Nápravné akce v Microsoft DefenderU XDR
Platí pro:
- Microsoft Defender XDR
Během automatizovaného vyšetřování v programu Microsoft Defender XDR a po jeho skončení se u škodlivých nebo podezřelých položek identifikují nápravné akce. Na zařízeních se provádí některé druhy nápravných akcí, které se označují také jako koncové body. U identit, účtů a e-mailového obsahu se provádí další nápravné akce. Kromě toho se některé typy nápravných akcí můžou provádět automaticky, zatímco jiné typy nápravných akcí provádí bezpečnostní tým vaší organizace ručně. Pokud automatizované šetření vede k jedné nebo několika nápravným akcím, dokončí se šetření pouze v případě, že jsou nápravné akce přijaty, schváleny nebo odmítnuty.
Důležité
To, jestli se nápravné akce provedou automaticky nebo pouze po schválení, závisí na určitých nastaveních, jako jsou úrovně automatizace. Další informace najdete v následujících článcích:
Následující tabulka shrnuje nápravné akce, které jsou aktuálně podporovány v programu Microsoft Defender XDR.
| Akce nápravy zařízení (koncového bodu) | Akce e-mailové nápravy | Uživatelé (účty) |
|---|---|---|
| - Shromáždění balíčku pro šetření – Izolovat zařízení (tuto akci je možné vrátit zpět) - Offboardovací stroj – Spuštění kódu verze - Uvolnění z karantény – Ukázka požadavku – Omezit provádění kódu (tuto akci je možné vrátit zpět) - Spusťte antivirovou kontrolu. - Zastavit a umístit do karantény – Obsahují zařízení ze sítě. |
- Adresa URL bloku (čas kliknutí) - Obnovitelné odstranění e-mailových zpráv nebo clusterů - Umístit e-mail do karantény - Umístit přílohu e-mailu do karantény - Vypnutí externího přeposílání pošty |
- Zakázat uživatele - Resetovat heslo uživatele – Potvrďte ohrožení zabezpečení uživatele. |
Nápravné akce, ať už čekající na schválení, nebo již dokončené, se dají zobrazit v Centru akcí.
Nápravné akce, které následují po automatizovaném vyšetřování
Po dokončení automatizovaného vyšetřování se dosáhne verdiktu pro každý případný důkaz. V závislosti na rozsudku se identifikují nápravné akce. V některých případech se nápravné akce provádí automaticky; v ostatních případech čekají akce nápravy na schválení. Vše závisí na tom, jak je nakonfigurované automatizované vyšetřování a reakce.
Následující tabulka uvádí možné verdikty a výsledky:
| Verdikt | Ovlivněné entity | Výsledky |
|---|---|---|
| Zlomyslný | Zařízení (koncové body) | Nápravné akce se provedou automaticky (za předpokladu, že jsou skupiny zařízení vaší organizace nastavené na Úplné – automaticky napravit hrozby). |
| Udělal kompromis | Uživatelé | Nápravné akce se provedou automaticky. |
| Zlomyslný | Obsah e-mailu (adresy URL nebo přílohy) | Doporučené nápravné akce čekají na schválení |
| Podezřívavý | Zařízení nebo obsah e-mailu | Doporučené nápravné akce čekají na schválení |
| Nenašly se žádné hrozby. | Zařízení nebo obsah e-mailu | Nejsou potřeba žádné nápravné akce. |
Nápravné akce, které se provádí ručně
Kromě nápravných akcí, které následují po automatizovaných šetřeních, může váš tým pro operace zabezpečení provádět určité nápravné akce ručně. Mezi tyto akce patří:
- Ruční akce zařízení, jako je izolace zařízení nebo karanténa souborů
- Ruční e-mailová akce, například obnovitelné odstranění e-mailových zpráv
- Ruční akce uživatele, například zakázání uživatele nebo resetování hesla uživatele
- Akce rozšířeného vyhledávání na zařízeních, uživatelích nebo e-mailech
- Akce Průzkumníka u obsahu e-mailu, jako je přesunutí e-mailu do nevyžádané pošty, obnovitelné odstranění e-mailu nebo pevné odstranění e-mailu
- Ruční akce živé odpovědi , například odstranění souboru, zastavení procesu a odebrání naplánované úlohy
- Akce živé odezvy pomocí rozhraní API Microsoft Defenderu for Endpoint, jako je izolace zařízení, spuštění antivirové kontroly a získání informací o souboru
Další kroky
- Navštívit centrum akcí
- Zobrazení a správa nápravných akcí
- Řešení falešně pozitivních nebo falešně negativních výsledků
- Obsazení zařízení ze sítě
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.