Del via


Se gjennom utbedringshandlinger etter en automatisert undersøkelse

Gjelder for:

Utbedringshandlinger

Når en automatisert undersøkelse kjører, genereres en dom for hvert bevis som undersøkes. Dommene kan være skadelige, mistenkelige eller ingen trusler funnet.

Avhengig av

  • type trussel,
  • den resulterende dommen, og
  • hvordan organisasjonens enhetsgrupper er konfigurert,

utbedringshandlinger kan utføres automatisk eller bare ved godkjenning av organisasjonens sikkerhetsoperasjonsteam.

Obs!

Oppretting av enhetsgruppe støttes i Defender for Endpoint Plan 1 og Plan 2.

Her er noen eksempler:

  • Eksempel 1: Fabrikams enhetsgrupper er satt til Full – utbedrer trusler automatisk (den anbefalte innstillingen). I dette tilfellet utføres utbedringshandlinger automatisk for artefakter som anses å være skadelige etter en automatisert undersøkelse (se Se gjennom fullførte handlinger).

  • Eksempel 2: Contosos enheter er inkludert i en enhetsgruppe som er angitt for Semi – krever godkjenning for utbedring. I dette tilfellet må Contosos sikkerhetsoperasjonsteam se gjennom og godkjenne alle utbedringshandlinger etter en automatisert undersøkelse (se Se gjennom ventende handlinger).

  • Eksempel 3: Tailspin Toys har sine enhetsgrupper satt til Ingen automatisert respons (anbefales ikke). I dette tilfellet forekommer ikke automatiserte undersøkelser. Ingen utbedringshandlinger utføres eller venter, og ingen handlinger logges i handlingssenteret for enhetene sine (se Administrere enhetsgrupper).

Enten det utføres automatisk eller ved godkjenning, kan en automatisert undersøkelse og utbedring resultere i én eller flere av utbedringshandlingene:

  • Sette en fil i karantene
  • Fjerne en registernøkkel
  • Drepe en prosess
  • Stoppe en tjeneste
  • Deaktivere en driver
  • Fjerne en planlagt aktivitet

Se gjennom ventende handlinger

  1. Gå til Microsoft Defender-portalen, og logg på.

  2. Velg Handlingssenter i navigasjonsruten.

  3. Se gjennom elementene på Ventende-fanen .

  4. Velg en handling for å åpne undermenyen.

  5. Se gjennom informasjonen i undermenyen, og gjør deretter ett av følgende:

    • Velg Åpne undersøkelse-siden for å vise flere detaljer om undersøkelsen.
    • Velg Godkjenn for å starte en ventende handling.
    • Velg Avvis for å hindre at en ventende handling utføres.
    • Velg Gå jakten for å gå inn avansert jakt.

Godkjenn eller avvis utbedringshandlinger

For hendelser med utbedringsstatus som venter på godkjenning, kan du også godkjenne eller avvise en utbedringshandling fra hendelsen.

  1. Gå til Hendelser & varsler hendelser> i navigasjonsruten.
  2. Filtrer etter ventende handling for tilstand for automatisert undersøkelse (valgfritt).
  3. Velg et hendelsesnavn for å åpne sammendragssiden.
  4. Velg bevis- og svarfanen .
  5. Velg et element i listen for å åpne undermenyen.
  6. Se gjennom informasjonen, og gjør deretter ett av følgende:
    • Velg alternativet Godkjenn ventende handling for å starte en ventende handling.
    • Velg alternativet Forkast ventende handling for å hindre at en ventende handling utføres.

Alternativet Godkjenn\Avvis i ruten for behandling av bevis og svar for en hendelse i Microsoft Defender-portalen

Se gjennom fullførte handlinger

  1. Gå til Microsoft Defender-portalen, og logg på.

  2. Velg Handlingssenter i navigasjonsruten.

  3. Se gjennom elementene på Logg-fanen .

  4. Velg et element for å vise flere detaljer om utbedringshandlingen.

Angre fullførte handlinger

Hvis du har fastslått at en enhet eller fil ikke er en trussel, kan du angre utbedringshandlinger som ble utført, enten disse handlingene ble utført automatisk eller manuelt. I handlingssenteret, på Logg-fanen , kan du angre en av følgende handlinger:

Handlingskilde Støttede handlinger
  • Automatisert undersøkelse
  • Manuelle svarhandlinger (se notatet nedenfor)
  • Microsoft Defender Antivirus
  • Deaktivere en driver
  • Isolere enhet
  • Sette en fil i karantene
  • Fjerne en registernøkkel
  • Fjerne en planlagt aktivitet
  • Begrens kjøring av kode
  • Stoppe en tjeneste

Obs!

