回應動作,例如隔離裝置、執行防病毒軟體掃描,以及取得檔案的相關信息

後續步驟

提示

想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群