Выполнение действий с расширенными результатами запросов охоты

Область применения:

  • Microsoft Defender XDR

Важно!

Некоторые сведения относятся к предварительно выпущенному продукту, который может быть существенно изменен перед выпуском. Корпорация Майкрософт не дает явных или подразумеваемых гарантий относительно предоставленных здесь сведений.

Вы можете быстро устранять угрозы или устранять скомпрометированные ресурсы, которые можно найти в расширенной охоте , используя мощные и комплексные варианты действий. С помощью этих параметров можно:

  • Выполнение различных действий на устройствах
  • Файлы карантина

Необходимые разрешения

Чтобы выполнить действия на устройствах с помощью расширенной охоты, вам потребуется роль в Microsoft Defender для конечной точки с разрешениями на отправку действий по исправлению на устройствах.

Важно!

Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Это помогает повысить безопасность вашей организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.

Если вы не можете выполнить действия, обратитесь к глобальному администратору, чтобы получить следующее разрешение:

Активные действия > по исправлению Управление угрозами и уязвимостями — обработка исправлений

Чтобы принять меры по электронной почте с помощью расширенной охоты, вам нужна роль в Microsoft Defender для Office 365 для поиска и очистки сообщений электронной почты.

Выполнение различных действий на устройствах

На устройствах, определенных по столбцу DeviceId в результатах запроса, можно выполнить следующие действия:

  • Изоляция затронутых устройств для сдерживания инфекции или предотвращения атак от бокового перемещения
  • Сбор пакета исследования для получения дополнительных сведений о судебной экспертизе
  • Запуск антивирусной проверки для поиска и удаления угроз с помощью последних обновлений аналитики безопасности
  • Запуск автоматического исследования для проверка и устранения угроз на устройстве и, возможно, других затронутых устройствах
  • Ограничьте выполнение приложения только исполняемыми файлами с подписью Майкрософт, предотвращая последующие действия с угрозами через вредоносные программы или другие ненадежные исполняемые файлы.

Чтобы узнать больше о том, как эти действия ответа выполняются через Microsoft Defender для конечной точки, ознакомьтесь с действиями реагирования на устройствах.

Файлы карантина

Вы можете развернуть действие карантина для файлов, чтобы они автоматически помещаются в карантин при обнаружении. При выборе этого действия можно выбрать один из следующих столбцов, чтобы определить, какие файлы в результатах запроса следует поместить в карантин:

  • SHA1: в большинстве расширенных таблиц охоты этот столбец ссылается на SHA-1 файла, на который влияет записанное действие. Например, если файл был скопирован, это будет скопированный файл.
  • InitiatingProcessSHA1: в большинстве расширенных таблиц охоты этот столбец ссылается на файл, отвечающий за инициализацию записанного действия. Например, если был запущен дочерний процесс, этот файл инициатора будет частью родительского процесса.
  • SHA256: этот столбец является эквивалентом SHA-256 файла, определяемого столбцом SHA1 .
  • InitiatingProcessSHA256: этот столбец является эквивалентом SHA-256 файла, определяемого столбцом InitiatingProcessSHA1 .

Дополнительные сведения о том, как выполняются действия карантина и как можно восстановить файлы, см. в статье Действия по реагированию на файлы.

Примечание.

Чтобы найти файлы и поместить их в карантин, результаты запроса также должны включать DeviceId значения в качестве идентификаторов устройств.

Чтобы выполнить любое из описанных действий, выберите одну или несколько записей в результатах запроса, а затем выберите Выполнить действия. Мастер поможет вам выбрать и отправить предпочитаемые действия.

Снимок экрана: параметр

Выполнение различных действий с сообщениями электронной почты

Помимо действий по исправлению, ориентированных на устройство, вы также можете выполнить некоторые действия с сообщениями электронной почты из результатов запроса. Выберите записи, с которыми вы хотите выполнить действия, выберите Выполнить действия, а затем в разделе Выбор действий выберите нужный вариант из следующих:

  • Move to mailbox folder — выберите это действие, чтобы переместить сообщения электронной почты в папку "Нежелательная почта", "Входящие" или "Удаленные"

    Обратите внимание, что вы можете переместить результаты электронной почты, состоящие из элементов, помещенных в карантин (например, в случае ложноположительных результатов), выбрав параметр Входящие .

    Снимок экрана: параметр папки

  • Delete email — выберите это действие, чтобы переместить сообщения электронной почты в папку Удаленные (обратимое удаление) или удалить их без возможности восстановления (жесткое удаление).

    При выборе обратимого удаления сообщения из папки Отправленные автоматически удаляются, если отправитель находится в организации.

    Снимок экрана: параметр

    Автоматическое обратимое удаление копии отправителя доступно для результатов с помощью EmailEvents таблиц и , EmailPostDeliveryEvents но не UrlClickEvents таблицы. Кроме того, результат должен содержать столбцы EmailDirection и SenderFromAddress столбцы для этого параметра действия, которые будут отображаться в мастере принятия действий. Очистка копирования отправителя применяется к сообщениям электронной почты внутри организации и исходящим письмам, гарантируя обратимое удаление только копии отправителя для этих сообщений электронной почты. Входящие сообщения находятся вне область.

    См. следующий запрос в качестве справки:

    EmailEvents
    | where ThreatTypes contains "spam"
    | project NetworkMessageId,RecipientEmailAddress, EmailDirection, SenderFromAddress, LatestDeliveryAction,LatestDeliveryLocation
    

Вы также можете указать имя исправления и краткое описание действия, предпринятого для его отслеживания в журнале центра уведомлений. Вы также можете использовать идентификатор утверждения для фильтрации этих действий в центре уведомлений. Этот идентификатор предоставляется в конце мастера:

Мастер действий, показывающий выбор действий для сущностей

Эти действия электронной почты также применимы к пользовательским обнаружениям .

Проверка выполненных действий

Каждое действие по отдельности записывается в центре уведомлений в разделеЖурналцентра уведомлений> (security.microsoft.com/action-center/history). Перейдите в центр уведомлений, чтобы проверка состояние каждого действия.

Примечание.

Некоторые таблицы в этой статье могут быть недоступны в Microsoft Defender для конечной точки. Включите Microsoft Defender XDR для поиска угроз с помощью дополнительных источников данных. Вы можете переместить расширенные рабочие процессы охоты с Microsoft Defender для конечной точки на Microsoft Defender XDR, выполнив действия, описанные в разделе Миграция расширенных запросов охоты из Microsoft Defender для конечной точки.

Совет

Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.