在控制中心檢視和管理動作

適用於：

• Microsoft Defender XDR

Microsoft Defender 全面偵測回應 中的威脅防護功能可能會導致某些補救動作。 範例如下：

• 自動化調查 可能會導致自動採取的補救動作，或等待您的核准。
• 防病毒軟體、反惡意代碼和其他威脅防護功能可能會導致補救動作，例如封鎖檔案、URL 或進程，或將成品傳送至隔離區。
• 您的安全性作業小組可以手動採取補救動作，例如在進階 搜捕 期間，或調查 警示 或 事件時。

注意事項

您必須具備適當的權限，才能核准或拒絕補救動作。 如需詳細資訊，請參閱 必要條件。

若要流覽至控制中心，請採取下列其中一個步驟：

• 移至 https://security.microsoft.com/action-center; 或
• 在 Microsoft Defender 入口網站 (https://security.microsoft.com) ，在 [自動化調查 & 回應卡中，選取 [在控制中心核准]。

在控制中心檢閱待核准的動作

務必盡快核准 (或拒絕) 擱置中的動作，這樣您的自動化調查才能及時進行和完成。

1. 移至 Microsoft Defender 入口網站並登入。

2. 在 [動作和提交] 底下的瀏覽窗格中，選擇 [ 動作中心]。

3. 在 [控制中心] 的 [ 擱置 ] 索引標籤上，選取清單中的專案。 其飛出視窗窗格隨即開啟。 以下為範例。

   

4. 檢閱飛出視窗窗格中的資訊，然後採取下列其中一個步驟：

   • 選取 [開啟調查頁面] 檢視有關調查的更多資訊。
   • 選取 [核准] 以起始待完成動作。
   • 選取 [拒絕] 以防止採取待完成動作。
   • 選 取 [進行搜捕 ] 以進入 進階搜捕。

提示

您現在有更多的選項可檢閱和核准/拒絕補救動作。 除了使用控制中心之外，您也可以在檢閱事件時核准或拒絕補救動作。 如需詳細資訊，請參閱 核准或拒絕補救動作。

復原已完成的動作

如果您判斷裝置或檔案不是威脅，您可以復原所採取的補救動作，不論是自動或手動採取這些動作。 在 [控制中心] 的 [ 歷程記錄] 索引標籤上，您可以復原下列任何動作：

動作來源	支援的動作
- 自動化調查 - Microsoft Defender 防病毒軟體 - 手動回應動作	- 隔離裝置 - 限制程式代碼執行 - 隔離檔案 - 移除登錄機碼 - 停止服務 - 停用驅動程式 - 移除已排程的工作

復原一個補救動作

1. 移至控制中心 (https://security.microsoft.com/action-center) 並登入。

2. 在 [ 歷程記錄] 索引 標籤上，選取您要復原的動作。

3. 在畫面右側的窗格中，選取 [ 復原]。

復原多個補救動作

1. 移至控制中心 (https://security.microsoft.com/action-center) 並登入。

2. 在 [ 歷程記錄] 索引 標籤上，選取您想要復原的動作。 請務必選取具有相同動作類型的專案。 飛出視窗窗格隨即開啟。

3. 在飛出視窗窗格中，選取 [ 復原]。

跨多個裝置從隔離區移除檔案

1. 移至控制中心 (https://security.microsoft.com/action-center) 並登入。

2. 在 [ 歷程記錄] 索引 標籤上，選取具有 隔離檔案 動作類型的檔案。

3. 在畫面右側的窗格中，選取 [ 套用至此檔案的 X 個更多實例]，然後選取 [ 復原]。

後續步驟

• 檢視自動調查的詳細資料和結果
• 解決誤判或誤判

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群：Microsoft Defender 全面偵測回應 技術社群。