Afhjælpningshandlinger i Microsoft Defender XDR
Gælder for:
- Microsoft Defender XDR
Under og efter en automatiseret undersøgelse i Microsoft Defender XDR identificeres afhjælpningshandlinger for skadelige eller mistænkelige elementer. Nogle typer afhjælpningshandlinger udføres på enheder, også kaldet slutpunkter. Andre afhjælpningshandlinger udføres på identiteter, konti og mailindhold. Automatiserede undersøgelser fuldføres, når afhjælpningshandlinger er taget, godkendt eller afvist.
Vigtigt!
Om afhjælpningshandlinger udføres automatisk eller kun efter godkendelse, afhænger af visse indstillinger, f.eks. automatiseringsniveauer. Du kan få mere at vide i følgende artikler:
I følgende tabel opsummeres afhjælpningshandlinger, der i øjeblikket understøttes i Microsoft Defender XDR.
| Afhjælpningshandlinger for enheden (slutpunktet) | Handlinger til afhjælpning af mail | Brugere (konti) |
|---|---|---|
| - Indsaml undersøgelsespakke - Isoler enhed (denne handling kan fortrydes) - Offboard-maskine - Frigiv kørsel af kode - Frigiv fra karantæne - Anmodningseksempel - Begræns udførelse af kode (denne handling kan fortrydes) - Kør antivirusscanning - Stop og sæt karantæne - Indeholder enheder fra netværket |
- Bloker URL-adresse (tidspunkt for klik) - Blød sletning af mails eller klynger - Karantænemail - Sæt en vedhæftet fil i karantæne - Slå videresendelse af eksterne mails fra |
- Deaktiver bruger - Nulstil brugeradgangskode - Bekræft, at brugeren er kompromitteret |
Afhjælpningshandlinger, uanset om de afventer godkendelse eller allerede er fuldført, kan ses i Løsningscenter.
Afhjælpningshandlinger, der følger efter automatiserede undersøgelser
Når en automatiseret undersøgelse er afsluttet, bliver der afsagt en dom for alle involverede beviser. Afhængigt af dommen identificeres afhjælpningshandlinger. I nogle tilfælde udføres afhjælpningshandlinger automatisk. i andre tilfælde skal afhjælpningsforanstaltningerne godkendes. Det hele afhænger af, hvordan automatiseret undersøgelse og svar er konfigureret.
I følgende tabel kan du se en liste over mulige domme og resultater:
| Dom | Berørte enheder | Resultater |
|---|---|---|
| Skadelig | Enheder (slutpunkter) | Afhjælpningshandlinger udføres automatisk (forudsat at organisationens enhedsgrupper er angivet til Fuld – afhjælper trusler automatisk) |
| Kompromitteret | Brugere | Afhjælpningshandlinger udføres automatisk |
| Skadelig | Mailindhold (URL-adresser eller vedhæftede filer) | Anbefalede afhjælpningshandlinger afventer godkendelse |
| Mistænkelige | Enheder eller mailindhold | Anbefalede afhjælpningshandlinger afventer godkendelse |
| Der blev ikke fundet nogen trusler | Enheder eller mailindhold | Der kræves ingen afhjælpningshandlinger |
Afhjælpningshandlinger, der udføres manuelt
Ud over afhjælpningshandlinger, der følger efter automatiserede undersøgelser, kan dit sikkerhedsteam udføre visse afhjælpningshandlinger manuelt. Disse omfatter følgende:
- Manuel enhedshandling, f.eks. enhedsisolation eller fil karantæne
- Manuel mailhandling, f.eks. blød sletning af mails
- Manuel brugerhandling, f.eks. deaktiver bruger eller nulstil brugeradgangskode
- Avanceret jagthandling på enheder, brugere eller mail
- Explorer-handling på mailindhold, f.eks. flytning af mail til uønsket mail, blød sletning af mail eller sletning af mail
- Manuel direkte svar-handling , f.eks. sletning af en fil, stop en proces og fjernelse af en planlagt opgave
- Live response-handling med Microsoft Defender for Endpoint API'er, f.eks. isolering af en enhed, kørsel af en antivirusscanning og hentning af oplysninger om en fil
Næste trin
- Besøg Løsningscenter
- Få vist og administrer afhjælpningshandlinger
- Adresser falske positiver eller falske negativer
- Indeholder enheder fra netværket
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.
Feedback
Kommer snart: I hele 2024 udfaser vi GitHub-problemer som feedbackmekanisme for indhold og erstatter det med et nyt feedbacksystem. Du kan få flere oplysninger under: https://aka.ms/ContentUserFeedback.
Indsend og få vist feedback om