在自動化調查之後檢閱補救動作

  • 發行項

適用於:

補救動作

自動化調查 執行時,會針對每一項調查證據產生決策。 決策可以是 惡意可疑找不到任何威脅

根據

  • 威脅的類型,
  • 產生的決策,以及
  • 如何設定貴組織的裝置群組

補救動作可以自動發生,或只有在貴組織的安全性作業小組核准時才會發生。

注意事項

適用於端點的Defender方案1和方案2支援裝置群組建立。

以下提供幾個範例:

  • 範例 1:Fabrikam 的裝置群組設定為 [完整 - 補救威脅 ] 會自動 (建議的設定) 。 在此情況下,系統會針對在自動化調查之後被視為惡意的成品自動採取補救動作 (請參閱檢 閱已完成的動作) 。

  • 範例 2:Contoso 的裝置包含在設定為 Semi 的裝置群組中 - 需要核准才能進行任何補救。 在此情況下,Contoso 的安全性作業小組必須檢閱並核准自動化調查之後的所有補救動作 (請參閱檢 閱暫止的動作) 。

  • 範例 3:Tailspin Toys 將其裝置群組設定為 [沒有自動回應 (不建議) 。 在此情況下,不會進行自動化調查。 不會採取任何補救動作或擱置,且不會在其裝置的 控制中心 內記錄任何動作 (請參閱 管理裝置群組) 。

無論是自動採取或核准,自動化調查和補救可能會導致一或多個補救動作:

  • 隔離檔案
  • 拿掉登錄機碼
  • 終止進程
  • 停止服務
  • 停用驅動程式
  • 拿掉排程的工作

檢閱擱置中的動作

  1. 移至 Microsoft Defender 入口網站並登入。

  2. 在功能窗格中,選擇 [控制中心]

  3. 檢閱 [ 擱置 ] 索引卷標上的專案。

  4. 選取動作以開啟其飛出視窗窗格。

  5. 在飛出視窗窗格中檢閱資訊,然後採取下列其中一個步驟:

    • 選取 [開啟調查頁面] 檢視有關調查的更多資訊。
    • 選取 [核准] 以起始待完成動作。
    • 選取 [拒絕] 以防止採取待完成動作。
    • 取 [進行搜捕 ] 以進入 進階搜捕

核准或拒絕補救動作

對於補救狀態為 [擱置核准] 的事件,您也可以核准或拒絕事件內的補救動作。

  1. 在瀏覽窗格中,移至 [ 事件 & 警示>事件]
  2. 篩選 [自動調查狀態] (選擇性) 的 [ 擱置] 動作
  3. 選取事件名稱以開啟其摘要頁面。
  4. 選取 [ 辨識項和回應] 索引標籤
  5. 選取清單中的項目以開啟其飛出視窗窗格。
  6. 檢閱信息,然後採取下列其中一個步驟:
    • 選取 [核准暫止動作] 選項以起始擱置中的動作。
    • 選取 [拒絕暫止動作] 選項,以防止採取擱置中的動作。

Microsoft Defender 入口網站中事件 [辨識項與回應管理] 窗格中的 [核准\拒絕] 選項

檢閱已完成的動作

  1. 移至 Microsoft Defender 入口網站並登入。

  2. 在功能窗格中,選擇 [控制中心]

  3. 檢閱 [ 歷程記錄 ] 索引標籤上的專案。

  4. 選取專案以檢視有關該補救動作的更多詳細數據。

復原已完成的動作

如果您判斷裝置或檔案不是威脅,您可以復原所採取的補救動作,不論是自動或手動採取這些動作。 在 [控制中心] 的 [ 歷程記錄] 索引標籤上,您可以復原下列任何動作:

動作來源 支援的動作
  • 自動化調查
  • 手動回應動作 (請參閱下列附注)
  • Microsoft Defender 防毒軟體
  • 停用驅動程式
  • 隔離裝置
  • 隔離檔案
  • 拿掉登錄機碼
  • 拿掉排程的工作
  • 限制程式碼執行
  • 停止服務

注意事項

適用於端點的 Defender 方案 1適用於企業的 Microsoft Defender 只包含下列手動回應動作:

  • 執行防毒掃描
  • 隔離裝置
  • 停止和隔離檔案
  • 新增指示器以封鎖或允許檔案

一次復原多個動作

  1. 移至控制中心 (https://security.microsoft.com/action-center) 並登入。

  2. 在 [ 歷程記錄] 索引 標籤上,選取您想要復原的動作。 請務必選取具有相同動作類型的專案。 飛出視窗窗格隨即開啟。

  3. 在飛出視窗窗格中,選取 [ 復原]

跨多個裝置從隔離區移除檔案

  1. 移至控制中心 (https://security.microsoft.com/action-center) 並登入。

  2. 在 [ 歷程記錄] 索引 標籤上,選取動作類型為 [隔離檔案] 的專案。

  3. 在飛出視窗窗格中,選取 [ 套用至此檔案的 X 個更多實例],然後選取 [ 復原]

自動化層級、自動化調查結果和產生的動作

自動化層級會影響特定補救動作是自動採取還是只在核准時採取。 有時候,您的安全性作業小組會根據自動化調查的結果,採取更多步驟。 下表摘要說明自動化層級、自動化調查的結果,以及在每個案例中該怎麼做。

裝置群組設定 自動化調查結果 處理方式
完整 - 自動補救威脅
建議 () 		已針對一項辨識項達到 惡意 的判斷。

系統會自動採取適當的補救動作。

 檢閱已完成的動作
半 - 需要核准才能進行任何補救 系統會針對辨識項達到 惡意可疑 的決策。

補救動作暫止核准以繼續進行。

 核准 (或拒絕) 暫止動作
半 - 需要核准才能補救核心資料夾 已針對一項辨識項達到 惡意 的判斷。

如果成品是檔案或可執行檔,且位於操作系統目錄中,例如 Windows 資料夾或 Program files 資料夾,則補救動作會擱置核准。

如果成品 在操作系統目錄中,則會自動採取補救動作。
  1. 核准 (或拒絕) 暫止動作
  2. 檢閱已完成的動作
半 - 需要核准才能補救核心資料夾 已針對辨識項達到 可疑 的決策。

補救動作暫止核准。

 核准 (或拒絕) 暫止動作
半 - 需要核准非暫存資料夾補救 已針對一項辨識項達到 惡意 的判斷。

如果成品是不在暫存資料夾中的檔案或可執行檔,例如使用者的下載資料夾或暫存資料夾,補救動作會暫止核准。

如果成品是暫存檔 夾中的檔案 或可執行檔,則會自動採取補救動作。
  1. 核准 (或拒絕) 暫止動作
  2. 檢閱已完成的動作
半 - 需要核准非暫存資料夾補救 已針對辨識項達到 可疑 的決策。

補救動作暫止核准。

 核准 (或拒絕) 暫止動作
任何 完整 自動化層級 無法找到任何 威脅 的判斷,以取得辨識項。

不會採取任何補救動作,而且沒有擱置核准的動作。

 檢視自動調查的詳細資料和結果
不建議 (自動回應) 不會執行任何自動化調查,因此不會達成任何決策,而且不會採取任何補救動作或等待核准。 請考慮設定或變更您的裝置群組,以使用 完整 自動化

所有決策都會在 控制中心追蹤。

注意事項

商務用Defender中,自動化調查和補救功能預設會 自動使用完整 - 補救威脅。 這些功能預設會套用至所有裝置。

後續步驟

另請參閱

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。