- 项目
-
-
-
- 适用于:
- Microsoft Defender XDR
在Microsoft Defender XDR自动调查期间和之后,将识别恶意或可疑项目的修正作。 对设备(也称为终结点)执行某些类型的修正作。 对标识、帐户和电子邮件内容执行其他修正作。 此外,某些类型的修正作可以自动发生,而其他类型的修正作由组织的安全团队手动执行。 当自动调查导致一个或多个修正作时,只有在采取、批准或拒绝修正作时,调查才会完成。
重要
修正作是自动执行还是仅在批准后执行取决于某些设置,例如自动化级别。 若要了解详细信息,请参阅以下文章:
下表汇总了Microsoft Defender XDR中当前支持的修正作。
设备 (终结点) 修正作 |
电子邮件修正操作 |
用户 (帐户) |
- 收集调查包 - 隔离设备 (此作可以撤消) - 机外计算机 - 发布代码执行 - 从隔离区中释放 - 请求示例 - 限制代码执行 (可以撤消此作) - 运行防病毒扫描 - 停止和隔离 - 包含来自网络的设备 |
- 阻止 URL (单击时间) - 软删除电子邮件或群集 - 隔离电子邮件 - 隔离电子邮件附件 - 关闭外部邮件转发 |
- 禁用用户 - 重置用户密码 - 确认用户已泄露 |
可以在 作中心查看修正作,无论是待审批还是已完成。
自动调查完成后,将就涉及的每一条证据作出判决。 再根据裁定结果确定修正操作。 在某些情况下,会自动执行修正作;在其他情况下,修正作等待审批。 这一切都取决于 如何配置自动调查和响应。
下表列出了可能的判决和结果:
Verdict |
受影响的实体 |
结果 |
恶意 |
设备 (终结点) |
(假设组织的 设备组 设置为 “完全 - 自动修正威胁) |
妥协 |
用户 |
自动执行修正作 |
恶意 |
Email内容 (URL 或附件) |
建议的修正作正在等待审批 |
可疑 |
设备或电子邮件内容 |
建议的修正作正在等待审批 |
未发现威胁 |
设备或电子邮件内容 |
无需修正作 |
除了自动调查后的修正作外,安全运营团队还可以手动执行某些修正作。 这些操作包括: