共用方式為


在控制中心檢視和管理動作

適用於:

  • Microsoft Defender XDR

Microsoft Defender 全面偵測回應 中的威脅防護功能可能會導致某些補救動作。 範例如下:

  • 自動化調查 可能會導致自動採取的補救動作,或等待您的核准。
  • 防病毒軟體、反惡意代碼和其他威脅防護功能可能會導致補救動作,例如封鎖檔案、URL 或進程,或將成品傳送至隔離區。
  • 您的安全性作業小組可以手動採取補救動作,例如在進階 搜捕 期間,或調查 警示事件時。

注意事項

您必須具備適當的權限,才能核准或拒絕補救動作。 如需詳細資訊,請參閱 必要條件

若要流覽至控制中心,請採取下列其中一個步驟:

在控制中心檢閱待核准的動作

務必盡快核准 (或拒絕) 擱置中的動作,這樣您的自動化調查才能及時進行和完成。

  1. 移至 Microsoft Defender 入口網站並登入。

  2. 在 [動作和提交] 底下的瀏覽窗格中,選擇 [ 動作中心]

  3. 在 [控制中心] 的 [ 擱置 ] 索引標籤上,選取清單中的專案。 其飛出視窗窗格隨即開啟。 以下為範例。

    核准或拒絕動作的選項

  4. 檢閱飛出視窗窗格中的資訊,然後採取下列其中一個步驟:

    • 選取 [開啟調查頁面] 檢視有關調查的更多資訊。
    • 選取 [核准] 以起始待完成動作。
    • 選取 [拒絕] 以防止採取待完成動作。
    • 取 [進行搜捕 ] 以進入 進階搜捕

提示

您現在有更多的選項可檢閱和核准/拒絕補救動作。 除了使用控制中心之外,您也可以在檢閱事件時核准或拒絕補救動作。 如需詳細資訊,請參閱 核准或拒絕補救動作

復原已完成的動作

如果您判斷裝置或檔案不是威脅,您可以復原所採取的補救動作,不論是自動或手動採取這些動作。 在 [控制中心] 的 [ 歷程記錄] 索引標籤上,您可以復原下列任何動作:

動作來源 支援的動作
- 自動化調查
- Microsoft Defender 防病毒軟體
- 手動回應動作
- 隔離裝置
- 限制程式代碼執行
- 隔離檔案
- 移除登錄機碼
- 停止服務
- 停用驅動程式
- 移除已排程的工作

復原一個補救動作

  1. 移至控制中心 (https://security.microsoft.com/action-center) 並登入。

  2. 在 [ 歷程記錄] 索引 標籤上,選取您要復原的動作。

  3. 在畫面右側的窗格中,選取 [ 復原]

復原多個補救動作

  1. 移至控制中心 (https://security.microsoft.com/action-center) 並登入。

  2. 在 [ 歷程記錄] 索引 標籤上,選取您想要復原的動作。 請務必選取具有相同動作類型的專案。 飛出視窗窗格隨即開啟。

  3. 在飛出視窗窗格中,選取 [ 復原]

跨多個裝置從隔離區移除檔案

  1. 移至控制中心 (https://security.microsoft.com/action-center) 並登入。

  2. 在 [ 歷程記錄] 索引 標籤上,選取具有 隔離檔案 動作類型的檔案。

  3. 在畫面右側的窗格中,選取 [ 套用至此檔案的 X 個更多實例],然後選取 [ 復原]

後續步驟

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:Microsoft Defender 全面偵測回應 技術社群。