Microsoft Defender XDR 中的補救動作
適用於:
- Microsoft Defender XDR
在 Microsoft Defender XDR 的自動化調查期間和之後,會識別惡意或可疑專案的補救動作。 裝置上會採取一些補救動作,也稱為端點。 系統會對身分識別、帳戶和電子郵件內容採取其他補救動作。 此外,某些類型的補救動作可能會自動發生,而組織的安全性小組會手動採取其他類型的補救動作。 當自動化調查導致一或多個補救動作時,只有在採取、核准或拒絕補救動作時,調查才會完成。
重要事項
是否自動採取補救動作,或只在核准時採取補救動作,取決於某些設定,例如自動化層級。 若要深入了解,請參閱下列文章:
下表摘要說明 Microsoft Defender XDR 中目前支援的補救動作。
| 裝置 (端點) 補救動作 | 電子郵件補救動作 | 使用者 (帳戶) |
|---|---|---|
| - 收集調查套件 - 隔離裝置 (此動作可以復原) - 下架計算機 - 發行程式代碼執行 - 從隔離釋放 - 要求範例 - 限制程式代碼執行 (可以復原此動作) - 執行防毒軟體掃描 - 停止並隔離 - 包含來自網路的裝置 |
- 封鎖 URL (點選) - 虛刪除電子郵件訊息或叢集 - 隔離電子郵件 - 隔離電子郵件附件 - 關閉外部郵件轉寄 |
- 停用使用者 - 重設用戶密碼 - 確認使用者遭到入侵 |
無論擱置核准或已完成補救動作,都可以在 控制中心中檢視。
遵循自動化調查的補救動作
當自動化調查完成時,會針對涉及的每個辨識項達成決策。 根據決策,確定補救動作。 在某些情況下,系統會自動進行修正動作;在其他情況下,修正動作需要核准。 這完全取決於 自動化調查和響應的設定方式。
下表列出可能的裁決和結果:
| 裁決 | 受影響的實體 | 結果 |
|---|---|---|
| 惡意 | 裝置 (端點) | 假設貴組織的 裝置群組 設定為 [ 完整- 補救威脅 ] 時,會自動採取補救動作 () |
| 妥協 | 使用者 | 自動採取修正動作 |
| 惡意 | 電子郵件內容 (URL 或附件) | 建議的修正動作待核准 |
| 可疑 | 裝置或電子郵件內容 | 建議的修正動作待核准 |
| 找不到威脅 | 裝置或電子郵件內容 | 不需要修正動作 |
手動採取的補救動作
除了遵循自動化調查的補救動作之外,您的安全性作業小組還可以手動採取某些補救動作。 這些動作包括:
- 手動裝置動作,例如裝置隔離或檔案隔離
- 手動電子郵件動作,例如虛刪除電子郵件訊息
- 手動用戶動作,例如停用使用者或重設用戶密碼
- 裝置、用戶或電子郵件上的進階搜捕動作
- 瀏覽器 對電子郵件內容的動作,例如將電子郵件移至垃圾郵件、虛刪除電子郵件或硬式刪除電子郵件
- 手動 即時回應 動作,例如刪除檔案、停止進程,以及移除排程的工作
- 使用 適用於端點Microsoft Defender API 的即時回應動作,例如隔離裝置、執行防病毒軟體掃描,以及取得檔案的相關信息
後續步驟
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。