סקור פעולות תיקון לאחר חקירה אוטומטית

חל על:

• Microsoft Defender עבור תוכנית 2 של נקודת קצה
• Microsoft Defender for Business

פעולות תיקון

כאשר חקירה אוטומטית מופעלת , נוצרת גזר דין עבור כל פיסת ראיה שנחקרת. גזרי דין יכולים להיותאיומים זדוניים, חשודים או לא נמצאו איומים.

בהתאם

• סוג האיום,
• את גזר הדין המתוכם, ו
• כיצד מוגדרות קבוצות המכשירים של הארגון שלך,

פעולות תיקון יכולות להתרחש באופן אוטומטי או רק לאחר אישור של צוות פעולות האבטחה של הארגון שלך.

הערה

יצירת קבוצת מכשירים נתמכת ב- Defender for Endpoint Plan 1 ובתוכנית 2.

הנה כמה דוגמאות:

• דוגמה 1: קבוצות המכשירים של Fabrikam מוגדרות כ'מלא' - לתקן איומים באופן אוטומטי (ההגדרה המומלצת). במקרה זה, פעולות תיקון נלקחות באופן אוטומטי עבור תוצרים שנחשבים זדניים לאחר חקירה אוטומטית (ראה סקירת פעולות שהושלמו).

• דוגמה 2: המכשירים של Contoso כלולים בקבוצת מכשירים מוגדרת עבור Semi - דורשים אישור עבור כל תיקון. במקרה זה, צוות פעולות האבטחה של Contoso חייב לסקור ולאשר את כל פעולות התיקון לאחר חקירה אוטומטית (ראה סקירת פעולות ממתינות).

• דוגמה 3: Tailspin Toys הגדיר את קבוצות המכשירים שלהם כ'ללא תגובה אוטומטית' (לא מומלץ). במקרה זה, חקירות אוטומטיות אינן מתרחשות. לא נקטו פעולות תיקון או ממתינות, ולא נרשמו פעולות במרכז הפעולות עבור המכשירים שלהם (ראה ניהול קבוצות מכשירים).

בין אם היא נלקחה באופן אוטומטי או בעת אישור, חקירה ותיקון אוטומטיים יכולים לגרום לאחת או יותר מפעולות התיקון:

• העבר קובץ להסגר
• הסרת מפתח רישום
• Kill a process
• הפסקת שירות
• הפיכת מנהל התקן ללא זמין
• הסרת פעילות מתוזמנת

סקירת פעולות ממתינות

1. עבור אל Microsoft Defender והיכנס.

2. בחלונית הניווט, בחר מרכז הפעולות.

3. סקור את הפריטים בכרטיסיה 'ממתין '.

4. בחר פעולה כדי לפתוח את חלונית התפריט הנשלף שלה.

5. בחלונית הנשלף, סקור את המידע ולאחר מכן בצע אחד מהפעולות הבאות:

   • בחר פתח דף חקירה כדי להציג פרטים נוספים על החקירה.
   • בחר אשר כדי ליזום פעולה ממתינה.
   • בחר דחה כדי למנוע ביצוע של פעולה ממתינה.
   • בחר Go hunt כדי לעבור אל Advanced hunting.

אישור או דחייה של פעולות תיקון

עבור מקרים עם מצב תיקון של אישור ממתין, באפשרותך גם לאשר או לדחות פעולת תיקון מתוך המקרה.

1. בחלונית הניווט, עבור אל אירועים & התראות>.
2. סנן לפי הפעולה ' ממתין' עבור מצב החקירה האוטומטית (אופציונלי).
3. בחר שם אירוע כדי לפתוח את דף הסיכום שלו.
4. בחר את הכרטיסיה ראיות ותגובה .
5. בחר פריט ברשימה כדי לפתוח את החלונית הנשלפת שלו.
6. סקור את המידע ולאחר מכן בצע אחד מהפעולות הבאות:
   • בחר באפשרות הפעולה 'אשר ממתין' כדי לאתחל פעולה ממתינה.
   • בחר באפשרות דחה פעולה ממתינה כדי למנוע ביצוע פעולה ממתינה.

סקירת פעולות שהושלמו

1. עבור אל Microsoft Defender והיכנס.

2. בחלונית הניווט, בחר מרכז הפעולות.

3. סקור את הפריטים בכרטיסיה היסטוריה .

4. בחר פריט כדי להציג פרטים נוספים אודות פעולת תיקון זו.

בטל פעולות שהושלמו

אם קבעת שמכשיר או קובץ אינם מהווה איום, באפשרותך לבטל פעולות תיקון שבוצעו, בין אם פעולות אלה בוצעו באופן אוטומטי או ידני. במרכז הפעולות, בכרטיסיה היסטוריה , באפשרותך לבטל כל אחת מהפעולות הבאות:

מקור פעולה	פעולות נתמכות
חקירה אוטומטית פעולות תגובה ידניות (עיין בהערה שלהלן) האנטי-וירוס של Microsoft Defender	הפיכת מנהל התקן ללא זמין בודד מכשיר העבר קובץ להסגר הסרת מפתח רישום הסרת פעילות מתוזמנת הגבלת ביצוע קוד הפסקת שירות

הערה

Defender for Endpoint Plan 1ו- Microsoft Defender for Business כוללים רק את פעולות התגובה הידני הבאות:

• הפעל סריקת אנטי-וירוס
• בודד מכשיר
• עצירה והסגר של קובץ
• הוספת מחוון כדי לחסום או לאפשר קובץ

כדי לבטל פעולות מרובות בו-זמנית

1. עבור אל מרכז הפעולות (https://security.microsoft.com/action-center) והיכנס.

