Действия по исправлению в XDR в Microsoft Defender

Область применения:

  • Microsoft Defender XDR

Во время и после автоматического исследования в XDR в Microsoft Defender определяются действия по исправлению вредоносных или подозрительных элементов. Некоторые типы действий по исправлению выполняются на устройствах, также называемых конечными точками. Другие действия по исправлению выполняются в отношении удостоверений, учетных записей и содержимого электронной почты. Кроме того, некоторые типы действий по исправлению могут выполняться автоматически, тогда как другие типы действий по исправлению выполняются вручную командой безопасности вашей организации. Когда автоматическое исследование приводит к одному или нескольким действиям по исправлению, исследование завершается только при выполнении, утверждении или отклонении действий по исправлению.

Важно!

То, выполняются ли действия по исправлению автоматически или только после утверждения, зависит от определенных параметров, таких как уровни автоматизации. Дополнительные сведения см. в следующих разделах:

В следующей таблице перечислены действия по исправлению, которые в настоящее время поддерживаются в XDR в Microsoft Defender.

Действия по исправлению устройства (конечной точки) Действия по исправления для электронной почты Пользователи (учетные записи)
— сбор пакета исследования
— Изоляция устройства (это действие можно отменить)
— Выключение компьютера
— Выполнение кода выпуска
— Освобождение из карантина
— Пример запроса
— ограничение выполнения кода (это действие можно отменить).
— Запуск проверки на вирусы
— Остановка и помещение в карантин
— содержать устройства из сети;
— URL-адрес блокировки (время щелчка)
— Обратимое удаление сообщений электронной почты или кластеров
— Сообщение электронной почты о карантине
— помещенное в карантин вложение электронной почты
— Отключить внешнюю пересылку почты
— Отключить пользователя
— сброс пароля пользователя
— подтвердите, что пользователь скомпрометирован.

Действия по исправлению, ожидающие утверждения или уже завершенные, можно просмотреть в центре уведомлений.

Действия по исправлению, следующие за автоматизированным исследованием

После завершения автоматического расследования выдается вердикт по всем участвующим доказательствам. В зависимости от решения выявляются действия по исправлению. В некоторых случаях действия по исправлению выполняются автоматически. В других случаях действия по исправлению ожидают утверждения. Все зависит от того, как настроено автоматическое исследование и реагирование.

В таблице ниже перечислены возможные заключения и результаты.

Заключение Затронутые сущности Результаты
Вредоносные Устройства (конечные точки) Действия по исправлению выполняются автоматически (при условии, что для групп устройств вашей организации задано значение Полное — устранять угрозы автоматически)
Скомпрометированы Пользователи Действия по исправлению выполняются автоматически
Вредоносные Содержимое электронной почты (URL-адреса или вложения) Рекомендуемые действия по исправлению ожидают утверждения
Подозрительные Устройства или содержимое электронной почты Рекомендуемые действия по исправлению ожидают утверждения
Угрозы не найдены Устройства или содержимое электронной почты Действия по исправлению не требуются

Действия по исправлению, выполняемые вручную

Помимо действий по исправлению, которые следуют за автоматизированным исследованием, команда по операциям безопасности может выполнять определенные действия по исправлению вручную. Вот эти действия:

  • Действия устройства вручную, такие как изоляция устройства или карантин файлов
  • Действие электронной почты вручную, например обратимое удаление сообщений электронной почты
  • Действие пользователя вручную, например отключение пользователя или сброс пароля пользователя
  • Расширенные действия охоты на устройствах, пользователях или электронной почте
  • Действие проводника для содержимого электронной почты, например перемещение электронной почты в нежелательную, обратимое удаление электронной почты или жесткое удаление электронной почты
  • Действие динамического ответа вручную, например удаление файла, остановка процесса и удаление запланированной задачи
  • Действие динамического реагирования с помощью API Microsoft Defender для конечной точки, например изоляция устройства, выполнение антивирусной проверки и получение сведений о файле

Дальнейшие действия

Совет

Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.