Share via

Gennemse afhjælpningshandlinger efter en automatiseret undersøgelse

  • Artikel

Gælder for:

Afhjælpningshandlinger

Når der kører en automatisk undersøgelse , genereres der en dom for hvert bevis, der undersøges. Dommene kan være Ondsindede, Mistænkelige eller Ingen trusler fundet.

Afhængigt af

  • den type trussel,
  • den resulterende dom, og
  • hvordan organisationens enhedsgrupper er konfigureret,

afhjælpningshandlinger kan forekomme automatisk eller kun efter godkendelse af organisationens sikkerhedsteam.

Bemærk!

Oprettelse af enhedsgruppe understøttes i Defender for Endpoint Plan 1 og Plan 2.

Her er nogle få eksempler:

  • Eksempel 1: Fabrikams enhedsgrupper er angivet til Fuld – afhjælper trusler automatisk (den anbefalede indstilling). I dette tilfælde udføres afhjælpningshandlinger automatisk for artefakter, der anses for at være skadelige efter en automatiseret undersøgelse (se Gennemse fuldførte handlinger).

  • Eksempel 2: Contosos enheder er inkluderet i en enhedsgruppe, der er indstillet til Semi – kræver godkendelse for enhver afhjælpning. I dette tilfælde skal Contosos team for sikkerhedshandlinger gennemse og godkende alle afhjælpningshandlinger efter en automatisk undersøgelse (se Gennemse ventende handlinger).

  • Eksempel 3: Tailspin Toys har angivet deres enhedsgrupper til Intet automatiseret svar (anbefales ikke). I dette tilfælde sker der ikke automatiserede undersøgelser. Der udføres eller afventer ingen afhjælpningshandlinger, og der logføres ingen handlinger i Løsningscenter for deres enheder (se Administrer enhedsgrupper).

Uanset om det foretages automatisk eller efter godkendelse, kan en automatiseret undersøgelse og afhjælpning resultere i en eller flere af afhjælpningshandlingerne:

  • Sæt en fil i karantæne
  • Fjern en registreringsdatabasenøgle
  • Dræb en proces
  • Stop en tjeneste
  • Deaktiver en driver
  • Fjern en planlagt opgave

Gennemse ventende handlinger

  1. Gå til Microsoft Defender-portalen, og log på.

  2. Vælg Løsningscenter i navigationsruden.

  3. Gennemse elementerne under fanen Ventende .

  4. Vælg en handling for at åbne dens pop op-rude.

  5. Gennemse oplysningerne i pop op-ruden, og udfør derefter et af følgende trin:

    • Vælg siden Åbn undersøgelse for at få vist flere oplysninger om undersøgelsen.
    • Vælg Godkend for at starte en ventende handling.
    • Vælg Afvis for at forhindre, at der udføres en ventende handling.
    • Vælg Gå på jagt for at gå ind i Avanceret jagt.

Godkend eller afvis afhjælpningshandlinger

I forbindelse med hændelser med afhjælpningsstatussen Afventer godkendelse kan du også godkende eller afvise en afhjælpningshandling inde fra hændelsen.

  1. I navigationsruden skal du gå til Hændelser & beskeder>Hændelser.
  2. Filtrer på ventende handling for tilstanden Automatiseret undersøgelse (valgfrit).
  3. Vælg et hændelsesnavn for at åbne oversigtssiden.
  4. Vælg fanen Beviser og Svar .
  5. Vælg et element på listen for at åbne dets pop op-rude.
  6. Gennemse oplysningerne, og udfør derefter et af følgende trin:
    • Vælg indstillingen Godkend ventende handling for at starte en ventende handling.
    • Vælg indstillingen Afvis ventende handling for at forhindre, at der udføres en ventende handling.

Indstillingen Godkend\Afvis i ruden Administration af beviser og svar for en hændelse på Microsoft Defender-portalen

Gennemse fuldførte handlinger

  1. Gå til Microsoft Defender-portalen, og log på.

  2. Vælg Løsningscenter i navigationsruden.

  3. Gennemse elementerne under fanen Oversigt .

  4. Vælg et element for at få vist flere oplysninger om afhjælpningshandlingen.

Fortryd fuldførte handlinger

Hvis du har fastslået, at en enhed eller en fil ikke er en trussel, kan du fortryde afhjælpningshandlinger, der er foretaget, uanset om disse handlinger blev udført automatisk eller manuelt. I Handlingscenter under fanen Oversigt kan du fortryde en af følgende handlinger:

Handlingskilde Understøttede handlinger
  • Automatiseret undersøgelse
  • Manuelle svarhandlinger (se nedenstående note)
  • Microsoft Defender Antivirus
  • Deaktiver en driver
  • Isoler enhed
  • Sæt en fil i karantæne
  • Fjern en registreringsdatabasenøgle
  • Fjern en planlagt opgave
  • Begræns kørsel af kode
  • Stop en tjeneste

Bemærk!

