Centrum akcí
Poznámka
Chcete si Microsoft 365 Defender prožít? Přečtěte si další informace o tom, jak můžete vyhodnotit a pilotní Microsoft 365 Defender.
Platí pro:
- Microsoft 365 Defender
Centrum akcí nabízí prostředí "jediného podokna skla" pro úkoly incidentů a upozornění, jako jsou:
- Schvalování čekajících nápravných akcí
- Zobrazení protokolu auditování již schválených nápravných akcí
- Kontrola dokončených nápravných akcí
Vzhledem k tomu, že Centrum akcí poskytuje komplexní Microsoft 365 Defender v práci, může váš operační tým zabezpečení pracovat efektivněji a efektivněji.
Jednotné Centrum akcí
Jednotné Centrum akcí (https://security.microsoft.com/action-center) uvádí čekající a dokončené akce nápravy pro vaše zařízení, e-& obsahu pro spolupráci a identit na jednom místě.
Příklad:
- Pokud jste už dříve Office 365 Centrum & dodržování předpisů (https://protection.office.com), zkuste jednotné Centrum akcí na Microsoft 365 Defender portálu.
- Pokud jste v centru akcí Centrum zabezpečení v programu Microsoft Defender (https://securitycenter.windows.com/action-center), zkuste jednotné Centrum akcí na portálu Microsoft 365 Defender akcí.
- Pokud jste už portál Microsoft 365 Defender, uvidíte několik vylepšení v Centru akcí (https://security.microsoft.com/action-center).
Jednotné centrum akcí sdružuje nápravná opatření v defenderu pro koncové body a Defender pro Office 365. Definuje společný jazyk pro všechny nápravné akce a poskytuje jednotné prostředí vyšetřování. Váš operační tým zabezpečení má k zobrazení a správě nápravných akcí "jedno podokno skla".
Jednotné Centrum akcí můžete použít, pokud máte příslušná oprávnění a jedno nebo více z následujících předplatných:
Tip
Další informace najdete v tématu Požadavky.
Použití Centra akcí
- Přejděte na Microsoft 365 Defender a přihlaste se.
- V navigačním podokně zvolte Centrum akcí.
Když navštívíte Centrum akcí, zobrazí se dvě karty: Čekající akce a Historie. Následující tabulka shrnuje, co uvidíte na každé kartě:
| Karta | Popis |
|---|---|
| Čeká na vyřízení | Zobrazí seznam akcí, které vyžadují pozornost. Akce můžete schvalovat nebo odmítat po jednom nebo vybrat více akcí, pokud mají stejný typ akce (například soubor karantény). TIP: Nezapomeňte co nejdříve zkontrolovat a schválit (nebo zamítnout) čekající akce, aby vaše automatizované vyšetřování bylo možné provést včas. |
| Historie | Slouží jako protokol auditování pro akce, které byly provedeny, například: - Nápravná opatření, která byla přijata v důsledku automatizovaných vyšetřování - Nápravná opatření, která byla přijata u podezřelých nebo škodlivých e-mailových zpráv, souborů nebo adres URL - Nápravné akce, které schválil váš operační tým zabezpečení – Příkazy, které byly spouštěné a opravné akce použité během relací živé odpovědi - Nápravná opatření, která byla přijata antivirovou ochranou Umožňuje vrátit zpět určité akce (viz Vrácení dokončených akcí zpět). |
Data můžete přizpůsobit, řadit, filtrovat a exportovat v Centru akcí.
- Výběrem záhlaví sloupce seřadíte položky vzestupně nebo sestupně.
- Filtr časového období slouží k zobrazení dat za poslední den, týden, 30 nebo 6 měsíců.
- Vyberte sloupce, které chcete zobrazit.
- Určete, kolik položek se má zahrnout na každou stránku dat.
- Filtry slouží k zobrazení jenom položek, které chcete zobrazit.
- Výběrem možnosti Exportovat exportujte výsledky do .csv souboru.
Akce sledované v Centru akcí
Všechny akce, ať už čekají na schválení nebo už byly přijaty, se sledují v Centru akcí. Mezi dostupné akce patří:
- Získání balíčku prověřování
- Izolovat zařízení (tuto akci můžete vrátit zpět)
- Offboarding počítače
- Spuštění kódu verze
- Uvolnění z karantény
- Ukázka žádosti
- Omezit spuštění kódu (tuto akci můžete vrátit zpět)
- Spuštění antivirové kontroly
- Zastavení a karanténa
Kromě nápravných akcí, které se automaticky chytá v důsledku automatizovaných vyšetřování, sleduje Centrum akcí také akce, které váš tým zabezpečení při řešení zjištěných hrozeb a akcí přijata v důsledku funkcí ochrany před hrozbami v Microsoft 365 Defender. Další informace o automatických a ručních nápravných akcích najdete v tématu Akce nápravy.
