Share via

בצע פעולה בתוצאות מתקדמות של שאילתת ציד

  • מאמר

חל על:

  • Microsoft Defender XDR

חשוב

חלק מהמידע במאמר זה מתייחס למוצר שהופץ מראש, אשר עשוי להיות שונה באופן משמעותי לפני ההפצה המסחרית שלו. Microsoft אינה מעניקה כל אחריות, מפורשת או משתמעת, ביחס למידע המסופק כאן.

באפשרותך להכיל במהירות איומים או לטפל ב הנכסים שנחשף לסכנה שתמצא בשלבי ציד מתקדמים באמצעות אפשרויות פעולה רבות-עוצמה ומקיפות. באמצעות אפשרויות אלה, באפשרותך לבצע את הפעולות הבאות:

  • בצע פעולות שונות במכשירים
  • העבר קבצים להסגר

הרשאות נדרשות

כדי לבצע פעולה במכשירים באמצעות ציד מתקדם, דרוש לך תפקיד Microsoft Defender עבור נקודת קצה עם הרשאות לשליחת פעולות תיקון במכשירים. אם אינך מצליח לבצע פעולה, פנה למנהל מערכת כללי לגבי קבלת ההרשאה הבאה:

פעולות תיקון פעילות ניהול > איומים ופגיעות - טיפול בתיקון

כדי לבצע פעולה לגבי הודעות דואר אלקטרוני באמצעות ציד מתקדם, דרוש לך תפקיד ב- Microsoft Defender עבור Office 365 לחפש ול למחוק הודעות דואר אלקטרוני.

בצע פעולות שונות במכשירים

באפשרותך לבצע את הפעולות הבאות במכשירים המזוהים על-ידי DeviceId העמודה בתוצאות השאילתה שלך:

  • לבודד מכשירים מושפעים כדי להכיל הידבקות או למנוע מתקפות לנוע ל"אחר כך"
  • איסוף חבילת חקירה להשגת מידע משפטי נוסף
  • הפעל סריקת אנטי-וירוס כדי לאתר ולהסיר איומים באמצעות עדכוני בינת האבטחה האחרונים
  • הפעל חקירה אוטומטית כדי לבדוק ולעדכן איומים במכשיר ואולי במכשירים מושפעים אחרים
  • הגבלת ביצוע האפליקציה לקבצי הפעלה חתומים על-ידי Microsoft בלבד, מניעת פעילות איומים בהמשך באמצעות תוכנות זדוניות או קבצי הפעלה לא מהימנה אחרים

לקבלת מידע נוסף על האופן שבו פעולות תגובה אלה מבוצעות באמצעות Microsoft Defender עבור נקודת קצה, קרא אודות פעולות תגובה במכשירים.

העבר קבצים להסגר

באפשרותך לפרוס את פעולת ההסגר בקבצים כך שהם יועברו להסגר באופן אוטומטי כאשר תיתקל בהם. בעת בחירת פעולה זו, באפשרותך לבחור בין העמודות הבאות כדי לזהות אילו קבצים בתוצאות השאילתה שלך להעביר להסגר:

  • SHA1: בטבלאות הציד המתקדמות ביותר, עמודה זו מתייחסת ל- SHA-1 של הקובץ שהושפע מהפעולה המוקלטת. לדוגמה, אם קובץ הועתק, קובץ מושפע זה יהיה הקובץ המועתק.
  • InitiatingProcessSHA1: בטבלאות הציד המתקדמות ביותר, עמודה זו מתייחסת לקובץ האחראי ליזום את הפעולה המוקלטת. לדוגמה, אם תהליך צאצא הופעל, קובץ אתחול זה יהיה חלק מתהליך האב.
  • SHA256: עמודה זו שוות הערך של SHA-256 לקובץ המזוהה על-ידי SHA1 העמודה.
  • InitiatingProcessSHA256: עמודה זו שוות הערך של SHA-256 לקובץ המזוהה על-ידי InitiatingProcessSHA1 העמודה.

לקבלת מידע נוסף על האופן שבו פעולות בהסגר ננקטות וכיצד ניתן לשחזר קבצים, קרא אודות פעולות תגובה בקבצים.

הערה

כדי לאתר קבצים ולהסגר אותם, תוצאות השאילתה צריכות לכלול DeviceId גם ערכים כמזהי מכשיר.

כדי לבצע אחת מהפעולות המתוארות, בחר הרשומה אחת או יותר בתוצאות השאילתה ולאחר מכן בחר בצע פעולות. אשף ינחה אותך לאורך תהליך הבחירה ולאחר מכן שליחת הפעולות המועדפות עליך.

האפשרות 'בצע פעולות' בפורטל Microsoft Defender'

בצע פעולות שונות בהודעות דואר אלקטרוני

מלבד שלבי תיקון ממוקדי מכשיר, באפשרותך גם לבצע פעולות מסוימות בהודעות דואר אלקטרוני מתוצאות השאילתה שלך. בחר את הרשומות שבהן ברצונך לבצע פעולה, בחר בצע פעולות ולאחר מכן, תחת בחר פעולות, בחר את הבחירה שלך מבין האפשרויות הבאות:

  • Move to mailbox folder - בחר באפשרות זו כדי להעביר את הודעות הדואר האלקטרוני לתיקיה 'דואר זבל', 'תיבת דואר נכנס' או 'פריטים שנמחקו'

    האפשרות 'בצע פעולות' בפורטל Microsoft Defender'

  • Delete email - בחר באפשרות זו כדי להעביר הודעות דואר אלקטרוני לתיקיה 'פריטים שנמחקו' (מחיקה זמנית) או למחוק אותן לצמיתות (מחיקה לצמיתות)

    בחירה באפשרות מחיקה זמנית גם מציעה את האפשרות למחוק את העותק של השולח , אשר גם מנסה למחוק את ההודעה מהתיקיה 'פריטים שנשלחו' של השולח אם השולח הוא הארגון.

    האפשרות 'בצע פעולות' בפורטל 'Microsoft Defender'

באפשרותך גם לספק שם תיקון ותיאור קצר של הפעולה שננקטה כדי לעקוב אחריה בקלות בהיסטוריית מרכז הפעולות. באפשרותך גם להשתמש במזהה האישור כדי לסנן פעולות אלה במרכז הפעולות. מזהה זה סופק בסוף האשף:

אשף הפעולות המציג פעולות בחירה עבור ישויות

פעולות דואר אלקטרוני אלה חלות גם על זיהויים מותאמים אישית.

סקירת פעולות שבוצעו

כל פעולה מתועדת בנפרד במרכז הפעולות תחתהיסטוריית מרכז הפעולות> (security.microsoft.com/action-center/history). עבור אל מרכז הפעולות כדי לבדוק את המצב של כל פעולה.

הערה

ייתכן שטבלאות מסוימות במאמר זה לא יהיו זמינות Microsoft Defender עבור נקודת קצה. הפעל Microsoft Defender XDR לחפש איומים באמצעות מקורות נתונים נוספים. באפשרותך להעביר את זרימות העבודה המתקדמות שלך Microsoft Defender עבור נקודת קצה ל- Microsoft Defender XDR על-ידי ביצוע השלבים במאמר העברת שאילתות ציד מתקדמות Microsoft Defender עבור נקודת קצה.

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.