Überprüfen von Korrekturaktionen nach einer automatisierten Untersuchung
Gilt für:
Wartungsaktionen
Wenn eine automatisierte Untersuchung ausgeführt wird, wird für jeden untersuchten Beweis ein Urteil generiert. Urteile können böswillig, verdächtig oder Keine Bedrohungen gefunden sein.
Je
- die Art der Bedrohung,
- das resultierende Urteil und
- Wie die Gerätegruppen Ihrer organization konfiguriert werden,
Korrekturaktionen können automatisch oder nur nach Genehmigung durch das Sicherheitsbetriebsteam Ihres organization ausgeführt werden.
Hinweis
Die Erstellung von Gerätegruppen wird in Defender für Endpunkt Plan 1 und Plan 2 unterstützt.
Hier ein paar Beispiele:
Beispiel 1: Die Gerätegruppen von Fabrikam sind auf Vollständig festgelegt – Bedrohungen werden automatisch behoben (empfohlene Einstellung). In diesem Fall werden Korrekturaktionen automatisch für Artefakte ausgeführt, die nach einer automatisierten Untersuchung als schädlich eingestuft werden (siehe Überprüfen abgeschlossener Aktionen).
Beispiel 2: Die Geräte von Contoso sind in einer Gerätegruppe enthalten, die auf Semi festgelegt ist – Genehmigung für alle Korrekturen erforderlich. In diesem Fall muss das Sicherheitsteam von Contoso alle Korrekturaktionen nach einer automatisierten Untersuchung überprüfen und genehmigen (siehe Überprüfen ausstehender Aktionen).
Beispiel 3: Die Gerätegruppen von Tailspin Toys sind auf Keine automatisierte Antwort (nicht empfohlen) festgelegt. In diesem Fall finden keine automatisierten Untersuchungen statt. Es werden keine Korrekturaktionen ausgeführt oder stehen aus, und es werden keine Aktionen im Info-Center für ihre Geräte protokolliert (siehe Verwalten von Gerätegruppen).
Unabhängig davon, ob sie automatisch oder nach Genehmigung durchgeführt werden, kann eine automatisierte Untersuchung und Wartung zu einer oder mehreren der Wiederherstellungsaktionen führen:
- Isolieren einer Datei
- Entfernen eines Registrierungsschlüssels
- Beenden eines Prozesses
- Beenden eines Diensts
- Deaktivieren eines Treibers
- Entfernen einer geplanten Aufgabe
Überprüfen ausstehender Aktionen
Wechseln Sie zum Microsoft Defender-Portal, und melden Sie sich an.
Wählen Sie im Navigationsbereich Info-Center aus.
Überprüfen Sie die Elemente auf der Registerkarte Ausstehend .
Wählen Sie eine Aktion aus, um den zugehörigen Flyoutbereich zu öffnen.
Überprüfen Sie im Flyoutbereich die Informationen, und führen Sie dann einen der folgenden Schritte aus:
- Wählen Sie Untersuchungsseite öffnen aus, um weitere Details zur Untersuchung anzuzeigen.
- Wählen Sie Genehmigen aus, um eine ausstehende Aktion zu initiieren.
- Wählen Sie Ablehnen aus, um zu verhindern, dass eine ausstehende Aktion ausgeführt wird.
- Wählen Sie Gehe zur Jagd , um zur Erweiterten Suche zu wechseln.
Genehmigen oder Ablehnen von Korrekturaktionen
Bei Vorfällen mit einer Status ausstehender Genehmigung können Sie eine Korrekturaktion auch innerhalb des Incidents genehmigen oder ablehnen.
- Wechseln Sie im Navigationsbereich zu Incidents & Warnungen>Incidents.
- Filtern Sie nach der Aktion "Ausstehend " für den Status "Automatisierte Untersuchung" (optional).
- Wählen Sie einen Incidentnamen aus, um die zugehörige Zusammenfassungsseite zu öffnen.
- Wählen Sie die Registerkarte Beweis und Antwort aus.
- Wählen Sie ein Element in der Liste aus, um den flyout-Bereich zu öffnen.
- Überprüfen Sie die Informationen, und führen Sie dann einen der folgenden Schritte aus:
- Wählen Sie die Option Ausstehende Aktion genehmigen aus, um eine ausstehende Aktion zu initiieren.
- Wählen Sie die Option Ausstehende Aktion ablehnen aus, um zu verhindern, dass eine ausstehende Aktion ausgeführt wird.
Überprüfen abgeschlossener Aktionen
Wechseln Sie zum Microsoft Defender-Portal, und melden Sie sich an.
Wählen Sie im Navigationsbereich Info-Center aus.
Überprüfen Sie die Elemente auf der Registerkarte Verlauf .
Wählen Sie ein Element aus, um weitere Details zu dieser Wartungsaktion anzuzeigen.
Rückgängigmachen abgeschlossener Aktionen
Wenn Sie festgestellt haben, dass ein Gerät oder eine Datei keine Bedrohung darstellt, können Sie durchgeführte Wiederherstellungsaktionen rückgängig gemacht werden, unabhängig davon, ob diese Aktionen automatisch oder manuell ausgeführt wurden. Im Info-Center können Sie auf der Registerkarte Verlauf eine der folgenden Aktionen rückgängigmachen:
Aktionsquelle | Unterstützte Aktionen |
---|---|
|
|
Hinweis
Defender für Endpunkt Plan 1 und Microsoft Defender for Business nur die folgenden manuellen Antwortaktionen enthalten:
- Antivirusscan ausführen
- Gerät isolieren
- Beenden und Isolieren einer Datei
- Hinzufügen eines Indikators zum Blockieren oder Zulassen einer Datei
So machen Sie mehrere Aktionen gleichzeitig rückgängig
Wechseln Sie zum Info-Center (https://security.microsoft.com/action-center), und melden Sie sich an.
