Afhjælpningshandlinger i Microsoft 365 Defender

Bemærk

Vil du opleve Microsoft 365 Defender? Få mere at vide om, hvordan du kan evaluere og prøve Microsoft 365 Defender.

Gælder for:

  • Microsoft 365 Defender

Under og efter en automatiseret undersøgelse i Microsoft 365 Defender identificeres afhjælpningshandlinger for skadelige eller mistænkelige elementer. Nogle typer afhjælpningshandlinger udføres på enheder, også kaldet slutpunkter. Andre afhjælpningshandlinger udføres på identiteter, konti og mailindhold. Automatiserede undersøgelser fuldføres, når afhjælpningshandlinger er taget, godkendt eller afvist.

Vigtigt

Om afhjælpningshandlinger udføres automatisk eller kun efter godkendelse, afhænger af visse indstillinger, f.eks. automatiseringsniveauer. Du kan få mere at vide i følgende artikler:

I følgende tabel opsummeres afhjælpningshandlinger, der i øjeblikket understøttes i Microsoft 365 Defender.

Afhjælpningshandlinger for enheden (slutpunktet) Handlinger til afhjælpning af mail Brugere (konti)
- Indsaml undersøgelsespakke
- Isoler enhed (denne handling kan fortrydes)
- Offboard-maskine
- Frigiv kørsel af kode
- Frigiv fra karantæne
- Anmodningseksempel
- Begræns udførelse af kode (denne handling kan fortrydes)
- Kør antivirusscanning
- Stop og sæt karantæne
- Bloker URL-adresse (tidspunkt for klik)
- Blød sletning af mails eller klynger
- Karantænemail
- Sæt en vedhæftet fil i karantæne
- Slå videresendelse af eksterne mails fra
- Deaktiver bruger
- Nulstil brugeradgangskode
- Bekræft, at brugeren er kompromitteret

Afhjælpningshandlinger, uanset om de afventer godkendelse eller allerede er fuldført, kan ses i Løsningscenter.

Afhjælpningshandlinger, der følger efter automatiserede undersøgelser

Når en automatiseret undersøgelse er afsluttet, bliver der afsagt en dom for alle involverede beviser. Afhængigt af dommen identificeres afhjælpningshandlinger. I nogle tilfælde udføres afhjælpningshandlinger automatisk. i andre tilfælde skal afhjælpningsforanstaltningerne godkendes. Det hele afhænger af, hvordan automatiseret undersøgelse og svar er konfigureret.

I følgende tabel kan du se en liste over mulige domme og resultater:

Dom Berørte enheder Resultater
Skadelig Enheder (slutpunkter) Afhjælpningshandlinger udføres automatisk (forudsat at organisationens enhedsgrupper er angivet til Fuld – afhjælper trusler automatisk)
Kompromitteret Brugere Afhjælpningshandlinger udføres automatisk
Skadelig Mailindhold (URL-adresser eller vedhæftede filer) Anbefalede afhjælpningshandlinger afventer godkendelse
Mistænkelige Enheder eller mailindhold Anbefalede afhjælpningshandlinger afventer godkendelse
Der blev ikke fundet nogen trusler Enheder eller mailindhold Der kræves ingen afhjælpningshandlinger

Afhjælpningshandlinger, der udføres manuelt

Ud over afhjælpningshandlinger, der følger efter automatiserede undersøgelser, kan dit sikkerhedsteam udføre visse afhjælpningshandlinger manuelt. Disse omfatter følgende:

  • Manuel enhedshandling, f.eks. enhedsisolation eller fil karantæne
  • Manuel mailhandling, f.eks. blød sletning af mails
  • Manuel brugerhandling, f.eks. deaktiver bruger eller nulstil brugeradgangskode
  • Avanceret jagthandling på enheder, brugere eller mail
  • Explorer-handling på mailindhold, f.eks. flytning af mail til uønsket mail, blød sletning af mail eller sletning af mail
  • Manuel direkte svar-handling , f.eks. sletning af en fil, standsning af en proces og fjernelse af en planlagt opgave
  • Live response-handling med Microsoft Defender for Endpoint API'er, f.eks. isolering af en enhed, kørsel af en antivirusscanning og hentning af oplysninger om en fil

Næste trin