Del via

Utbedringshandlinger i Microsoft Defender XDR

  • Artikkel

Gjelder for:

  • Microsoft Defender XDR

Under og etter en automatisert undersøkelse i Microsoft Defender XDR identifiseres utbedringshandlinger for ondsinnede eller mistenkelige elementer. Noen typer utbedringshandlinger utføres på enheter, også referert til som endepunkter. Andre utbedringshandlinger utføres på identiteter, kontoer og e-postinnhold. Automatiserte undersøkelser fullføres etter at utbedringshandlinger utføres, godkjennes eller avvises.

Viktig

Hvorvidt utbedringshandlinger utføres automatisk eller bare ved godkjenning, avhenger av bestemte innstillinger, for eksempel automatiseringsnivåer. Hvis du vil ha mer informasjon, kan du se følgende artikler:

Tabellen nedenfor oppsummerer utbedringshandlinger som for øyeblikket støttes i Microsoft Defender XDR.

Utbedringshandlinger for enhet (endepunkt) Handlinger for utbedring av e-post Brukere (kontoer)
– Samle inn undersøkelsespakke
– Isolere enhet (denne handlingen kan angres)
- Offboard maskin
– Frigi kjøring av kode
- Frigi fra karantene
– Eksempel på forespørsel
– Begrens kjøring av kode (denne handlingen kan angres)
– Kjør antivirusskanning
- Stopp og karantene
– Inneholder enheter fra nettverket		 – Blokker URL-adresse (tidsavbrudd)
– Slett e-postmeldinger eller klynger med myk sletting
- Karantene e-post
– Sette et e-postvedlegg i karantene
– Slå av videresending av ekstern e-post		 – Deaktiver bruker
– Tilbakestille brukerpassord
– Bekreft brukeren som kompromittert

Utbedringshandlinger, enten de venter på godkjenning eller allerede er fullført, kan vises i handlingssenteret.

Utbedringshandlinger som følger automatiserte undersøkelser

Når en automatisert undersøkelse er fullført, er det nådd en dom for hvert eneste bevis som er involvert. Avhengig av dommen identifiseres utbedringshandlinger. I noen tilfeller utføres utbedringshandlinger automatisk. i andre tilfeller venter utbedringshandlinger på godkjenning. Alt avhenger av hvordan automatisert undersøkelse og svar er konfigurert.

Tabellen nedenfor viser mulige dommer og resultater:

Dommen Berørte enheter Resultater
Skadelig Enheter (endepunkter) Utbedringshandlinger utføres automatisk (forutsatt at organisasjonens enhetsgrupper er satt til Full – utbedr trusler automatisk)
Kompromittert Brukere Utbedringshandlinger utføres automatisk
Skadelig E-postinnhold (nettadresser eller vedlegg) Anbefalte utbedringshandlinger venter på godkjenning
Mistenkelig Enheter eller e-postinnhold Anbefalte utbedringshandlinger venter på godkjenning
Finner ingen trusler Enheter eller e-postinnhold Ingen utbedringshandlinger er nødvendig

Utbedringshandlinger som utføres manuelt

I tillegg til utbedringshandlinger som følger automatiserte undersøkelser, kan sikkerhetsoperasjonsteamet utføre bestemte utbedringshandlinger manuelt. Disse inkluderer blant annet:

  • Manuell enhetshandling, for eksempel isolering av enhet eller karantene for filer
  • Manuell e-posthandling, for eksempel myk sletting av e-postmeldinger
  • Manuell brukerhandling, for eksempel deaktivere bruker eller tilbakestille brukerpassord
  • Avansert jakthandling på enheter, brukere eller e-post
  • Explorer-handling på e-postinnhold, for eksempel flytting av e-post til søppelpost, myk sletting av e-post eller e-post som slettes hardt
  • Manuell direkte responshandling , for eksempel å slette en fil, stoppe en prosess og fjerne en planlagt oppgave
  • Handling for direkte respons med Microsoft Defender for endepunkt-API-er, for eksempel å isolere en enhet, kjøre en antivirusskanning og få informasjon om en fil

Neste trinn

Tips

Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.