Centrum akcí

Poznámka

Chcete si Microsoft 365 Defender prožít? Přečtěte si další informace o tom, jak můžete vyhodnotit a pilotní Microsoft 365 Defender.

Platí pro:

  • Microsoft 365 Defender

Centrum akcí nabízí prostředí "jediného podokna skla" pro úkoly incidentů a upozornění, jako jsou:

  • Schvalování čekajících nápravných akcí
  • Zobrazení protokolu auditování již schválených nápravných akcí
  • Kontrola dokončených nápravných akcí

Vzhledem k tomu, že Centrum akcí poskytuje komplexní Microsoft 365 Defender v práci, může váš operační tým zabezpečení pracovat efektivněji a efektivněji.

Jednotné Centrum akcí

Jednotné Centrum akcí (https://security.microsoft.com/action-center) uvádí čekající a dokončené akce nápravy pro vaše zařízení, e-& obsahu pro spolupráci a identit na jednom místě.

Jednotné centrum akcí na Microsoft 365 Defender portálu.

Příklad:

Jednotné centrum akcí sdružuje nápravná opatření v defenderu pro koncové body a Defender pro Office 365. Definuje společný jazyk pro všechny nápravné akce a poskytuje jednotné prostředí vyšetřování. Váš operační tým zabezpečení má k zobrazení a správě nápravných akcí "jedno podokno skla".

Jednotné Centrum akcí můžete použít, pokud máte příslušná oprávnění a jedno nebo více z následujících předplatných:

Tip

Další informace najdete v tématu Požadavky.

Použití Centra akcí

  1. Přejděte na Microsoft 365 Defender a přihlaste se.
  2. V navigačním podokně zvolte Centrum akcí.

Když navštívíte Centrum akcí, zobrazí se dvě karty: Čekající akce a Historie. Následující tabulka shrnuje, co uvidíte na každé kartě:

Karta Popis
Čeká na vyřízení Zobrazí seznam akcí, které vyžadují pozornost. Akce můžete schvalovat nebo odmítat po jednom nebo vybrat více akcí, pokud mají stejný typ akce (například soubor karantény).

TIP: Nezapomeňte co nejdříve zkontrolovat a schválit (nebo zamítnout) čekající akce, aby vaše automatizované vyšetřování bylo možné provést včas.

Historie Slouží jako protokol auditování pro akce, které byly provedeny, například:
- Nápravná opatření, která byla přijata v důsledku automatizovaných vyšetřování
- Nápravná opatření, která byla přijata u podezřelých nebo škodlivých e-mailových zpráv, souborů nebo adres URL
- Nápravné akce, které schválil váš operační tým zabezpečení
– Příkazy, které byly spouštěné a opravné akce použité během relací živé odpovědi
- Nápravná opatření, která byla přijata antivirovou ochranou

Umožňuje vrátit zpět určité akce (viz Vrácení dokončených akcí zpět).

Data můžete přizpůsobit, řadit, filtrovat a exportovat v Centru akcí.

Možnosti řazení, filtrování a přizpůsobení Centra akcí

  • Výběrem záhlaví sloupce seřadíte položky vzestupně nebo sestupně.
  • Filtr časového období slouží k zobrazení dat za poslední den, týden, 30 nebo 6 měsíců.
  • Vyberte sloupce, které chcete zobrazit.
  • Určete, kolik položek se má zahrnout na každou stránku dat.
  • Filtry slouží k zobrazení jenom položek, které chcete zobrazit.
  • Výběrem možnosti Exportovat exportujte výsledky do .csv souboru.

Akce sledované v Centru akcí

Všechny akce, ať už čekají na schválení nebo už byly přijaty, se sledují v Centru akcí. Mezi dostupné akce patří:

  • Získání balíčku prověřování
  • Izolovat zařízení (tuto akci můžete vrátit zpět)
  • Offboarding počítače
  • Spuštění kódu verze
  • Uvolnění z karantény
  • Ukázka žádosti
  • Omezit spuštění kódu (tuto akci můžete vrátit zpět)
  • Spuštění antivirové kontroly
  • Zastavení a karanténa

Kromě nápravných akcí, které se automaticky chytá v důsledku automatizovaných vyšetřování, sleduje Centrum akcí také akce, které váš tým zabezpečení při řešení zjištěných hrozeb a akcí přijata v důsledku funkcí ochrany před hrozbami v Microsoft 365 Defender. Další informace o automatických a ručních nápravných akcích najdete v tématu Akce nápravy.

