Afhjælpningshandlinger i Microsoft 365 Defender
Bemærk
Vil du opleve Microsoft 365 Defender? Få mere at vide om, hvordan du kan evaluere og prøve Microsoft 365 Defender.
Gælder for:
- Microsoft 365 Defender
Under og efter en automatiseret undersøgelse i Microsoft 365 Defender identificeres afhjælpningshandlinger for skadelige eller mistænkelige elementer. Nogle typer afhjælpningshandlinger udføres på enheder, også kaldet slutpunkter. Andre afhjælpningshandlinger udføres på identiteter, konti og mailindhold. Automatiserede undersøgelser fuldføres, når afhjælpningshandlinger er taget, godkendt eller afvist.
Vigtigt
Om afhjælpningshandlinger udføres automatisk eller kun efter godkendelse, afhænger af visse indstillinger, f.eks. automatiseringsniveauer. Du kan få mere at vide i følgende artikler:
I følgende tabel opsummeres afhjælpningshandlinger, der i øjeblikket understøttes i Microsoft 365 Defender.
| Afhjælpningshandlinger for enheden (slutpunktet) | Handlinger til afhjælpning af mail | Brugere (konti) |
|---|---|---|
| - Indsaml undersøgelsespakke - Isoler enhed (denne handling kan fortrydes) - Offboard-maskine - Frigiv kørsel af kode - Frigiv fra karantæne - Anmodningseksempel - Begræns udførelse af kode (denne handling kan fortrydes) - Kør antivirusscanning - Stop og sæt karantæne |
- Bloker URL-adresse (tidspunkt for klik) - Blød sletning af mails eller klynger - Karantænemail - Sæt en vedhæftet fil i karantæne - Slå videresendelse af eksterne mails fra |
- Deaktiver bruger - Nulstil brugeradgangskode - Bekræft, at brugeren er kompromitteret |
Afhjælpningshandlinger, uanset om de afventer godkendelse eller allerede er fuldført, kan ses i Løsningscenter.
Afhjælpningshandlinger, der følger efter automatiserede undersøgelser
Når en automatiseret undersøgelse er afsluttet, bliver der afsagt en dom for alle involverede beviser. Afhængigt af dommen identificeres afhjælpningshandlinger. I nogle tilfælde udføres afhjælpningshandlinger automatisk. i andre tilfælde skal afhjælpningsforanstaltningerne godkendes. Det hele afhænger af, hvordan automatiseret undersøgelse og svar er konfigureret.
I følgende tabel kan du se en liste over mulige domme og resultater:
| Dom | Berørte enheder | Resultater |
|---|---|---|
| Skadelig | Enheder (slutpunkter) | Afhjælpningshandlinger udføres automatisk (forudsat at organisationens enhedsgrupper er angivet til Fuld – afhjælper trusler automatisk) |
| Kompromitteret | Brugere | Afhjælpningshandlinger udføres automatisk |
| Skadelig | Mailindhold (URL-adresser eller vedhæftede filer) | Anbefalede afhjælpningshandlinger afventer godkendelse |
| Mistænkelige | Enheder eller mailindhold | Anbefalede afhjælpningshandlinger afventer godkendelse |
| Der blev ikke fundet nogen trusler | Enheder eller mailindhold | Der kræves ingen afhjælpningshandlinger |
Afhjælpningshandlinger, der udføres manuelt
Ud over afhjælpningshandlinger, der følger efter automatiserede undersøgelser, kan dit sikkerhedsteam udføre visse afhjælpningshandlinger manuelt. Disse omfatter følgende:
- Manuel enhedshandling, f.eks. enhedsisolation eller fil karantæne
- Manuel mailhandling, f.eks. blød sletning af mails
- Manuel brugerhandling, f.eks. deaktiver bruger eller nulstil brugeradgangskode
- Avanceret jagthandling på enheder, brugere eller mail
- Explorer-handling på mailindhold, f.eks. flytning af mail til uønsket mail, blød sletning af mail eller sletning af mail
- Manuel direkte svar-handling , f.eks. sletning af en fil, standsning af en proces og fjernelse af en planlagt opgave
- Live response-handling med Microsoft Defender for Endpoint API'er, f.eks. isolering af en enhed, kørsel af en antivirusscanning og hentning af oplysninger om en fil
Næste trin
Feedback
Indsend og få vist feedback om