分享方式:


對進階搜捕查詢結果採取動作

適用於:

  • Microsoft Defender XDR

重要事項

本文中的部分資訊與發行前版本產品有關,在產品正式發行前可能會大幅度修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。

您可以使用功能強大且完整的動作選項,快速包含威脅或解決進階 搜捕 中找到的威脅或解決遭入侵的資產。 透過這些選項,您可以:

  • 在裝置上採取各種動作
  • 隔離檔案

必要權限

若要透過進階搜捕對裝置採取動作,您需要在 適用於端點的 Microsoft Defender 中具有在裝置上提交補救動作的許可權的角色。

重要事項

Microsoft 建議您使用權限最少的角色。 這有助於改善貴組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。

如果您無法採取動作,請連絡全域管理員以取得下列許可權:

主動補救動作 > 威脅和弱點管理 - 補救處理

若要透過進階搜捕對電子郵件採取動作,您需要 適用於 Office 365 的 Microsoft Defender 中的角色來搜尋和清除電子郵件

在裝置上採取各種動作

您可以對查詢結果中資料行所識別的 DeviceId 裝置採取下列動作:

  • 隔離受影響的裝置以包含感染,或防止攻擊橫向移動
  • 收集調查套件以取得更多鑑識資訊
  • 執行防病毒軟體掃描,以使用最新的安全性情報更新來尋找和移除威脅
  • 起始自動化調查,以檢查和補救裝置和其他可能受影響裝置上的威脅
  • 將應用程式執行限制為僅Microsoft簽署的可執行檔,防止透過惡意代碼或其他不受信任的可執行檔進行後續威脅活動

若要深入瞭解如何透過 適用於端點的 Microsoft Defender 執行這些回應動作,請參閱裝置上的回應動作

隔離檔案

您可以在檔案上部署 隔離 動作,以便在遇到檔案時自動將其隔離。 選取此動作時,您可以在下列數據行之間進行選擇,以識別查詢結果中要隔離的檔案:

  • SHA1:在最進階的搜捕數據表中,此數據行是指受記錄動作影響之檔案的 SHA-1。 例如,如果已複製檔案,這個受影響的檔案會是複製的檔案。
  • InitiatingProcessSHA1:在最進階的搜捕數據表中,此數據行是指負責起始記錄動作的檔案。 例如,如果啟動子進程,這個啟動器檔案會是父進程的一部分。
  • SHA256:此數據行是數據行所識別檔案的SHA-256對 SHA1 等專案。
  • InitiatingProcessSHA256:此數據行是數據行所識別檔案的SHA-256對 InitiatingProcessSHA1 等專案。

若要深入瞭解如何採取隔離動作以及如何還原檔案,請 參閱檔案的回應動作

注意事項

若要找出檔案並加以隔離,查詢結果也應該包含 DeviceId 值作為裝置標識碼。

若要採取任何描述的動作,請在查詢結果中選取一或多筆記錄,然後選取 [ 採取動作]。 精靈會引導您完成選取並提交慣用動作的程式。

Microsoft Defender 入口網站中 [採取動作] 選項的螢幕快照。

對電子郵件採取各種動作

除了以裝置為焦點的補救步驟之外,您也可以對查詢結果中的電子郵件採取一些動作。 選取您要採取動作的記錄,選取 [ 採取動作],然後在 [ 選擇動作] 底下,從下列項目中選取您的選擇:

  • Move to mailbox folder - 選取此動作以將電子郵件訊息移至 [垃圾郵件]、[收件匣] 或 [已刪除的專案] 資料夾

    請注意,您可以藉由選取 [收 件匣 ] 選項,將包含隔離專案的電子郵件結果移 (例如,如果是誤判) 。

    Microsoft Defender 入口網站中 [採取動作] 窗格下 [收件匣] 選項的螢幕快照。

  • Delete email - 選取此動作可將電子郵件訊息移至 [虛 刪除 ]) ([刪除的專案] 資料夾,或永久刪除這些郵件, (永久刪除)

    如果寄件者位於組織中,選取 [虛刪除 ] 也會自動從寄件人的 [傳送專案] 資料夾中虛刪除郵件。

    Microsoft Defender 入口網站中 [採取動作] 選項的螢幕快照。

    自動虛刪除寄件人的複本適用於使用 和 EmailPostDeliveryEvents 數據表的結果,EmailEvents但不適用於數據UrlClickEvents表。 此外,結果應該包含 EmailDirection 要在 [採取動作精靈] 中顯示此動作選項的數據行和 SenderFromAddress 數據行。 寄件者的複製清除會套用至組織內部電子郵件和輸出電子郵件,確保只有寄件者的復本會針對這些電子郵件訊息虛刪除。 輸入訊息超出範圍。

    請參閱下列查詢作為參考:

    EmailEvents
    | where ThreatTypes contains "spam"
    | project NetworkMessageId,RecipientEmailAddress, EmailDirection, SenderFromAddress, LatestDeliveryAction,LatestDeliveryLocation
    

您也可以提供補救名稱,以及在控制中心歷程記錄中輕鬆追蹤動作的簡短描述。 您也可以使用核准標識碼,在控制中心篩選這些動作。 精靈結尾會提供此標識碼:

[採取動作精靈] 顯示實體的選擇動作

這些電子郵件動作也適用於 自定義偵測

檢閱採取的動作

每個動作都會個別記錄在 控制中心 [控制 中心>歷程 記錄] (security.microsoft.com/action-center/history) 底下。 移至控制中心以檢查每個動作的狀態。

注意事項

本文中的某些數據表可能無法在 適用於端點的 Microsoft Defender 中使用。 開啟 Microsoft Defender 全面偵測回應,以使用更多數據源來搜捕威脅。 您可以遵循從 適用於端點的 Microsoft Defender 移轉進階搜捕查詢中的步驟,將進階搜捕工作流程從 適用於端點的 Microsoft Defender 移至 Microsoft Defender 全面偵測回應

提示

想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群