Zobrazení podrobností o zdroji akcí

(NOVINKA!) Vylepšené Centrum akcí teď obsahuje zdrojový sloupec akce, který vám řekne, odkud každá akce pochází. Následující tabulka popisuje možné hodnoty zdroje akcí:

Hodnota zdroje akce Popis
Ruční akce zařízení Ruční akce na zařízení Mezi příklady patří izolace zařízení nebo karanténa souborů.
Ruční akce e-mailu Ruční akce v e-mailu Příkladem je měkké odstranění e-mailových zpráv nebo náprava e-mailové zprávy.
Automatická akce zařízení Automatizovaná akce u entity, jako je soubor nebo proces. Mezi automatizované akce patří odeslání souboru do karantény, zastavení procesu a odebrání klíče registru. (Viz Akce nápravy v Microsoft Defender for Endpoint.)
Automatická akce e-mailu Automatická akce s obsahem e-mailu, například e-mailovou zprávou, přílohou nebo adresou URL Mezi příklady automatizovaných akcí patří e-mailové zprávy s automatickým odstraněním, blokování adres URL a vypnutí externího přeposílání pošty. (Viz Akce nápravy v Microsoft Defender pro Office 365.)
Pokročilá lovecká akce Akce na zařízeních nebo e-mailech s pokročilým lovem.
Akce Průzkumníka Akce s obsahem e-mailu v Průzkumníkovi
Ruční akce živé odpovědi Akce na zařízení s živou odpovědí. Mezi příklady patří odstranění souboru, zastavení procesu a odebrání naplánované úlohy.
Akce živé odpovědi Akce na zařízení s Microsoft Defender for Endpoint ROZHRANÍMI API Mezi příklady akcí patří izolování zařízení, spuštění antivirové kontroly a získání informací o souboru.

Požadovaná oprávnění pro úkoly Centra akcí

Pokud chcete provádět úkoly, jako je schvalování nebo odmítnutí čekajících akcí v Centru akcí, musíte mít přiřazená oprávnění uvedená v následující tabulce:

Nápravná akce Povinné role a oprávnění
Microsoft Defender for Endpoint (zařízení) Role správce zabezpečení přiřazená v Azure Active Directory (Azure AD) (https://portal.azure.com) nebo v Centrum pro správu Microsoftu 365 (https://admin.microsoft.com)
--- nebo ---
Role aktivních nápravných akcí přiřazená v Microsoft Defender for Endpoint

Další informace najdete v následujících zdrojích:
- Předdefinované role Azure AD
- Vytváření a správa rolí pro řízení přístupu na základě rolí (Microsoft Defender for Endpoint)
Microsoft Defender pro Office 365 (Office obsahu a e-mailu) Role správce zabezpečení přiřazená v Azure AD (https://portal.azure.com) nebo v Centrum pro správu Microsoftu 365 (https://admin.microsoft.com)
--- a ---
Role hledání a vymazání přiřazená v Centru & dodržování předpisů (https://protection.office.com)

DŮLEŽITÉ: Pokud máte přiřazenou roli Správce zabezpečení jenom v Centru dodržování předpisů Office 365 Security & (https://protection.office.com), nebudete mít přístup k Centru akcí ani Microsoft 365 Defender funkcím. Musíte mít přiřazenou roli Správce zabezpečení v Azure AD nebo Centrum pro správu Microsoftu 365.

Další informace najdete v následujících zdrojích:
- Předdefinované role Azure AD
- Oprávnění v Centru & dodržování předpisů

Tip

Uživatelé, kteří mají přiřazenou roli globálního správce ve službě Azure AD, mohou schválit nebo odmítnout všechny čekající akce v Centru akcí. Jako osvědčený postup by ale vaše organizace měla omezit počet lidí, kteří mají přiřazenou roli globálního správce. Pro oprávnění Centra akcí doporučujeme použít správce zabezpečení, aktivní akce nápravy a role hledat a vyčistit uvedené v předchozí tabulce.

Další krok