Центр уведомлений

Область применения:

  • Microsoft Defender XDR

Центр уведомлений предоставляет "единую панель окна" для задач инцидентов и оповещений, таких как:

  • Утверждение ожидающих действий по исправлению.
  • Просмотр журнала аудита уже утвержденных действий по исправлению.
  • проверка выполненных действий по исправлению.

Так как центр уведомлений предоставляет комплексное представление Microsoft Defender XDR на работе, ваша команда по операциям с безопасностью может работать более эффективно и эффективно.

Единый центр уведомлений

Единый центр уведомлений (https://security.microsoft.com/action-center) перечисляет ожидающие и завершенные действия по исправлению для ваших устройств, электронную почту & содержимое совместной работы и удостоверения в одном расположении.

Единый центр уведомлений на портале Microsoft Defender.

Например:

Единый центр уведомлений объединяет действия по исправлению в Microsoft Defender для конечной точки и Microsoft Defender для Office 365. Он определяет общий язык для всех действий по исправлению и предоставляет единый опыт исследования. Ваша команда по операциям безопасности имеет "единую панель стекла" для просмотра действий по исправлению и управления ими.

Единый центр уведомлений можно использовать при наличии соответствующих разрешений и одной или нескольких из следующих подписок:

Совет

Дополнительные сведения см. в разделе Требования.

Вы можете перейти к списку действий, ожидающих утверждения, двумя разными способами:

Использование центра уведомлений

  1. Перейдите на портал Microsoft Defender и выполните вход.

  2. В области навигации в разделе Действия и отправки выберите Центр уведомлений. Или в карта ответа автоматизированного исследования & выберите Утвердить в центре уведомлений.

  3. Используйте вкладки Ожидающие действия и Журнал . В следующей таблице приведены сведения о том, что вы увидите на каждой вкладке.

    Вкладка Описание
    Pending Отображает список действий, требующих внимания. Вы можете утвердить или отклонить действия по одному за раз или выбрать несколько действий, если они имеют одинаковый тип действия (например, файл карантина).

    Не забудьте как можно скорее проверить и утвердить (или отклонить) ожидающие действия, чтобы автоматизированные исследования могли завершиться своевременно.
    Журнал Служит журналом аудита для выполненных действий, таких как:
    • >Действия по исправлению, предпринятые в результате автоматизированных исследований
    • Действия по исправлению, предпринятые в отношении подозрительных или вредоносных сообщений электронной почты, файлов или URL-адресов
    • Действия по исправлению, утвержденные командой по операциям безопасности
    • Команды, которые выполнялись, и действия по исправлению, примененные во время сеансов динамического ответа
    • Действия по исправлению, предпринятые антивирусной защитой


    Предоставляет способ отмены определенных действий (см . раздел Отмена завершенных действий).
  4. Вы можете настраивать, сортировать, фильтровать и экспортировать данные в центре уведомлений.

    Снимок экрана, на котором показаны возможности сортировки, фильтрации и настройки центра уведомлений.

    • Выберите заголовок столбца для сортировки элементов по возрастанию или убыванию.
    • Используйте фильтр периода времени для просмотра данных за последний день, неделю, 30 дней или 6 месяцев.
    • Выберите столбцы, которые нужно просмотреть.
    • Укажите, сколько элементов следует включить на каждой странице данных.
    • Используйте фильтры для просмотра только элементов, которые вы хотите просмотреть.
    • Выберите Экспорт , чтобы экспортировать результаты в файл .csv.

Действия, отслеживаемые в центре уведомлений

В Центре уведомлений отслеживаются все действия — как ожидающие утверждения, так и уже утвержденные. Доступны следующие действия:

  • Сбор пакета исследования
  • Изоляция устройства (это действие можно отменить)
  • Отключение компьютера
  • Отмена блокировки выполнения кода
  • Отмена размещения в карантине
  • Запрос примера
  • Ограничение выполнения кода (это действие можно отменить)
  • Запуск проверки на вирусы
  • Останов и помещение в карантин
  • Содержатся устройства от сети

Помимо действий по исправлению, которые выполняются автоматически в результате автоматизированных исследований, Центр уведомлений также отслеживает действия, предпринятые группой безопасности для устранения обнаруженных угроз, а также действия, предпринятые в результате использования функций защиты от угроз в Microsoft Defender XDR. Дополнительные сведения об автоматических и ручных действиях по исправлению см. в разделе Действия по исправлению.

