對進階搜捕查詢結果採取動作
注意事項
想要體驗 Microsoft Defender 全面偵測回應 嗎? 深入瞭解如何評估和試驗 Microsoft Defender 全面偵測回應。
適用於:
- Microsoft Defender XDR
重要事項
部分資訊與發行前版本產品有關,在正式發行之前可能會實質上進行修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。
您可以使用功能強大且完整的動作選項,快速包含威脅或解決進階 搜捕 中找到的威脅或解決遭入侵的資產。 透過這些選項,您可以:
- 在裝置上採取各種動作
- 隔離檔案
必要權限
若要透過進階搜捕對裝置採取動作,您需要在 適用於端點的 Microsoft Defender 中具有在裝置上提交補救動作許可權的角色。 如果您無法採取動作,請連絡全域管理員以取得下列許可權:
主動補救動作 > 威脅和弱點管理 - 補救處理
若要透過進階搜捕對電子郵件採取動作,您需要 適用於 Office 365 的 Microsoft Defender 中的角色來搜尋和清除電子郵件。
在裝置上採取各種動作
您可以對查詢結果中資料行所識別的 DeviceId 裝置採取下列動作:
- 隔離受影響的裝置以包含感染,或防止攻擊橫向移動
- 收集調查套件以取得更多鑑識資訊
- 執行防病毒軟體掃描,以使用最新的安全性情報更新來尋找和移除威脅
- 起始自動化調查,以檢查和補救裝置和其他可能受影響裝置上的威脅
- 將應用程式執行限制為僅限 Microsoft 簽署的可執行檔,防止透過惡意代碼或其他不受信任的可執行檔進行後續威脅活動
若要深入瞭解如何透過 適用於端點的 Microsoft Defender 執行這些回應動作,請參閱裝置上的回應動作。
隔離檔案
您可以在檔案上部署 隔離 動作,以便在遇到檔案時自動加以隔離。 選取此動作時,您可以在下列數據行之間進行選擇,以識別查詢結果中要隔離的檔案:
SHA1:在最進階的搜捕數據表中,此數據行是指受記錄動作影響之檔案的 SHA-1。 例如,如果已複製檔案,這個受影響的檔案會是複製的檔案。InitiatingProcessSHA1:在最進階的搜捕數據表中,此數據行是指負責起始記錄動作的檔案。 例如,如果啟動子進程,這個啟動器檔案會是父進程的一部分。SHA256:此數據行是數據行所識別檔案的SHA-256對SHA1等專案。InitiatingProcessSHA256:此數據行是數據行所識別檔案的SHA-256對InitiatingProcessSHA1等專案。
若要深入瞭解如何採取隔離動作以及如何還原檔案,請 參閱檔案的回應動作。
注意事項
若要找出檔案並加以隔離,查詢結果也應該包含 DeviceId 值作為裝置標識碼。
若要採取任何描述的動作,請在查詢結果中選取一或多筆記錄,然後選取 [ 採取動作]。 精靈會引導您完成選取並提交慣用動作的程式。
![Microsoft Defender 入口網站中的 [採取動作] 選項](../../media/take-action-multiple.png?view=o365-worldwide#lightbox)
對電子郵件採取各種動作
除了以裝置為焦點的補救步驟之外,您也可以對查詢結果中的電子郵件採取一些動作。 選取您要採取動作的記錄,選取 [ 採取動作],然後在 [ 選擇動作] 底下,從下列項目中選取您的選擇:
Move to mailbox folder- 選取此專案以將電子郵件訊息移至 [垃圾郵件]、[收件匣] 或 [已刪除的專案] 資料夾![Microsoft Defender 入口網站中的 [採取動作] 選項](../../media/advanced-hunting-take-actions-email.png?view=o365-worldwide)
Delete email- 選取此專案可將電子郵件訊息移至 [虛刪除]) ([已 刪除 的專案] 資料夾,或在 [永久刪除 ] (永久刪除)![Microsoft Defender 入口網站中的 [採取動作] 選項](../../media/advanced-hunting-take-actions-email-del.png?view=o365-worldwide)
![Microsoft Defender 入口網站中的 [採取動作] 選項](../../media/advanced-hunting-take-actions-email.png?view=o365-worldwide#lightbox)
![Microsoft Defender 入口網站中的 [採取動作] 選項](../../media/advanced-hunting-take-actions-email-del.png?view=o365-worldwide#lightbox)
您也可以提供補救名稱,以及在控制中心歷程記錄中輕鬆追蹤動作的簡短描述。 您也可以使用核准標識碼,在控制中心篩選這些動作。 精靈結尾會提供此標識碼:
![[採取動作精靈] 顯示實體的選擇動作](../../media/choose-email-actions-entities.png?view=o365-worldwide#lightbox)
這些電子郵件動作也適用於 自定義偵測 。
檢閱採取的動作
每個動作都會個別記錄在 控制中心 [控制 中心>歷程 記錄] (security.microsoft.com/action-center/history) 底下。 移至控制中心以檢查每個動作的狀態。
注意事項
本文中的某些數據表可能無法在 適用於端點的 Microsoft Defender 中使用。 開啟 Microsoft Defender 全面偵測回應,以使用更多數據源來搜捕威脅。 您可以遵循從 適用於端點的 Microsoft Defender 移轉進階搜捕查詢中的步驟,將進階搜捕工作流程從 適用於端點的 Microsoft Defender 移至 Microsoft Defender 全面偵測回應。
相關主題
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:Microsoft Defender 全面偵測回應 技術社群。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應