Defender for Endpoint Plan 1 og Microsoft Defender for bedrifter inkluderer bare følgende manuelle svarhandlinger:

  • Kjør antivirusskanning
  • Isolere enhet
  • Stoppe og sette en fil i karantene
  • Legge til en indikator for å blokkere eller tillate en fil

Angre flere handlinger samtidig

  1. Gå til handlingssenteret (https://security.microsoft.com/action-center) og logg på.

  2. Velg handlingene du vil angre, på Logg-fanen. Pass på å velge elementer som har samme handlingstype. En undermenyrute åpnes.

  3. Velg Angre i undermenyen.

Slik fjerner du en fil fra karantene på tvers av flere enheter

  1. Gå til handlingssenteret (https://security.microsoft.com/action-center) og logg på.

  2. Velg et element som har karantenefilen for handlingstypen, på Logg-fanen.

  3. Velg Bruk på X flere forekomster av denne filen i undermenyen, og velg deretter Angre.

Automatiseringsnivåer, automatiserte undersøkelsesresultater og resulterende handlinger

Automatiseringsnivåer påvirker om visse utbedringshandlinger utføres automatisk eller bare ved godkjenning. Noen ganger har sikkerhetsoperasjonsteamet flere trinn å utføre, avhengig av resultatene av en automatisert undersøkelse. Tabellen nedenfor oppsummerer automatiseringsnivåer, resultater av automatiserte undersøkelser og hva de skal gjøre i hvert tilfelle.

Innstilling for enhetsgruppe Automatiserte undersøkelsesresultater Hva du må gjøre
Full – utbedr trusler automatisk
(anbefales)
En dom av Ondsinnet er nådd for et stykke bevis.

Aktuelle utbedringshandlinger utføres automatisk.

Se gjennom fullførte handlinger
Semi – krev godkjenning for utbedring En dom av enten ondsinnet eller mistenkelig er nådd for et stykke bevis.

Utbedringshandlinger venter på godkjenning for å fortsette.

Godkjenn (eller avvis) ventende handlinger
Semi – krev godkjenning for utbedring av kjernemapper En dom av Ondsinnet er nådd for et stykke bevis.

Hvis artefakten er en fil eller kjørbar fil og er i en operativsystemkatalog, for eksempel Windows-mappen eller Programfiler-mappen, venter utbedringshandlinger på godkjenning.

Hvis artefakten ikke er i en operativsystemkatalog, utføres utbedringshandlinger automatisk.

  1. Godkjenn (eller avvis) ventende handlinger
  2. Se gjennom fullførte handlinger
Semi – krev godkjenning for utbedring av kjernemapper En dom av Mistenkelig er nådd for et stykke bevis.

Utbedringshandlinger venter på godkjenning.

Godkjenn (eller avvis) ventende handlinger.
Semi – krev godkjenning for utbedring av ikke-midlertidige mapper En dom av Ondsinnet er nådd for et stykke bevis.

Hvis artefakten er en fil eller kjørbar fil som ikke er i en midlertidig mappe, for eksempel brukerens nedlastingsmappe eller midlertidig mappe, venter utbedringshandlinger på godkjenning.

Hvis artefakten er en fil eller kjørbar fil som er i en midlertidig mappe, utføres utbedringshandlinger automatisk.

  1. Godkjenn (eller avvis) ventende handlinger
  2. Se gjennom fullførte handlinger
Semi – krev godkjenning for utbedring av ikke-midlertidige mapper En dom av Mistenkelig er nådd for et stykke bevis.

Utbedringshandlinger venter på godkjenning.

Godkjenn (eller avvis) ventende handlinger
Alle fullstendige eller halvautomatiseringsnivåer En dom av Ingen trusler funnet er nådd for et stykke bevis.

Ingen utbedringshandlinger utføres, og ingen handlinger venter på godkjenning.

Vis detaljer og resultater av automatiserte undersøkelser
Ingen automatisert svar (anbefales ikke) Ingen automatiserte undersøkelser kjøres, så ingen dommer er nådd, og ingen utbedringstiltak utføres eller venter på godkjenning. Vurder å konfigurere eller endre enhetsgruppene til å bruke fullstendig eller halvautomatisering

Alle dommer spores i handlingssenteret.

Obs!

I Defender for Business er automatiserte undersøkelses- og utbedringsfunksjoner forhåndsinnstilt til å bruke Full – utbedr trusler automatisk. Disse funksjonene brukes på alle enheter som standard.

Neste trinn

Se også

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.