對進階搜捕查詢結果採取動作
適用於:
- Microsoft Defender XDR
重要事項
本文中的部分資訊與發行前版本產品有關,在產品正式發行前可能會大幅度修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。
您可以使用功能強大且完整的動作選項,快速包含威脅或解決進階 搜捕 中找到的威脅或解決遭入侵的資產。 透過這些選項,您可以:
- 在裝置上採取各種動作
- 隔離檔案
必要權限
若要透過進階搜捕對裝置採取動作,您需要在 適用於端點的 Microsoft Defender 中具有在裝置上提交補救動作的許可權的角色。
重要事項
Microsoft 建議您使用權限最少的角色。 這有助於改善貴組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。
如果您無法採取動作,請連絡全域管理員以取得下列許可權:
主動補救動作 > 威脅和弱點管理 - 補救處理
若要透過進階搜捕對電子郵件採取動作,您需要 適用於 Office 365 的 Microsoft Defender 中的角色來搜尋和清除電子郵件。
在裝置上採取各種動作
您可以對查詢結果中資料行所識別的 DeviceId 裝置採取下列動作:
- 隔離受影響的裝置以包含感染,或防止攻擊橫向移動
- 收集調查套件以取得更多鑑識資訊
- 執行防病毒軟體掃描,以使用最新的安全性情報更新來尋找和移除威脅
- 起始自動化調查,以檢查和補救裝置和其他可能受影響裝置上的威脅
- 將應用程式執行限制為僅Microsoft簽署的可執行檔,防止透過惡意代碼或其他不受信任的可執行檔進行後續威脅活動
若要深入瞭解如何透過 適用於端點的 Microsoft Defender 執行這些回應動作,請參閱裝置上的回應動作。
隔離檔案
您可以在檔案上部署 隔離 動作,以便在遇到檔案時自動將其隔離。 選取此動作時,您可以在下列數據行之間進行選擇,以識別查詢結果中要隔離的檔案:
-
SHA1:在最進階的搜捕數據表中,此數據行是指受記錄動作影響之檔案的 SHA-1。 例如,如果已複製檔案,這個受影響的檔案會是複製的檔案。 -
InitiatingProcessSHA1:在最進階的搜捕數據表中,此數據行是指負責起始記錄動作的檔案。 例如,如果啟動子進程,這個啟動器檔案會是父進程的一部分。 -
SHA256:此數據行是數據行所識別檔案的SHA-256對SHA1等專案。 -
InitiatingProcessSHA256:此數據行是數據行所識別檔案的SHA-256對InitiatingProcessSHA1等專案。
若要深入瞭解如何採取隔離動作以及如何還原檔案,請 參閱檔案的回應動作。
注意事項
若要找出檔案並加以隔離,查詢結果也應該包含 DeviceId 值作為裝置標識碼。
若要採取任何描述的動作,請在查詢結果中選取一或多筆記錄,然後選取 [ 採取動作]。 精靈會引導您完成選取並提交慣用動作的程式。
![Microsoft Defender 入口網站中 [採取動作] 選項的螢幕快照。](media/take-action-multiple.png#lightbox)
對電子郵件採取各種動作
除了以裝置為焦點的補救步驟之外,您也可以對查詢結果中的電子郵件採取一些動作。 選取您要採取動作的記錄,選取 [ 採取動作],然後在 [ 選擇動作] 底下,從下列項目中選取您的選擇:
Move to mailbox folder- 選取此動作以將電子郵件訊息移至 [垃圾郵件]、[收件匣] 或 [已刪除的專案] 資料夾請注意,您可以藉由選取 [收 件匣 ] 選項,將包含隔離專案的電子郵件結果移 (例如,如果是誤判) 。
![Microsoft Defender 入口網站中 [採取動作] 窗格下 [收件匣] 選項的螢幕快照。](media/advanced-hunting-quarantine-results.png)
Delete email- 選取此動作可將電子郵件訊息移至 [虛 刪除 ]) ([刪除的專案] 資料夾,或永久刪除這些郵件, (永久刪除)如果寄件者位於組織中,選取 [虛刪除 ] 也會自動從寄件人的 [傳送專案] 資料夾中虛刪除郵件。
![Microsoft Defender 入口網站中 [採取動作] 選項的螢幕快照。](media/soft-delete-sender-copy.png)
自動虛刪除寄件人的複本適用於使用 和
EmailPostDeliveryEvents數據表的結果,EmailEvents但不適用於數據UrlClickEvents表。 此外,結果應該包含EmailDirection要在 [採取動作精靈] 中顯示此動作選項的數據行和SenderFromAddress數據行。 寄件者的複製清除會套用至組織內部電子郵件和輸出電子郵件,確保只有寄件者的復本會針對這些電子郵件訊息虛刪除。 輸入訊息超出範圍。請參閱下列查詢作為參考:
EmailEvents | where ThreatTypes contains "spam" | project NetworkMessageId,RecipientEmailAddress, EmailDirection, SenderFromAddress, LatestDeliveryAction,LatestDeliveryLocation
![Microsoft Defender 入口網站中 [採取動作] 窗格下 [收件匣] 選項的螢幕快照。](media/advanced-hunting-quarantine-results.png#lightbox)
![Microsoft Defender 入口網站中 [採取動作] 選項的螢幕快照。](media/soft-delete-sender-copy.png#lightbox)
您也可以提供補救名稱,以及在控制中心歷程記錄中輕鬆追蹤動作的簡短描述。 您也可以使用核准標識碼,在控制中心篩選這些動作。 精靈結尾會提供此標識碼:
![[採取動作精靈] 顯示實體的選擇動作](media/choose-email-actions-entities.png#lightbox)
這些電子郵件動作也適用於 自定義偵測 。
檢閱採取的動作
每個動作都會個別記錄在 控制中心 [控制 中心>歷程 記錄] (security.microsoft.com/action-center/history) 底下。 移至控制中心以檢查每個動作的狀態。
注意事項
本文中的某些數據表可能無法在 適用於端點的 Microsoft Defender 中使用。 開啟 Microsoft Defender 全面偵測回應,以使用更多數據源來搜捕威脅。 您可以遵循從 適用於端點的 Microsoft Defender 移轉進階搜捕查詢中的步驟,將進階搜捕工作流程從 適用於端點的 Microsoft Defender 移至 Microsoft Defender 全面偵測回應。
相關文章
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。