Wählen Sie auf der Registerkarte Verlauf die Aktionen aus, die Sie rückgängig machen möchten. Stellen Sie sicher, dass Sie Elemente mit demselben Aktionstyp auswählen. Ein Flyoutbereich wird geöffnet.
Wählen Sie im Flyoutbereich Rückgängig aus.
So entfernen Sie eine Datei aus der Quarantäne auf mehreren Geräten
Wechseln Sie zum Info-Center (https://security.microsoft.com/action-center), und melden Sie sich an.
Wählen Sie auf der Registerkarte Verlauf ein Element mit dem Aktionstyp Quarantänedatei aus.
Wählen Sie im Flyoutbereich Auf X weitere Instanzen dieser Datei anwenden und dann Rückgängig aus.
Automatisierungsebenen, automatisierte Untersuchungsergebnisse und daraus resultierende Aktionen
Automatisierungsebenen wirken sich darauf aus, ob bestimmte Korrekturaktionen automatisch oder nur nach Genehmigung ausgeführt werden. Manchmal muss Ihr Sicherheitsteam abhängig von den Ergebnissen einer automatisierten Untersuchung weitere Schritte ausführen. In der folgenden Tabelle sind Automatisierungsebenen, Ergebnisse automatisierter Untersuchungen und die jeweils zu tunden Schritte zusammengefasst.
Gerätegruppeneinstellung | Automatisierte Untersuchungsergebnisse | Vorgehensweise |
---|---|---|
Vollständig: Automatisches Beheben von Bedrohungen (empfohlen) |
Ein Urteil über Böswilligen wird für einen Beweis getroffen. Geeignete Korrekturmaßnahmen werden automatisch ausgeführt. |
Überprüfen abgeschlossener Aktionen |
Semi: Genehmigung für alle Korrekturen erforderlich | Ein Urteil über böswillig oder verdächtig wird für einen Beweis getroffen. Die Genehmigung für die Fortsetzung von Wartungsaktionen steht aus. |
Genehmigen (oder Ablehnen) ausstehender Aktionen |
Semi: Genehmigung für die Wiederherstellung von Kernordnern erforderlich | Ein Urteil über Böswilligen wird für einen Beweis getroffen. Wenn es sich bei dem Artefakt um eine Datei oder ausführbare Datei handelt und sich in einem Betriebssystemverzeichnis befindet, z. B. im Windows-Ordner oder im Ordner "Programme", stehen die Korrekturaktionen aus. Wenn sich das Artefakt nicht in einem Betriebssystemverzeichnis befindet, werden Korrekturaktionen automatisch ausgeführt. |
|
Semi: Genehmigung für die Wiederherstellung von Kernordnern erforderlich | Ein Urteil über Verdächtige wird für einen Beweis getroffen. Die Genehmigung von Korrekturaktionen steht aus. |
Ausstehende Aktionen genehmigen (oder ablehnen). |
Semi: Genehmigung für die Wiederherstellung nicht temporärer Ordner erforderlich | Ein Urteil über Böswilligen wird für einen Beweis getroffen. Wenn es sich bei dem Artefakt um eine Datei oder ausführbare Datei handelt, die sich nicht in einem temporären Ordner befindet, z. B. im Downloadordner oder temporären Ordner des Benutzers, stehen die Korrekturaktionen aus. Wenn es sich bei dem Artefakt um eine Datei oder ausführbare Datei handelt, die sich in einem temporären Ordner befindet, werden automatisch Korrekturaktionen ausgeführt. |
|
Semi: Genehmigung für die Wiederherstellung nicht temporärer Ordner erforderlich | Ein Urteil über Verdächtige wird für einen Beweis getroffen. Die Genehmigung von Korrekturaktionen steht aus. |
Genehmigen (oder Ablehnen) ausstehender Aktionen |
Alle Automatisierungsebenen "Vollständig " oder "Semi " | Ein Urteil von Keine Bedrohungen gefunden wird für ein Stück Beweis erreicht. Es werden keine Abhilfemaßnahmen ausgeführt, und es stehen keine Maßnahmen zur Genehmigung aus. |
Anzeigen von Details und Ergebnissen von automatischen Untersuchungen |
Keine automatisierte Antwort (nicht empfohlen) | Es werden keine automatisierten Untersuchungen ausgeführt, sodass keine Urteile getroffen werden und keine Abhilfemaßnahmen durchgeführt werden oder auf die Genehmigung warten. | Erwägen Sie das Einrichten oder Ändern Ihrer Gerätegruppen, um die Voll- oder Halbautomatisierung zu verwenden. |
Alle Urteile werden im Info-Center nachverfolgt.
Hinweis
In Defender for Business sind automatisierte Untersuchungs- und Korrekturfunktionen so voreingestellt, dass sie vollständig – Bedrohungen automatisch beheben. Diese Funktionen werden standardmäßig auf alle Geräte angewendet.
Nächste Schritte
- Erfahren Sie mehr über live response-Funktionen
- Proaktive Suche nach Bedrohungen mit erweiterter Suche
- Adressiert falsch positive/negative Ergebnisse in Microsoft Defender für Endpunkt
Siehe auch
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.