2. בכרטיסיה היסטוריה , בחר את הפעולות שברצונך לבטל. הקפד לבחור פריטים בעלי סוג פעולה זהה. חלונית תפריט נשלף נפתחת.

3. בחלונית התפריט הנשלף, בחר בטל.

כדי להסיר קובץ מהסגר במכשירים מרובים

1. עבור אל מרכז הפעולות (https://security.microsoft.com/action-center) והיכנס.

2. בכרטיסיה היסטוריה , בחר פריט הכולל את קובץ ההסגר מסוג פעולה.

3. בחלונית הנשלף, בחר החל על X מופעים נוספים של קובץ זה ולאחר מכן בחר בטל.

רמות אוטומציה, תוצאות חקירה אוטומטיות ופעולות המתבצעות

רמות אוטומציה משפיעות על ביצוע פעולות תיקון מסוימות באופן אוטומטי או רק בעת אישור. לעתים, לצוות פעולות האבטחה שלך יש שלבים נוספים שיש לבצע, בהתאם לתוצאות של חקירה אוטומטית. הטבלה הבאה מסכמת רמות אוטומציה, תוצאות של חקירות אוטומטיות ומה ניתן לעשות בכל מקרה.

הגדרת קבוצת מכשירים	תוצאות חקירה אוטומטיות	מה ניתן לעשות
מלא - תיקון איומים באופן אוטומטי (מומלץ)	גזר-דין של זדוניות ניתן להגיע לפיסת ראיה. פעולות תיקון מתאימות נלקחות באופן אוטומטי.	סקירת פעולות שהושלמו
חצי - דרוש אישור עבור כל תיקון	ניתן להגיע לפסק-דיןשל זדוניות או חשודות לקבלת פיסת ראיה. פעולות תיקון ממתינות לאישור כדי להמשיך.	אישור (או דחייה) של פעולות ממתינות
חצי - דרוש אישור לתיקון תיקיות ליבה	גזר-דין של זדוניות ניתן להגיע לפיסת ראיה. אם החפץ הוא קובץ או קובץ הפעלה והוא נמצא במדריך כתובות של מערכת ההפעלה, כגון התיקיה Windows או התיקיה Program files, פעולות התיקון ממתינות לאישור. אם החפץ אינו נמצא במדריך כתובות של מערכת ההפעלה, פעולות תיקון ינקטו באופן אוטומטי.	אישור (או דחייה) של פעולות ממתינות סקירת פעולות שהושלמו
חצי - דרוש אישור לתיקון תיקיות ליבה	גזר-דין של חשודה הגיע לפיסת ראיה. פעולות התיקון ממתינות לאישור.	אשר (או דחה) פעולות ממתינות.
למחצה - דרוש אישור לתיקון תיקיות שאינן זמניות	גזר-דין של זדוניות ניתן להגיע לפיסת ראיה. אם החפץ הוא קובץ או קובץ הפעלה שאינם נמצאים בתיקיה זמנית, כגון תיקיית ההורדות של המשתמש או תיקיה זמנית, פעולות התיקון ממתינות לאישור. אם החפץ הוא קובץ או קובץ הפעלה הקיימים בתיקיה זמנית, פעולות תיקון מתבצעות באופן אוטומטי.	אישור (או דחייה) של פעולות ממתינות סקירת פעולות שהושלמו
למחצה - דרוש אישור לתיקון תיקיות שאינן זמניות	גזר-דין של חשודה הגיע לפיסת ראיה. פעולות התיקון ממתינות לאישור.	אישור (או דחייה) של פעולות ממתינות
כל אחת מרמות האוטומציה המלאה או האוטומציה למחצה	גזר-דין של שום איומים לא נמצא הוא לפיסת ראיה. לא נקטו פעולות תיקון, ולא ממתינות לאישור פעולות.	הצג את הפרטים והתוצאות של חקירות אוטומטיות
אין תגובה אוטומטית (לא מומלץ)	לא הופעלו חקירות אוטומטיות, ולכן לא מתקבלות גזרי דין, ולא ננקטות פעולות תיקון או ממתינות לאישור.	שקול להגדיר או לשנות את קבוצות המכשירים שלך לשימוש באוטומציה מלאה או אוטומציה למחצה

כל גזרי הדין נמצאים במעקב במרכז הפעולות.

הערה

ב - Defender for Business, יכולות חקירה ותיקון אוטומטיות מוגדרות מראש לשימוש ב'מלא ' - תיקון איומים באופן אוטומטי. יכולות אלה חלות על כל המכשירים כברירת מחדל.

השלבים הבאים

• קבל מידע על יכולות תגובה בזמן חי
• צדים באופן יזום אחר איומים באמצעות ציד מתקדם
• טיפול בתוצאות חיוביות/שליליות מוטעות ב- Microsoft Defender עבור נקודת קצה

למידע נוסף

• מבט כולל על חקירות אוטומטיות

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.