Microsoft Defender 全面偵測回應中的威脅防護功能可能導致某些修復行動。 範例如下:
- 自動化調查 可自動執行或等待您的核准,導致修復行動。
- 防毒軟體、反惡意軟體及其他威脅防護功能可能導致修復行動,例如封鎖檔案、網址或程序,或將文物送入隔離區。
- 您的安全運營團隊可以手動採取修復行動,例如在 進階搜尋 或調查 警報 或 事件時。
要前往行動中心,請採取以下步驟之一:
- 前往 https://security.microsoft.com/action-center;或
- 在Microsoft Defender入口網站 (https://security.microsoft.com) ,自動調查 & 回應卡中,選擇「在行動中心批准」。
在控制中心檢閱待核准的動作
務必盡快核准 (或拒絕) 擱置中的動作,這樣您的自動化調查才能及時進行和完成。
前往 Microsoft Defender 入口網站並登入。
在導覽面板的「動作與提交」中,選擇 「行動中心」。
在行動中心的待 處理 標籤中,選擇列表中的項目。 它的飛出視窗打開了。 以下為範例。
請檢視飛出視窗中的資訊,然後採取以下步驟之一:
- 選取 [開啟調查頁面] 檢視有關調查的更多資訊。
- 選取 [核准] 以起始待完成動作。
- 選取 [拒絕] 以防止採取待完成動作。
- 選擇「去狩獵」即可進入進階狩獵。
提示
你現在有更多選項來審查並批准或拒絕整改行動。 除了使用行動中心外,您也可以在審查事件時批准或拒絕整改行動。 欲了解更多資訊,請參閱 批准或拒絕修復行動。
還原已完成的動作
如果您判定某裝置或檔案不是威脅,您可以撤銷已採取的修復行動,不論這些行動是自動還是手動執行。 在動作中心的 歷史 標籤中,你可以還原以下任一動作:
| 行動來源 | 支援行動 |
|---|---|
| - 自動化調查 - Microsoft Defender防毒軟體 - 手動回應動作 |
- 隔離裝置 - 控制裝置 - 限制使用者 - 限制程式碼執行 - 隔離檔案 - 移除登錄機碼 - 停止服務 - 停用驅動程式 - 移除已排程的工作 |
注意事項
只有安全管理員和全域管理員才有權限進行復原操作,例如檔案隔離。
撤銷一項修復行動
請前往行動中心 (https://security.microsoft.com/action-center) 並登入。
在 歷史頁面 ,選擇你想撤銷的動作。
在螢幕右側的窗格中,選擇 復原。
撤銷多次修復行動
請前往行動中心 (https://security.microsoft.com/action-center) 並登入。
在 歷史標籤 中,選擇你想要還原的動作。 務必選擇具有相同行動類型的物品。 一個飛出視窗打開。
在飛出視窗中,選擇 復原。
解除多裝置隔離檔案
請前往行動中心 (https://security.microsoft.com/action-center) 並登入。
在 歷史標籤 中,選擇具有 隔離檔案 動作類型的檔案。
在螢幕右側的窗格中,選擇 「套用至更多 X 個檔案實例」,然後選擇 「復原」。
後續步驟
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。