重要訊息中心
適用於:
- Microsoft 365 Defender
控制中心提供事件和警示工作的「單一視窗」體驗,例如:
- 核准擱置的補救動作。
- 檢視已核准補救動作的稽核記錄。
- 檢閱已完成的補救動作。
因為控制中心提供工作Microsoft 365 Defender的完整檢視,所以您的安全性作業小組可以更有效率且有效率地運作。
統一的控制中心
統一的控制中心 () https://security.microsoft.com/action-center 列出一個位置中裝置、電子郵件 & 共同作業內容和身分識別的擱置和已完成補救動作。
例如:
- 如果您在Microsoft Defender 資訊安全中心 (https://securitycenter.windows.com/action-center) 中使用控制中心,請在Microsoft 365 Defender 入口網站中嘗試整合控制中心。
- 如果您已經使用Microsoft 365 Defender入口網站,您會在控制中心 () https://security.microsoft.com/action-center 中看到數個改善。
統一的控制中心會將適用于端點的 Defender 和 適用於 Office 365 的 Defender 的補救動作結合在一起。 它會定義所有補救動作的通用語言,並提供統一的調查體驗。 您的安全性作業小組有「單一視窗」體驗,可檢視和管理補救動作。
如果您有適當的許可權和下列一或多個訂用帳戶,可以使用統一的控制中心:
提示
若要深入瞭解,請參閱 需求。
您可以使用兩種不同的方式流覽至擱置核准的動作清單:
- 移至 https://security.microsoft.com/action-center ; 或
- 在Microsoft 365 Defender入口網站 () https://security.microsoft.com ,在 [自動化調查 & 回應] 卡片中,選取 [在控制中心核准]。
使用控制中心
在功能窗格中,選擇 [控制中心]。 或者,在 [自動化調查 & 回應卡] 中,選取 [ 在控制中心核准]。
使用 [ 擱置動作 ] 和 [ 歷程記錄] 索引標籤。 下表摘要說明您會在每個索引標籤上看到的內容:
索引標籤 描述 擱置 顯示需要注意的動作清單。 您可以一次核准或拒絕一個動作,或選取多個動作,如果動作類型相同, (例如隔離檔案) 。
請務必儘快檢閱並核准 (或拒絕) 暫止動作,讓您的自動化調查能夠及時完成。歷程記錄 作為已採取之動作的稽核記錄檔,例如:
- 自動化調查所採取的補救動作
- 針對可疑或惡意電子郵件訊息、檔案或 URL 所採取的補救動作
- 安全性作業小組核准的補救動作
- 在即時回應會話期間所執行的命令和已套用的補救動作
- 防病毒軟體保護所採取的補救動作
提供復原特定動作的方法 (請參閱複 原已完成的動作) 。您可以在控制中心自訂、排序、篩選和匯出資料。
- 選取資料行標題,以遞增或遞減順序排序專案。
- 使用時間週期篩選來檢視過去一天、一周、30 天或 6 個月的資料。
- 選擇您想要檢視的資料行。
- 指定要在每個資料頁面上包含多少個專案。
- 使用篩選來只檢視您想要查看的專案。
- 選 取 [導 出] 將結果匯出至.csv檔。
在控制中心追蹤的動作
所有動作 (無論是等候核准或已執行) 都會在控制中心中追蹤。 可用的動作包括下列各項:
- 收集調查套件
- 隔離裝置 (可以復原此動作)
- 使電腦下線
- 釋出程式碼執行
- 從隔離釋出
- 要求範例
- 限制程式碼執行 (可以復原此動作)
- 執行防毒掃描
- 停止並隔離
- 包含網路中的裝置與
除了因自動化調查而自動採取的補救動作之外,控制中心也會追蹤您的安全性小組為了解決偵測到的威脅所採取的動作,以及因Microsoft 365 Defender中的威脅防護功能而採取的動作。 如需自動和手動補救動作的詳細資訊,請參閱 補救動作。
檢視動作來源詳細資料
(新功能!) 改善的控制中心現在包含一個 [ 動作來源 ] 資料行,告訴您每個動作的來源。 下表描述可能 的動作來源 值:
| 動作來源值 | 描述 |
|---|---|
| 手動裝置動作 | 在裝置上採取的手動動作。 範例包括 裝置隔離 或 檔案隔離。 |
| 手動電子郵件動作 | 在電子郵件上採取的手動動作。 範例包括虛刪除電子郵件訊息或 修復電子郵件訊息。 |
| 自動化裝置動作 | 對實體所採取的自動化動作,例如檔案或進程。 自動化動作的範例包括將檔案傳送至隔離區、停止進程,以及移除登錄機碼。 (請參閱適用於端點的 Microsoft Defender.) 中的補救動作 |
| 自動化電子郵件動作 | 對電子郵件內容採取的自動化動作,例如電子郵件訊息、附件或 URL。 自動化動作的範例包括虛刪除電子郵件訊息、封鎖 URL,以及關閉外部郵件轉寄。 (請參閱適用於 Office 365 的 Microsoft Defender.) 中的補救動作 |
| 進階搜捕動作 | 對具有 進階搜捕的裝置或電子郵件採取的動作。 |
| 總管動作 | 使用 Explorer對電子郵件內容採取的動作。 |
| 手動即時回應動作 | 在具有即時回應的裝置上採取 的動作。 範例包括刪除檔案、停止進程,以及移除排程的工作。 |
| 即時回應動作 | 在具有適用於端點的 Microsoft Defender API 的裝置上採取的動作。 動作範例包括隔離裝置、執行防毒軟體掃描,以及取得檔案的相關資訊。 |
重要訊息中心的必要權限
若要執行工作,例如核准或拒絕控制中心的擱置動作,您必須獲指派許可權,如下表所示:
| 補救動作 | 必要角色和權限 |
|---|---|
| 適用於端點的 Microsoft Defender裝置) (補救 | 在 Azure Active Directory (Azure AD) () https://portal.azure.com 或 https://admin.microsoft.com Microsoft 365 系統管理中心 () 中指派的安全性系統管理員角色 --- 或 --- 在 適用於端點的 Microsoft Defender 中指派的作用中補救動作角色 若要深入了解,請參閱下列資源: - Azure AD 內建角色 - 建立和管理角色型存取控制 (適用於端點的 Microsoft Defender) |
| 適用於 Office 365 的 Microsoft Defender Office 內容和電子郵件 () 的補救 | 在 Azure AD () 或 https://admin.microsoft.com Microsoft 365 系統管理中心 (https://portal.azure.com) 中指派的安全性系統管理員角色 --- 且 --- 在Microsoft 365 Defender Email共同作業角色中指派的 &搜尋和清除角色 > 重要:如果您只在Microsoft 365 Defender Email &> 共同作業角色中指派安全性系統管理員角色,您將無法存取控制中心或Microsoft 365 Defender功能。 您必須在 Azure AD 中指派安全性系統管理員角色或Microsoft 365 系統管理中心。 若要深入了解,請參閱下列資源: - Azure AD 內建角色 - 安全 & 性合規性中心的許可權 |
提示
在 Azure AD 中獲派 全域管理員 角色的使用者,可以在控制中心核准或拒絕任何擱置中的動作。 不過,最佳做法是,您的組織應該限制獲派 全域管理員 角色的人員數目。 建議您使用上述表格中所列 的安全性系統管理員、 主動補救動作和 搜尋和清除 角色,以取得控制中心許可權。