在自动调查后查看修正操作

适用于:

修正操作

运行 自动调查 时,将针对所调查的每个证据生成判决。 判决可以是 恶意可疑未找到威胁

根据

  • 威胁类型,
  • 生成的判决, 和
  • 如何配置组织的 设备组

修正操作可以自动发生,也可以仅在组织的安全运营团队批准后执行。

注意

Defender for Endpoint 计划 1 和计划 2 支持创建设备组。

下面是一些示例:

  • 示例 1:Fabrikam 的设备组设置为“完全 - (建议的设置) 自动修正威胁 。 在这种情况下,自动调查后,会自动对被视为恶意的项目执行修正操作 (请参阅) 查看已完成的操作

  • 示例 2:Contoso 的设备包含在设置为 Semi 的设备组中,任何修正都需要批准。 在这种情况下,Contoso 的安全运营团队必须在自动调查后评审和批准所有修正操作 (请参阅 查看) 挂起的操作

  • 示例 3:Tailspin Toys 将其设备组设置为 “无自动响应 (不建议) 。 在这种情况下,不会进行自动调查。 不会采取或挂起任何修正操作,并且不会在其设备的 操作中心 中记录任何操作 (请参阅 管理设备组) 。

无论是自动执行还是在批准后执行,自动调查和修正都可能导致一个或多个修正操作:

  • 隔离文件
  • 删除注册表项
  • 终止进程
  • 停止服务
  • 禁用驱动程序
  • 删除计划任务

查看挂起的操作

  1. 转到Microsoft Defender门户并登录。

  2. 在“导航”窗格中,选择“操作中心”

  3. 查看“ 挂起 ”选项卡上的项目。

  4. 选择操作以打开其浮出控件窗格。

  5. 在浮出控件窗格中,查看信息,然后执行以下步骤之一:

    • 选择“打开调查页面”以查看有关调查的更多详细信息。
    • 选择“批准”以启动待处理的操作。
    • 选择“拒绝”以阻止执行待处理的操作。
    • 选择“ 执行搜寻 ”以进入 “高级搜寻”。

批准或拒绝修正操作

对于修正状态为 “待审批”的事件,还可以从事件中批准或拒绝修正操作。

  1. 在导航窗格中,转到 “事件 & 警报>事件”。
  2. 筛选“自动调查”状态的 “挂起”操作 , (可选) 。
  3. 选择事件名称以打开其摘要页。
  4. 选择“ 证据和响应 ”选项卡。
  5. 在列表中选择一个项目以打开其浮出控件窗格。
  6. 查看信息,然后执行以下步骤之一:
    • 选择“批准挂起的操作”选项以启动挂起的操作。
    • 选择“拒绝挂起的操作”选项以防止执行挂起的操作。

Microsoft Defender门户中事件的“证据和响应管理”窗格中的“批准\拒绝”选项

查看已完成的操作

  1. 转到Microsoft Defender门户并登录。

  2. 在“导航”窗格中,选择“操作中心”

  3. 查看“ 历史记录 ”选项卡上的项目。

  4. 选择一个项目以查看有关该修正操作的更多详细信息。

撤消已完成的操作

如果已确定设备或文件不是威胁,则可以撤消已采取的修正操作,无论这些操作是自动执行的还是手动执行的。 在操作中心的“ 历史记录 ”选项卡上,可以撤消以下任何操作:

操作源 支持的操作
  • 自动调查
  • 手动响应操作 (请参阅以下说明)
  • Microsoft Defender 防病毒
  • 禁用驱动程序
  • 隔离设备
  • 隔离文件
  • 删除注册表项
  • 删除计划任务
  • 限制代码执行
  • 停止服务

注意

Defender for Endpoint 计划 1Microsoft Defender 商业版仅包括以下手动响应操作:

  • 运行防病毒扫描
  • 隔离设备
  • 停止和隔离文件
  • 添加指示器以阻止或允许文件

一次撤消多个操作

  1. 转到操作中心 (https://security.microsoft.com/action-center) 并登录。

  2. 在“ 历史记录 ”选项卡上,选择要撤消的操作。 请确保选择具有相同操作类型的项目。 此时会打开浮出控件窗格。

  3. 在浮出控件窗格中,选择“ 撤消”。

从多个设备的隔离中删除文件

  1. 转到操作中心 (https://security.microsoft.com/action-center) 并登录。

  2. 在“ 历史记录 ”选项卡上,选择具有“操作”类型为“ 隔离文件”的项目

  3. 在浮出控件窗格中,选择“ 应用于此文件的 X 个更多实例”,然后选择“ 撤消”。

自动化级别、自动调查结果和结果操作

自动化级别会影响某些修正操作是自动执行还是仅在批准后执行。 有时,安全运营团队需要执行更多步骤,具体取决于自动调查的结果。 下表汇总了自动化级别、自动调查的结果以及每个案例中应执行的操作。

设备组设置 自动调查结果 需执行的操作
完全 - 自动修正威胁
(建议)
对一条证据作出 恶意 判决。

将自动执行相应的修正操作。

查看已完成的操作
半 - 需要批准任何修正 对于一条证据,将作出 恶意可疑 的判决。

修正操作正在等待审批才能继续。

批准 (或拒绝) 挂起的操作
半 - 需要批准核心文件夹修正 对一条证据作出 恶意 判决。

如果项目是文件或可执行文件,并且位于操作系统目录(如 Windows 文件夹或 Program files 文件夹)中,则修正操作将等待审批。

如果项目 不在 操作系统目录中,则会自动执行修正操作。

  1. 批准 (或拒绝) 挂起的操作
  2. 查看已完成的操作
半 - 需要批准核心文件夹修正 对一条证据作出 可疑 判决。

修正操作正在等待审批。

批准 (或拒绝) 挂起的操作
半 - 需要批准非临时文件夹修正 对一条证据作出 恶意 判决。

如果项目是不在临时文件夹(例如用户的下载文件夹或临时文件夹)中的文件或可执行文件,则修正操作将等待审批。

如果项目是临时文件夹中的文件或可执行文件,则会自动执行修正操作。

  1. 批准 (或拒绝) 挂起的操作
  2. 查看已完成的操作
半 - 需要批准非临时文件夹修正 对一条证据作出 可疑 判决。

修正操作正在等待审批。

批准 (或拒绝) 挂起的操作
任何 完全 自动化级别 对证据作出 “未发现威胁 ”的判决。

不会采取任何修正操作,也没有待审批的操作。

查看自动化调查的详细信息和结果
不建议) (自动响应 不会运行自动调查,因此不会做出任何判决,也不会采取修正措施或等待批准。 考虑设置或更改设备组以使用 完全 自动化

所有判决都在 操作中心进行跟踪。

注意

Defender for Business 中,自动调查和修正功能已预设为使用 完全 - 自动修正威胁。 默认情况下,这些功能将应用于所有设备。

后续步骤

另请参阅

提示

想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区