Defender for Endpoint Plan 1 og Microsoft Defender til virksomheder kun indeholde følgende manuelle svarhandlinger:

  • Kør antivirusscanning
  • Isoler enhed
  • Stop og sæt en fil i karantæne
  • Tilføj en indikator for at blokere eller tillade en fil

Sådan fortryder du flere handlinger på én gang

  1. Gå til Løsningscenter (https://security.microsoft.com/action-center), og log på.

  2. Vælg de handlinger, du vil fortryde, under fanen Oversigt . Sørg for at vælge elementer, der har samme handlingstype. Der åbnes en pop op-rude.

  3. Vælg Fortryd i pop op-ruden.

Sådan fjernes en fil fra karantæne på tværs af flere enheder

  1. Gå til Løsningscenter (https://security.microsoft.com/action-center), og log på.

  2. Under fanen Historik skal du vælge et element med handlingstypen Karantænefil.

  3. I pop op-vinduet skal du vælge Anvend på X flere forekomster af denne fil og derefter vælge Fortryd.

Automatiseringsniveauer, automatiserede undersøgelsesresultater og resulterende handlinger

Automatiseringsniveauer påvirker, om visse afhjælpningshandlinger udføres automatisk eller kun efter godkendelse. Nogle gange har dit team af sikkerhedshandlinger flere trin at tage, afhængigt af resultaterne af en automatiseret undersøgelse. I følgende tabel opsummeres automatiseringsniveauer, resultater af automatiserede undersøgelser, og hvad der skal gøres i hvert enkelt tilfælde.

Indstilling for enhedsgruppe Automatiserede undersøgelsesresultater Sådan gør du
Fuld – afhjælp trusler automatisk
(anbefales)		 En dom af Ondsindet er nået for et stykke af beviser.

Der udføres automatisk relevante afhjælpningshandlinger.

 Gennemse fuldførte handlinger
Semi – kræver godkendelse til enhver afhjælpning En dom af enten Ondsindet eller Mistænkelig er nået for et stykke af beviser.

Afhjælpningshandlinger afventer godkendelse for at fortsætte.

 Godkend (eller afvis) ventende handlinger
Semi – kræver godkendelse til afhjælpning af kernemapper En dom af Ondsindet er nået for et stykke af beviser.

Hvis artefaktet er en fil eller eksekverbar og er i en operativsystemmappe, f.eks. Windows-mappen eller mappen Programfiler, afventer afhjælpningshandlinger godkendelse.

Hvis artefaktet ikke findes i en operativsystemmappe, udføres afhjælpningshandlinger automatisk.
  1. Godkend (eller afvis) ventende handlinger
  2. Gennemse fuldførte handlinger
Semi – kræver godkendelse til afhjælpning af kernemapper En mistænkelig dom er nået for et bevis.

Afhjælpningshandlinger afventer godkendelse.

 Godkend (eller afvis) ventende handlinger.
Semi – kræver godkendelse til afhjælpning af mapper, der ikke er midlertidige En dom af Ondsindet er nået for et stykke af beviser.

Hvis artefaktet er en fil eller eksekverbar fil, der ikke findes i en midlertidig mappe, f.eks. brugerens mappe til downloads eller temp, afventer afhjælpningshandlinger godkendelse.

Hvis artefaktet er en fil eller eksekverbar fil, der er i en midlertidig mappe, udføres afhjælpningshandlinger automatisk.
  1. Godkend (eller afvis) ventende handlinger
  2. Gennemse fuldførte handlinger
Semi – kræver godkendelse til afhjælpning af mapper, der ikke er midlertidige En mistænkelig dom er nået for et bevis.

Afhjælpningshandlinger afventer godkendelse.

 Godkend (eller afvis) ventende handlinger
Et hvilket som helst af niveauerne Fuld eller Halvautomatisering En dom af Ingen trusler fundet er nået for et stykke af beviser.

Der udføres ingen afhjælpningshandlinger, og ingen handlinger afventer godkendelse.

 Få vist detaljer om og resultater af automatiserede undersøgelser
Intet automatiseret svar (anbefales ikke) Der køres ingen automatiserede undersøgelser, så der opnås ingen domme, og der udføres ingen afhjælpningshandlinger eller afventer godkendelse. Overvej at konfigurere eller ændre dine enhedsgrupper, så de bruger fuld eller semiautomatisering

Alle domme spores i Action Center.

Bemærk!

I Defender for Business er automatiserede undersøgelses- og afhjælpningsfunktioner forudindstillet til at bruge Fuld – afhjælpe trusler automatisk. Disse egenskaber anvendes som standard på alle enheder.

Næste trin

Se også

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.