在Microsoft Defender门户中查看修正操作

好的,你发现了安全漏洞,但该怎么办? 这取决于它的性质。

Microsoft 365 商业高级版包括修正操作。 检测到威胁时会自动执行某些操作,安全团队可以手动执行其他操作。

修正操作的示例包括将文件发送到隔离区、停止进程运行或完全删除计划任务。 所有修正操作都在操作中心进行跟踪,该操作中心位于 https://security.microsoft.com/action-center

M365 操作中心的屏幕截图。

本文内容

如何使用操作中心

  1. 转到Microsoft Defender门户 (https://security.microsoft.com) ,然后登录。

  2. 在“导航”窗格中,选择“操作中心”

  3. 选择 挂起 选项卡以查看和批准(或拒绝)任何挂起的操作。 此类操作可能来自防病毒程序/反恶意软件保护、自动调查、手动响应活动或实时响应会话。

  4. 选择 历史记录 选项卡以查看已完成操作的列表。

修正操作的类型

订阅包括针对检测到的威胁的多种不同类型的修正操作。 这些操作包括手动响应操作、自动调查后的操作和实时响应操作。

下表列出了可用的修正操作:

操作
自动攻击中断 (NEW!)
  • 包含设备
  • 在设备上包含用户帐户
自动调查
  • 隔离文件/li>
  • 删除注册表项/li>
  • 终止进程/li>
  • 停止服务/li>
  • 禁用驱动程序/li>
  • 删除计划任务
手动响应操作
  • 运行防病毒扫描/li>
  • 隔离设备/li>
  • 添加指示器以阻止或允许文件
实时响应
  • 收集取证数据/li>
  • 分析文件/li>
  • 运行脚本/li>
  • 将可疑实体发送到 Microsoft 进行分析/li>
  • 修正文件/li>
  • 主动搜寻威胁