Просмотр сведений об источнике действия

Улучшенный центр уведомлений содержит столбец источника действий , в котором показано, откуда поступило каждое действие. В следующей таблице описаны возможные исходные значения action :

Значение источника действия Описание
Действие устройства вручную Действие, выполняемое вручную на устройстве. Примеры включают изоляцию устройства или карантин файлов.
Действие электронной почты вручную Действие, выполняемое вручную по электронной почте. Пример включает обратимое удаление сообщений электронной почты или исправление сообщения электронной почты.
Автоматическое действие устройства Автоматическое действие, выполняемое с сущностью, например файлом или процессом. Примеры автоматизированных действий включают отправку файла в карантин, остановку процесса и удаление раздела реестра. (См. раздел Действия по исправлению в Microsoft Defender для конечной точки.)
Автоматическое действие электронной почты Автоматическое действие, выполняемое с содержимым электронной почты, например с сообщением электронной почты, вложением или URL-адресом. Примерами автоматизированных действий являются обратимое удаление сообщений электронной почты, блокировка URL-адресов и отключение внешней пересылки почты. (См. раздел Действия по исправлению в Microsoft Defender для Office 365.)
Расширенное действие охоты Действия, выполняемые с устройствами или электронной почтой с расширенной охотой.
действие Обозреватель Действия, выполняемые с содержимым электронной почты с помощью Обозреватель.
Действие ответа в режиме реального времени вручную Действия, выполняемые на устройстве с динамическим откликом. Примеры включают удаление файла, остановку процесса и удаление запланированной задачи.
Действие динамического реагирования Действия, выполняемые на устройстве с Microsoft Defender для конечной точки API. Примеры действий включают изоляцию устройства, запуск антивирусной проверки и получение сведений о файле.

Обязательные разрешения для задач центра уведомлений

Для выполнения таких задач, как утверждение или отклонение ожидающих действий в центре уведомлений, требуются определенные разрешения. Возможны следующие варианты:

  • Microsoft Entra разрешений. Членство в следующих ролях предоставляет пользователям необходимые разрешения и разрешения для других функций Microsoft 365:

    • Microsoft Defender для конечной точки исправление (устройства): членство в роли администратора безопасности.

    • исправление Microsoft Defender для Office 365 (содержимое Office и электронная почта):

      • Членство в роли администратора безопасности .

      и

  • Email & разрешения на совместную работу на портале Microsoft Defender:

    • исправление Microsoft Defender для Office 365 (содержимое Office и электронная почта):

      • Членство в группе ролей "Администратор безопасности"

      и

  • Microsoft Defender XDR единое управление доступом на основе ролей (RBAC)

    • исправление Microsoft Defender для конечной точки: операции безопасности \ Данные безопасности \ Ответ (управление).
    • Microsoft Defender для Office 365 исправление (содержимое Office и электронная почта, если Email & совместная работа>Defender для Office 365 разрешения активны. Влияет только на портал Defender, а не На PowerShell:
      • Доступ на чтение для заголовков сообщений электронной почты и сообщений Teams: операции безопасности/необработанные данные (электронная почта & совместной работы)/Email & метаданные совместной работы (чтение).
      • Исправление вредоносных сообщений электронной почты: операции безопасности,данные безопасности/Email & расширенные действия совместной работы (управление).

    Совет

    Членство в группе ролей "Администратор безопасности" Email & разрешениями на совместную работу не предоставляет доступ к центру уведомлений или Microsoft Defender XDR возможностям. Для них необходимо быть членом роли администратора безопасности в Microsoft Entra разрешениях.

  • Разрешения Defender для конечной точки:

    • Microsoft Defender для конечной точки исправление (устройства): членство в роли Активные действия по исправлению.

Совет

Члены роли глобального администратора в Microsoft Entra ID могут утверждать или отклонять любые ожидающие действия в центре уведомлений. Однако рекомендуется ограничить членов роли глобального администратора . Для разрешений Центра уведомлений рекомендуется использовать альтернативные роли и группы ролей, как описано в предыдущем списке.

Следующее действие

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.