Ausführen von Aktionen bei ergebnissen erweiterter Huntingabfragen
Gilt für:
- Microsoft Defender XDR
Wichtig
Einige Informationen in diesem Artikel beziehen sich auf ein vorab veröffentlichtes Produkt, das vor der kommerziellen Veröffentlichung möglicherweise erheblich geändert wird. Microsoft übernimmt in Bezug auf die hier bereitgestellten Informationen keine Gewährleistung, weder ausdrücklich noch konkludent.
Sie können schnell Bedrohungen enthalten oder kompromittierte Ressourcen behandeln, die Sie in der erweiterten Suche finden, indem Sie leistungsstarke und umfassende Aktionsoptionen verwenden. Mit diesen Optionen haben Sie folgende Möglichkeiten:
- Ausführen verschiedener Aktionen auf Geräten
- Dateien unter Quarantäne stellen
Erforderliche Berechtigungen
Um aktionen auf Geräten über die erweiterte Suche zu ergreifen, benötigen Sie eine Rolle in Microsoft Defender for Endpoint mit Berechtigungen zum Übermitteln von Wartungsaktionen auf Geräten.
Wichtig
Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Dies trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Globaler Administrator ist eine hoch privilegierte Rolle, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.
Wenn Sie keine Aktion ausführen können, wenden Sie sich an einen globalen Administrator, um die folgende Berechtigung zu erhalten:
Aktive Wartungsaktionen > Bedrohungs- und Sicherheitsrisikomanagement – Behandlung von Abhilfemaßnahmen
Um Maßnahmen für E-Mails über die erweiterte Suche zu ergreifen, benötigen Sie eine Rolle in Microsoft Defender for Office 365 zum Durchsuchen und Bereinigen von E-Mails.
Ausführen verschiedener Aktionen auf Geräten
Sie können die folgenden Aktionen auf Geräten ausführen, die durch die DeviceId
Spalte in Ihren Abfrageergebnissen identifiziert werden:
- Isolieren betroffener Geräte, um eine Infektion einzudämmen oder zu verhindern, dass sich Angriffe seitlich bewegen
- Sammeln eines Untersuchungspakets zum Abrufen weiterer forensischer Informationen
- Ausführen einer Antivirenüberprüfung, um Bedrohungen mithilfe der neuesten Security Intelligence-Updates zu finden und zu entfernen
- Initiieren einer automatisierten Untersuchung, um Bedrohungen auf dem Gerät und möglicherweise anderen betroffenen Geräten zu überprüfen und zu beheben
- Beschränken Sie die App-Ausführung auf von Microsoft signierte ausführbare Dateien, um nachfolgende Bedrohungsaktivitäten durch Schadsoftware oder andere nicht vertrauenswürdige ausführbare Dateien zu verhindern.
Weitere Informationen dazu, wie diese Antwortaktionen über Microsoft Defender for Endpoint ausgeführt werden, finden Sie unter Antwortaktionen auf Geräten.
Dateien unter Quarantäne stellen
Sie können die Quarantäneaktion für Dateien bereitstellen, sodass sie automatisch unter Quarantäne gesetzt werden, wenn sie gefunden werden. Wenn Sie diese Aktion auswählen, können Sie zwischen den folgenden Spalten wählen, um zu ermitteln, welche Dateien in Ihren Abfrageergebnissen unter Quarantäne gesetzt werden sollen:
-
SHA1
: In den meisten erweiterten Huntingtabellen bezieht sich diese Spalte auf den SHA-1 der Datei, die von der aufgezeichneten Aktion betroffen ist. Wenn beispielsweise eine Datei kopiert wurde, ist dies die kopierte Datei. -
InitiatingProcessSHA1
: In den meisten erweiterten Huntingtabellen bezieht sich diese Spalte auf die Datei, die für das Initiieren der aufgezeichneten Aktion verantwortlich ist. Wenn beispielsweise ein untergeordneter Prozess gestartet wurde, wäre diese Initiatordatei Teil des übergeordneten Prozesses. -
SHA256
: Diese Spalte ist die SHA-256-Entsprechung der datei, die durch dieSHA1
Spalte identifiziert wird. -
InitiatingProcessSHA256
: Diese Spalte ist die SHA-256-Entsprechung der datei, die durch dieInitiatingProcessSHA1
Spalte identifiziert wird.
Weitere Informationen dazu, wie Quarantäneaktionen ausgeführt werden und wie Dateien wiederhergestellt werden können, finden Sie unter Antwortaktionen für Dateien.
