訓練
認證
Microsoft Certified: Security Operations Analyst Associate - Certifications
使用 Microsoft Sentinel、適用於雲端的 Microsoft Defender 和 Microsoft 365 Defender 調查、搜尋及降低威脅。
適用於:
控制中心提供事件和警示工作的「單一視窗」體驗,例如:
因為控制中心提供工作 Microsoft Defender 全面偵測回應 的完整檢視,所以您的安全性作業小組可以更有效率且有效率地運作。
統一的控制中心 () https://security.microsoft.com/action-center 列出裝置、電子郵件 & 共同作業內容,以及單一位置的身分識別的擱置和已完成補救動作。
例如:
統一的控制中心會將跨 適用於端點的 Microsoft Defender 和 適用於 Office 365 的 Microsoft Defender 的補救動作結合在一起。 它會定義所有補救動作的通用語言,並提供統一的調查體驗。 您的安全性作業小組有「單一視窗」體驗,可檢視和管理補救動作。
如果您有適當的許可權和下列一或多個訂用帳戶,可以使用統一的控制中心:
提示
若要深入瞭解,請參閱 需求。
您可以使用兩種不同的方式瀏覽至擱置核准的動作清單:
移至 Microsoft Defender 入口網站並登入。
在 [ 動作和提交] 底下的瀏覽窗格中,選擇 [ 動作中心]。 或者,在 [自動化調查 & 回應卡中,選取 [ 在控制中心核准]。
使用 [ 擱置動作 ] 和 [ 歷程記錄] 索引標籤。 下表摘要說明您會在每個索引標籤上看到的內容:
索引標籤 | 描述 |
---|---|
擱置 | 顯示需要注意的動作清單。 您可以一次核准或拒絕一個動作,或選取多個動作,如果動作類型相同, (例如隔離檔案) 。 請務必儘快檢閱並核准 (或拒絕) 暫止動作,讓您的自動化調查能夠及時完成。 |
歷程記錄 | 作為已採取之動作的稽核記錄檔,例如:
提供復原特定動作的方法 (請參閱復 原已完成的動作) 。 |
您可以在控制中心自定義、排序、篩選和匯出數據。
所有動作 (無論是等候核准或已執行) 都會在控制中心中追蹤。 可用的動作包括下列各項:
除了因自動化調查而自動採取的補救動作之外,控制中心也會追蹤您的安全性小組為了解決偵測到的威脅所採取的動作,以及因 Microsoft Defender 全面偵測回應 中的威脅防護功能而採取的動作。 如需自動和手動補救動作的詳細資訊,請參閱 補救動作。
改良的控制中心包含動作 來源 數據行,可告訴您每個動作的來源。 下表描述可能 的動作來源 值:
動作來源值 | 描述 |
---|---|
手動裝置動作 | 在裝置上採取的手動動作。 範例包括 裝置隔離 或 檔案隔離。 |
手動電子郵件動作 | 在電子郵件上採取的手動動作。 範例包括虛刪除電子郵件訊息或 修復電子郵件訊息。 |
自動化裝置動作 | 對實體所採取的自動化動作,例如檔案或進程。 自動化動作的範例包括將檔案傳送至隔離區、停止進程,以及移除登錄機碼。 (請參閱 適用於端點的 Microsoft Defender.) 中的補救動作 |
自動化電子郵件動作 | 對電子郵件內容採取的自動化動作,例如電子郵件訊息、附件或URL。 自動化動作的範例包括虛刪除電子郵件訊息、封鎖 URL,以及關閉外部郵件轉寄。 (請參閱 適用於 Office 365 的 Microsoft Defender.) 中的補救動作 |
進階搜捕動作 | 對具有 進階搜捕的裝置或電子郵件採取的動作。 |
總管動作 | 使用 Explorer 對電子郵件內容採取的動作。 |
手動即時回應動作 | 在具有即時回應的裝置上採取 的動作。 範例包括刪除檔案、停止進程,以及移除排程的工作。 |
即時回應動作 | 在具有 適用於端點的 Microsoft Defender API 的裝置上採取的動作。 動作範例包括隔離裝置、執行防病毒軟體掃描,以及取得檔案的相關信息。 |
若要執行工作,例如核准或拒絕控制中心的擱置動作,您需要特定許可權。 您有下列選項:
Microsoft Entra 權限:這些角色的成員資格會為使用者提供 Microsoft 365 中其他功能的必要許可權和許可權:
Microsoft Defender 全面偵測回應 RBAC) (整合角色型訪問控制
提示
安全性系統管理員角色群組中 Email & 共同作業許可權的成員資格不會授與控制中心或 Microsoft Defender 全面偵測回應 功能的存取權。 針對這些專案,您必須是安全性系統管理員角色的成員,Microsoft Entra 許可權。
提示
Microsoft Entra ID 中的全域管理員角色成員可以核准或拒絕控制中心中任何擱置中的動作。 不過,最佳做法是限制 全域管理員 角色的成員。 我們建議您使用替代角色和角色群組,如先前控制中心許可權清單中所述。
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:Microsoft Defender 全面偵測回應 技術社群。
訓練
認證
Microsoft Certified: Security Operations Analyst Associate - Certifications
使用 Microsoft Sentinel、適用於雲端的 Microsoft Defender 和 Microsoft 365 Defender 調查、搜尋及降低威脅。