對進階搜捕查詢結果採取動作

適用於：

• Microsoft Defender XDR

重要事項

本文中的部分資訊與發行前版本產品有關，在產品正式發行前可能會大幅度修改。 Microsoft 對此處提供的資訊，不提供任何明確或隱含的瑕疵擔保。

您可以使用功能強大且完整的動作選項，快速包含威脅或解決進階 搜捕 中找到的威脅或解決遭入侵的資產。 透過這些選項，您可以：

• 在裝置上採取各種動作
• 隔離檔案

必要權限

若要透過進階搜捕對裝置採取動作，您需要在適用於端點的 Microsoft Defender 中具備在 裝置上提交補救動作的許可權。 如果您無法採取動作，請連絡全域管理員以取得下列許可權：

主動補救動作 > 威脅和弱點管理 - 補救處理

若要透過進階搜捕對電子郵件採取動作，您需要在適用於 Office 365 的 Microsoft Defender 中擔任角色，才能 搜尋和清除電子郵件。

在裝置上採取各種動作

您可以對查詢結果中資料行所識別的 DeviceId 裝置採取下列動作：

• 隔離受影響的裝置以包含感染，或防止攻擊橫向移動
• 收集調查套件以取得更多鑑識資訊
• 執行防病毒軟體掃描，以使用最新的安全性情報更新來尋找和移除威脅
• 起始自動化調查，以檢查和補救裝置和其他可能受影響裝置上的威脅
• 將應用程式執行限制為僅限 Microsoft 簽署的可執行檔，防止透過惡意代碼或其他不受信任的可執行檔進行後續威脅活動

若要深入瞭解如何透過適用於端點的 Microsoft Defender 執行這些回應動作， 請參閱裝置上的回應動作。

隔離檔案

您可以在檔案上部署 隔離 動作，以便在遇到檔案時自動加以隔離。 選取此動作時，您可以在下列數據行之間進行選擇，以識別查詢結果中要隔離的檔案：

• SHA1：在最進階的搜捕數據表中，此數據行是指受記錄動作影響之檔案的 SHA-1。 例如，如果已複製檔案，這個受影響的檔案會是複製的檔案。
• InitiatingProcessSHA1：在最進階的搜捕數據表中，此數據行是指負責起始記錄動作的檔案。 例如，如果啟動子進程，這個啟動器檔案會是父進程的一部分。
• SHA256：此數據行是數據行所識別檔案的SHA-256對 SHA1 等專案。
• InitiatingProcessSHA256：此數據行是數據行所識別檔案的SHA-256對 InitiatingProcessSHA1 等專案。

若要深入瞭解如何採取隔離動作以及如何還原檔案，請 參閱檔案的回應動作。

注意事項

若要找出檔案並加以隔離，查詢結果也應該包含 DeviceId 值作為裝置標識碼。

若要採取任何描述的動作，請在查詢結果中選取一或多筆記錄，然後選取 [ 採取動作]。 精靈會引導您完成選取並提交慣用動作的程式。

對電子郵件採取各種動作

除了以裝置為焦點的補救步驟之外，您也可以對查詢結果中的電子郵件採取一些動作。 選取您要採取動作的記錄，選取 [ 採取動作]，然後在 [ 選擇動作] 底下，從下列項目中選取您的選擇：

• Move to mailbox folder - 選取此專案以將電子郵件訊息移至 [垃圾郵件]、[收件匣] 或 [已刪除的專案] 資料夾

  

• Delete email - 選取此專案可將電子郵件訊息移至 [虛刪除]) ([已 刪除 的專案] 資料夾，或在 [永久刪除 ] (永久刪除)

  如果寄件者位於組織中，選取 [虛刪除 ] 也會自動從寄件人的 [傳送專案] 資料夾中虛刪除郵件。

  

  自動虛刪除寄件人的複本適用於使用 和 EmailPostDeliveryEvents 數據表的結果，EmailEvents但不適用於數據UrlClickEvents表。 此外，結果應該包含 EmailDirection 要在 [採取動作精靈] 中顯示此動作選項的數據行和 SenderFromAddress 數據行。 寄件者的複製清除會套用至組織內部電子郵件和輸出電子郵件，確保只有寄件者的復本會針對這些電子郵件訊息虛刪除。 輸入訊息超出範圍。

  請參閱下列查詢作為參考：

  EmailEvents
  | where ThreatTypes contains "spam"
  | project NetworkMessageId,RecipientEmailAddress, EmailDirection, SenderFromAddress, LatestDeliveryAction,LatestDeliveryLocation
  

您也可以提供補救名稱，以及在控制中心歷程記錄中輕鬆追蹤動作的簡短描述。 您也可以使用核准標識碼，在控制中心篩選這些動作。 精靈結尾會提供此標識碼：

這些電子郵件動作也適用於 自定義偵測 。

檢閱採取的動作

每個動作都會個別記錄在 控制中心 [控制 中心>歷程 記錄] (security.microsoft.com/action-center/history) 底下。 移至控制中心以檢查每個動作的狀態。

注意事項

本文中的某些數據表可能無法在適用於端點的 Microsoft Defender 中使用。 開啟 Microsoft Defender XDR ，以使用更多數據源來搜捕威脅。 您可以遵循從適用於端點的 Microsoft Defender 移轉進階搜捕查詢中的步驟，將進階 搜捕工作流程從適用於端點的 Microsoft Defender 移轉至 Microsoft Defender XDR。

相關主題

• 進階搜捕概觀
• 了解查詢語言
• 使用查詢結果工作
• 了解結構描述
• 控制中心概觀

提示

想要深入了解? 在我們的技術社群中與 Microsoft 安全性社群互動： Microsoft Defender XDR 技術社群。