在 Microsoft Defender 全面偵測回應 中補救您的第一個事件

適用於：

• Microsoft Defender XDR

Microsoft Defender 全面偵測回應 提供偵測和分析功能，以確保威脅的內含性和消除。 內含專案包含降低攻擊影響的步驟，同時消除可確保從網路中移除攻擊者活動的所有追蹤。

Microsoft Defender 全面偵測回應 中的補救可以自動化，或透過事件回應者所採取的手動動作來進行。 您可以對裝置、檔案和身分識別採取補救動作。

自動補救

Microsoft Defender 全面偵測回應 利用其威脅情報和網路內的訊號來對抗最具干擾性的攻擊。 勒索軟體、商務電子郵件入侵 (BEC) ，以及中間攻擊者 (AiTM) 網路釣魚是一些最複雜的攻擊，可透過 自動攻擊中斷 功能立即包含。 一旦攻擊中斷，事件回應者就可以接管並完整調查攻擊，並套用必要的補救措施。

了解自動攻擊中斷如何協助事件回應：

同時，Microsoft Defender 全面偵測回應 的自動化調查和回應功能可以自動調查，並將補救動作套用至惡意和可疑專案。 這些功能可將調查和解決方式調整為威脅，讓事件回應者能夠專注於高影響力的攻擊。

您可以設定和管理自動化調查和回應功能。 您也可以透過 控制中心檢視所有過去和擱置中的動作。

注意事項

您可以在檢閱之後復原自動動作。

若要加速一些調查工作，您可以 使用Power Automate 將警示分級。 此外，您可以使用自動化和劇本來建立自動化補救。 Microsoft 在 GitHub 上有適用於 下列案例的劇本範本：

• 要求使用者驗證之後移除敏感性檔案共用
• 自動分級不常發生的國家/地區警示
• 停用帳戶之前要求管理員動作
• 停用惡意收件匣規則

劇本會使用Power Automate 建立自定義機器人程式自動化流程，以便在觸發特定準則之後，將特定活動自動化。 組織可以從現有的範本或從頭建立劇本。 您也可以在事件後檢閱期間建立劇本，以從已解決的事件建立補救動作。

瞭解 Power Automate 如何透過這段影片協助您將事件回應自動化：

手動補救

在回應攻擊時，安全性小組可以利用入口網站的手動補救動作來防止攻擊進一步造成損害。 某些動作可以立即停止威脅，而其他動作則可協助進一步進行鑑識分析。 您可以根據組織內部署的 Defender 工作負載，將這些動作套用至任何實體。

在裝置上採取動作

• 隔離裝置 - 藉由中斷裝置與網路的連線來隔離受影響的裝置。 裝置仍會連線到適用於端點的 Defender 服務以繼續監視。

• 限制應用程式執行 - 套用程式代碼完整性原則來限制應用程式，該原則只允許檔案在由 Microsoft 發行的憑證簽署時執行。

• 執行防病毒軟體掃描 - 從遠端起始裝置的 Defender 防病毒軟體掃描。 無論 Defender 防病毒軟體是否為作用中的防病毒軟體解決方案，掃描都可以與其他防病毒軟體解決方案一起執行。

• 收集調查套件 - 您可以從裝置收集調查套件，作為調查或回應程式的一部分。 藉由收集調查套件，您可以識別裝置的目前狀態，並進一步了解攻擊者所使用的工具和技術。

• 起始自動化調查 - 在裝置上啟動新的一般用途自動化調查。 當調查正在執行時，從裝置產生的任何其他警示都會新增至進行中的自動化調查，直到調查完成為止。 此外，如果在其他裝置上看到相同的威脅，這些裝置就會新增至調查。

• 起始即時回應 - 可讓您使用遠端殼層連線即時存取裝置，讓您可以執行深入調查工作，並立即採取回應動作，以即時立即包含已識別的威脅。 即時回應的設計目的是要藉由讓您收集鑑識數據、執行腳本、傳送可疑實體進行分析、補救威脅，以及主動搜捕新興威脅來增強調查。

• 詢問 Defender 專家 - 您可以洽詢 Microsoft Defender 專家，以深入瞭解可能遭到入侵或已遭入侵的裝置。 Microsoft Defender 專家可以直接從入口網站內參與，以取得及時且精確的回應。 此動作適用於裝置和檔案。

裝置上的其他動作可透過下列教學課程取得：

• 透過適用於端點的 Defender 啟用裝置上的回應動作

注意事項

您可以直接從攻擊案例內的圖表對裝置採取動作。

對檔案採取動作

• 停止和隔離檔案 - 包括停止執行中的進程、隔離檔案，以及刪除登錄機碼之類的永續性數據。
• 新增指標來封鎖或允許檔案 - 防止攻擊進一步散佈，方法是禁止潛在的惡意檔案或可疑的惡意代碼。 這項作業可防止在組織中的裝置上讀取、寫入或執行檔案。
• 下載或收集檔案 – 可讓分析師下載受密碼保護 .zip 封存盤案中的檔案，供組織進一步分析。
• 深入分析 – 在安全、完全檢測的雲端環境中執行檔案。 深入分析結果會顯示檔案的活動、觀察到的行為，以及相關聯的成品，例如卸除的檔案、登錄修改，以及與IP位址的通訊。

補救其他攻擊

注意事項

這些教學課程適用於在您的環境中啟用其他 Defender 工作負載時。

下列教學課程會列舉您可以在調查實體或回應特定威脅時套用的步驟和動作：

• 透過 適用於 Office 365 的 Defender 回應遭入侵的電子郵件帳戶
• 使用適用於弱點管理的Defender補救弱點
• 透過適用於身分識別的 Defender 對使用者帳戶採取補救動作
• 使用適用於雲端應用程式的Defender套用原則來控制應用程式

後續步驟

• 透過攻擊模擬訓練模擬攻擊
• 透過 Virtual Ninja 訓練探索 Microsoft Defender 全面偵測回應

另請參閱

• 調查事件
• 透過 Microsoft Defender 全面偵測回應 Ninja 訓練來瞭解入口網站的功能

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群：Microsoft Defender 全面偵測回應 技術社群。