重要訊息中心
適用於:
- Microsoft Defender XDR
控制中心提供事件和警示工作的「單一視窗」體驗,例如:
- 核准擱置的補救動作。
- 檢視已核准補救動作的稽核記錄。
- 檢閱已完成的補救動作。
因為控制中心提供工作 Microsoft Defender 全面偵測回應 的完整檢視,所以您的安全性作業小組可以更有效率且有效率地運作。
統一的控制中心
統一的控制中心 () https://security.microsoft.com/action-center 列出裝置、電子郵件 & 共同作業內容,以及單一位置的身分識別的擱置和已完成補救動作。
例如:
- 如果您在 Microsoft Defender 資訊安全中心 (https://securitycenter.windows.com/action-center) 中使用控制中心,請在 Microsoft Defender 入口網站中嘗試整合控制中心。
- 如果您已經使用 Microsoft Defender 入口網站,您會在控制中心 () https://security.microsoft.com/action-center 中看到數個改善。
統一的控制中心會將跨 適用於端點的 Microsoft Defender 和 適用於 Office 365 的 Microsoft Defender 的補救動作結合在一起。 它會定義所有補救動作的通用語言,並提供統一的調查體驗。 您的安全性作業小組有「單一視窗」體驗,可檢視和管理補救動作。
如果您有適當的許可權和下列一或多個訂用帳戶,可以使用統一的控制中心:
提示
若要深入瞭解,請參閱 需求。
您可以使用兩種不同的方式瀏覽至擱置核准的動作清單:
- 移至 https://security.microsoft.com/action-center; 或
- 在 Microsoft Defender 入口網站 (https://security.microsoft.com) ,在 [自動化調查 & 回應卡中,選取 [在控制中心核准]。
使用控制中心
移至 Microsoft Defender 入口網站並登入。
在 [ 動作和提交] 底下的瀏覽窗格中,選擇 [ 動作中心]。 或者,在 [自動化調查 & 回應卡中,選取 [ 在控制中心核准]。
使用 [ 擱置動作 ] 和 [ 歷程記錄] 索引標籤。 下表摘要說明您會在每個索引標籤上看到的內容:
索引標籤 描述 擱置 顯示需要注意的動作清單。 您可以一次核准或拒絕一個動作,或選取多個動作,如果動作類型相同, (例如隔離檔案) 。
請務必儘快檢閱並核准 (或拒絕) 暫止動作,讓您的自動化調查能夠及時完成。歷程記錄 作為已採取之動作的稽核記錄檔,例如: - >自動化調查所採取的補救動作
- 針對可疑或惡意電子郵件訊息、檔案或URL採取的補救動作
- 安全性作業小組核准的補救動作
- 在即時回應會話期間所執行的命令和已套用的補救動作
- 防病毒軟體保護所採取的補救動作
提供復原特定動作的方法 (請參閱復 原已完成的動作) 。您可以在控制中心自定義、排序、篩選和匯出數據。
- 選取數據行標題,以遞增或遞減順序排序專案。
- 使用時間週期篩選來檢視過去一天、一周、30 天或 6 個月的數據。
- 選擇您想要檢視的數據行。
- 指定要在每個數據頁面上包含多少個專案。
- 使用篩選來只檢視您想要查看的專案。
- 選 取 [匯 出] 將結果匯出至 .csv 檔。
在控制中心追蹤的動作
所有動作 (無論是等候核准或已執行) 都會在控制中心中追蹤。 可用的動作包括下列各項:
- 收集調查套件
- 隔離裝置 (此動作可以復原)
- 使電腦下線
- 釋出程式碼執行
- 從隔離釋出
- 要求範例
- 限制程式代碼執行 (可以復原此動作)
- 執行防毒掃描
- 停止並隔離
- 包含網路中的裝置與
除了因自動化調查而自動採取的補救動作之外,控制中心也會追蹤您的安全性小組為了解決偵測到的威脅所採取的動作,以及因 Microsoft Defender 全面偵測回應 中的威脅防護功能而採取的動作。 如需自動和手動補救動作的詳細資訊,請參閱 補救動作。
檢視動作來源詳細數據
改良的控制中心包含動作 來源 數據行,可告訴您每個動作的來源。 下表描述可能 的動作來源 值:
| 動作來源值 | 描述 |
|---|---|
| 手動裝置動作 | 在裝置上採取的手動動作。 範例包括 裝置隔離 或 檔案隔離。 |
| 手動電子郵件動作 | 在電子郵件上採取的手動動作。 範例包括虛刪除電子郵件訊息或 修復電子郵件訊息。 |
| 自動化裝置動作 | 對實體所採取的自動化動作,例如檔案或進程。 自動化動作的範例包括將檔案傳送至隔離區、停止進程,以及移除登錄機碼。 (請參閱 適用於端點的 Microsoft Defender.) 中的補救動作 |
| 自動化電子郵件動作 | 對電子郵件內容採取的自動化動作,例如電子郵件訊息、附件或URL。 自動化動作的範例包括虛刪除電子郵件訊息、封鎖 URL,以及關閉外部郵件轉寄。 (請參閱 適用於 Office 365 的 Microsoft Defender.) 中的補救動作 |
| 進階搜捕動作 | 對具有 進階搜捕的裝置或電子郵件採取的動作。 |
| 總管動作 | 使用 Explorer 對電子郵件內容採取的動作。 |
| 手動即時回應動作 | 在具有即時回應的裝置上採取 的動作。 範例包括刪除檔案、停止進程,以及移除排程的工作。 |
| 即時回應動作 | 在具有 適用於端點的 Microsoft Defender API 的裝置上採取的動作。 動作範例包括隔離裝置、執行防病毒軟體掃描,以及取得檔案的相關信息。 |
重要訊息中心的必要權限
若要執行工作,例如核准或拒絕控制中心的擱置動作,您需要特定許可權。 您有下列選項:
Microsoft Entra 權限:這些角色的成員資格會為使用者提供 Microsoft 365 中其他功能的必要許可權和許可權:
Microsoft Defender 全面偵測回應 RBAC) (整合角色型訪問控制
- 適用於端點的 Microsoft Defender 補救:安全性作業 \ 安全性資料 \ 回應 (管理) 。
-
如果 Email & 共同作業 適用於 Office 365 的 Defender 許可權為 [作用中],適用於 Office 365 的 Microsoft Defender> (Office 內容和電子郵件的
補救。只會影響 Defender 入口網站,而不會影響 PowerShell) :- 電子郵件和 Teams 訊息標頭的讀取許可權:安全性作業/原始資料 (電子郵件 & 共同作業) /Email & 共同作業元數據, (讀取) 。
- 修復惡意電子郵件:安全性作業/安全性數據/Email & 共同作業 (管理) 進階動作。
提示
安全性系統管理員角色群組中 Email & 共同作業許可權的成員資格不會授與控制中心或 Microsoft Defender 全面偵測回應 功能的存取權。 針對這些專案,您必須是安全性系統管理員角色的成員,Microsoft Entra 許可權。
-
- 適用於端點的 Microsoft Defender 補救 (裝置) :作用中補救動作角色的成員資格。
提示
Microsoft Entra ID 中的全域管理員角色成員可以核准或拒絕控制中心中任何擱置中的動作。 不過,最佳做法是限制 全域管理員 角色的成員。 我們建議您使用替代角色和角色群組,如先前控制中心許可權清單中所述。
下一步
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:Microsoft Defender 全面偵測回應 技術社群。