Zobrazení podrobností o zdroji akcí
(NOVINKA!) Vylepšené Centrum akcí teď obsahuje zdrojový sloupec akce, který vám řekne, odkud každá akce pochází. Následující tabulka popisuje možné hodnoty zdroje akcí:
| Hodnota zdroje akce | Popis |
|---|---|
| Ruční akce zařízení | Ruční akce na zařízení Mezi příklady patří izolace zařízení nebo karanténa souborů. |
| Ruční akce e-mailu | Ruční akce v e-mailu Příkladem je měkké odstranění e-mailových zpráv nebo náprava e-mailové zprávy. |
| Automatická akce zařízení | Automatizovaná akce u entity, jako je soubor nebo proces. Mezi automatizované akce patří odeslání souboru do karantény, zastavení procesu a odebrání klíče registru. (Viz Akce nápravy v Microsoft Defender for Endpoint.) |
| Automatická akce e-mailu | Automatická akce s obsahem e-mailu, například e-mailovou zprávou, přílohou nebo adresou URL Mezi příklady automatizovaných akcí patří e-mailové zprávy s automatickým odstraněním, blokování adres URL a vypnutí externího přeposílání pošty. (Viz Akce nápravy v Microsoft Defender pro Office 365.) |
| Pokročilá lovecká akce | Akce na zařízeních nebo e-mailech s pokročilým lovem. |
| Akce Průzkumníka | Akce s obsahem e-mailu v Průzkumníkovi |
| Ruční akce živé odpovědi | Akce na zařízení s živou odpovědí. Mezi příklady patří odstranění souboru, zastavení procesu a odebrání naplánované úlohy. |
| Akce živé odpovědi | Akce na zařízení s Microsoft Defender for Endpoint ROZHRANÍMI API Mezi příklady akcí patří izolování zařízení, spuštění antivirové kontroly a získání informací o souboru. |
Požadovaná oprávnění pro úkoly Centra akcí
Pokud chcete provádět úkoly, jako je schvalování nebo odmítnutí čekajících akcí v Centru akcí, musíte mít přiřazená oprávnění uvedená v následující tabulce:
| Nápravná akce | Povinné role a oprávnění |
|---|---|
| Microsoft Defender for Endpoint (zařízení) | Role správce zabezpečení přiřazená v Azure Active Directory (Azure AD) (https://portal.azure.com) nebo v Centrum pro správu Microsoftu 365 (https://admin.microsoft.com) --- nebo --- Role aktivních nápravných akcí přiřazená v Microsoft Defender for Endpoint Další informace najdete v následujících zdrojích: - Předdefinované role Azure AD - Vytváření a správa rolí pro řízení přístupu na základě rolí (Microsoft Defender for Endpoint) |
| Microsoft Defender pro Office 365 (Office obsahu a e-mailu) | Role správce zabezpečení přiřazená v Azure AD (https://portal.azure.com) nebo v Centrum pro správu Microsoftu 365 (https://admin.microsoft.com) --- a --- Role hledání a vymazání přiřazená v Centru & dodržování předpisů (https://protection.office.com) DŮLEŽITÉ: Pokud máte přiřazenou roli Správce zabezpečení jenom v Centru dodržování předpisů Office 365 Security & (https://protection.office.com), nebudete mít přístup k Centru akcí ani Microsoft 365 Defender funkcím. Musíte mít přiřazenou roli Správce zabezpečení v Azure AD nebo Centrum pro správu Microsoftu 365. Další informace najdete v následujících zdrojích: - Předdefinované role Azure AD - Oprávnění v Centru & dodržování předpisů |
Tip
Uživatelé, kteří mají přiřazenou roli globálního správce ve službě Azure AD, mohou schválit nebo odmítnout všechny čekající akce v Centru akcí. Jako osvědčený postup by ale vaše organizace měla omezit počet lidí, kteří mají přiřazenou roli globálního správce. Pro oprávnění Centra akcí doporučujeme použít správce zabezpečení, aktivní akce nápravy a role hledat a vyčistit uvedené v předchozí tabulce.