Hinweis
Um Dateien zu finden und unter Quarantäne zu stellen, sollten die Abfrageergebnisse auch Werte als Gerätebezeichner enthalten DeviceId
.
Um eine der beschriebenen Aktionen auszuführen, wählen Sie einen oder mehrere Datensätze in den Abfrageergebnissen aus, und wählen Sie dann Aktionen ausführen aus. Ein Assistent führt Sie durch den Prozess der Auswahl und übermittlung Ihrer bevorzugten Aktionen.
Ergreifen verschiedener Aktionen für E-Mails
Abgesehen von geräteorientierten Korrekturschritten können Sie auch einige Aktionen für E-Mails aus Ihren Abfrageergebnissen ausführen. Wählen Sie die Datensätze aus, für die Sie Maßnahmen ergreifen möchten, wählen Sie Aktionen ausführen aus, und wählen Sie dann unter Aktionen auswählen Ihre Auswahl aus den folgenden Optionen aus:
Move to mailbox folder
– Wählen Sie diese Aktion aus, um die E-Mail-Nachrichten in den Ordner Junk, Posteingang oder Gelöschte Elemente zu verschieben.Beachten Sie, dass Sie E-Mail-Ergebnisse verschieben können, die aus isolierten Elementen bestehen (für instance bei falsch positiven Ergebnissen), indem Sie die Option Posteingang auswählen.
Delete email
– Wählen Sie diese Aktion aus, um E-Mail-Nachrichten in den Ordner "Gelöschte Elemente" (Vorläufiges Löschen) zu verschieben oder endgültig zu löschen (endgültiges Löschen)Wenn Sie vorläufiges Löschen auswählen, werden die Nachrichten automatisch aus dem Ordner "Gesendete Elemente" des Absenders gelöscht, wenn sich der Absender im organization befindet.
Automatisches vorläufiges Löschen der Kopie des Absenders ist für Ergebnisse verfügbar, die die
EmailEvents
Tabellen undEmailPostDeliveryEvents
verwenden, aber nicht dieUrlClickEvents
Tabelle. Darüber hinaus sollte das Ergebnis die SpaltenEmailDirection
undSenderFromAddress
Spalten für diese Aktionsoption enthalten, die im Assistenten aktionen ausführen angezeigt werden. Die Kopie sauber des Absenders gilt für organization E-Mails und ausgehende E-Mails, sodass sichergestellt wird, dass nur die Kopie des Absenders für diese E-Mail-Nachrichten vorläufig gelöscht wird. Eingehende Nachrichten liegen außerhalb des Gültigkeitsbereichs.Sehen Sie sich die folgende Abfrage als Referenz an:
EmailEvents | where ThreatTypes contains "spam" | project NetworkMessageId,RecipientEmailAddress, EmailDirection, SenderFromAddress, LatestDeliveryAction,LatestDeliveryLocation
Sie können auch einen Wartungsnamen und eine kurze Beschreibung der ausgeführten Aktion angeben, um sie einfach im Verlauf des Info-Centers nachzuverfolgen. Sie können auch die Genehmigungs-ID verwenden, um im Info-Center nach diesen Aktionen zu filtern. Diese ID wird am Ende des Assistenten bereitgestellt:
Diese E-Mail-Aktionen gelten auch für benutzerdefinierte Erkennungen .
Überprüfen der ausgeführten Aktionen
Jede Aktion wird einzeln im Info-Center unter Info-Center-Verlauf> (security.microsoft.com/action-center/history) aufgezeichnet. Wechseln Sie zum Info-Center, um die status der einzelnen Aktionen zu überprüfen.
Hinweis
Einige Tabellen in diesem Artikel sind in Microsoft Defender for Endpoint möglicherweise nicht verfügbar. Aktivieren Sie Microsoft Defender XDR, um mithilfe weiterer Datenquellen nach Bedrohungen zu suchen. Sie können Ihre Workflows für die erweiterte Suche von Microsoft Defender for Endpoint auf Microsoft Defender XDR verschieben, indem Sie die Schritte unter Migrieren von Abfragen für erweiterte Suche von Microsoft Defender for Endpoint ausführen.
Verwandte Artikel
- Übersicht über die erweiterte Suche
- Lernen der Abfragesprache
- Arbeiten mit Abfrageergebnissen
- Grundlegendes zum Schema
- Übersicht über das Info-Center
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.