Microsoft Defender XDR 中的修正操作
适用于:
- Microsoft Defender XDR
在 Microsoft Defender XDR 中自动调查期间和之后,会识别恶意或可疑项目的修正操作。 对设备(也称为终结点)执行某些类型的修正操作。 对标识、帐户和电子邮件内容执行其他修正操作。 此外,某些类型的修正操作可以自动发生,而其他类型的修正操作由组织的安全团队手动执行。 当自动调查导致一个或多个修正操作时,只有在采取、批准或拒绝修正操作时,调查才会完成。
重要
修正操作是自动执行还是仅在批准后执行取决于某些设置,例如自动化级别。 若要了解详细信息,请参阅以下文章:
下表汇总了 Microsoft Defender XDR 中当前支持的修正操作。
| 设备 (终结点) 修正操作 | 电子邮件修正操作 | 用户 (帐户) |
|---|---|---|
| - 收集调查包 - 隔离设备 (此操作可以撤消) - 机外计算机 - 发布代码执行 - 从隔离区中释放 - 请求示例 - 限制代码执行 (可以撤消此操作) - 运行防病毒扫描 - 停止和隔离 - 包含来自网络的设备 |
- 阻止 URL (单击时间) - 软删除电子邮件或群集 - 隔离电子邮件 - 隔离电子邮件附件 - 关闭外部邮件转发 |
- 禁用用户 - 重置用户密码 - 确认用户已泄露 |
可以在 操作中心查看修正操作,无论是待审批还是已完成。
自动调查之后的修正操作
自动调查完成后,将就涉及的每一条证据作出判决。 再根据裁定结果确定修正操作。 在某些情况下,会自动执行修正操作;在其他情况下,修正操作等待审批。 这一切都取决于 如何配置自动调查和响应。
下表列出了可能的判决和结果:
| Verdict | 受影响的实体 | 结果 |
|---|---|---|
| 恶意 | 设备 (终结点) | (假设组织的 设备组 设置为 “完全 - 自动修正威胁) |
| 妥协 | 用户 | 自动执行修正操作 |
| 恶意 | 电子邮件内容 (URL 或附件) | 建议的修正操作正在等待审批 |
| 可疑 | 设备或电子邮件内容 | 建议的修正操作正在等待审批 |
| 未发现威胁 | 设备或电子邮件内容 | 无需修正操作 |
手动执行的修正操作
除了自动调查后的修正操作外,安全运营团队还可以手动执行某些修正操作。 这些操作包括:
- 手动设备操作,例如设备隔离或文件隔离
- 手动电子邮件操作,例如软删除电子邮件
- 手动用户操作,例如禁用用户或重置用户密码
- 对设备、用户或电子邮件执行高级搜寻操作
- 对电子邮件内容执行资源管理器操作,例如将电子邮件移动到垃圾邮件、软删除电子邮件或硬删除电子邮件
- 手动 实时响应 操作,例如删除文件、停止进程和删除计划任务
- 使用 Microsoft Defender for Endpoint API 执行实时响应操作,例如隔离设备、运行防病毒扫描以及获取有关文件的信息
后续步骤
提示
想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区。