Центр уведомлений

Примечание

Хотите попробовать Microsoft 365 Defender? Узнайте больше о том, как оценить и выполнить пилотное Microsoft 365 Defender.

Область применения:

  • Microsoft 365 Defender

Центр действий предоставляет функцию "единой области стекла" для задач по предупреждению и инцидентам, таким как:

  • Одобрение ожидающих действий по исправлению.
  • Просмотр журнала аудита уже утвержденных действий по исправлению.
  • проверка выполненных действий по исправлению.

Так как Центр действий предоставляет полное представление Microsoft 365 Defender на работе, ваша группа операций безопасности может работать более эффективно и эффективно.

Единый центр действий

Унифицированный центр действий (https://security.microsoft.com/action-center) перечисляет ожидающих и завершенных действий по исправлению для устройств, электронной почты и & совместной работы и удостоверений в одном расположении.

Единый центр действий на Microsoft 365 Defender портале.

Например:

Единый центр действий объединяет действия по исправлению в Defender для конечной точки и Defender для Office 365. Он определяет общий язык для всех действий по исправлению и предоставляет унифицированный опыт исследования. Ваша группа операций безопасности имеет "единую стеклянную области" для просмотра и управления действиями по исправлению.

Вы можете использовать единый центр действий, если у вас есть соответствующие разрешения и одна или несколько следующих подписок:

Совет

Дополнительные дополнительные новости см. в "Требованиях".

Использование центра действий

  1. Перейдите на Microsoft 365 Defender портал и войдите.
  2. В панели навигации щелкните Центр уведомлений.

При посещении центра действий вы увидите две вкладки: "Ожидающих действий" и "История". В следующей таблице кратко излагается то, что вы увидите на каждой вкладке:

Вкладка Описание
Pending Отображает список действий, которые требуют внимания. Вы можете одобрить или отклонить действия по одному или выбрать несколько действий, если они имеют один и тот же тип действия (например, файл карантина).

СОВЕТ. Убедитесь в том, что необходимо как можно скорее просмотреть и утвердить (или отклонить) ожидающих действий, чтобы автоматические расследования могли быть завершены своевременно.

Журнал Служит журналом аудита для принятых действий, таких как:
- Действия по исправлению, принятые в результате автоматизированных расследований
- Действия по исправлению, принятые при подозрительных или вредоносных сообщениях электронной почты, файлах или URL-адресах
- Действия по исправлению, утвержденные вашей командой операций безопасности
- Команды, которые были запускаются и исправление действий, которые были применены во время сеансов Live Response
- Действия по исправлению, принятые антивирусной защитой

Предоставляет способ отмены определенных действий (см. в статьях Отмена завершенных действий).

Можно настроить, сортировать, фильтровать и экспортировать данные в Центре действий.

Возможности сортировки, фильтрации и настройки центра действий

  • Выберите столбец, заголовок для сортировки элементов в порядке по возрастанию или убыванию.
  • Используйте фильтр периода времени для просмотра данных за прошедший день, неделю, 30 дней или 6 месяцев.
  • Выберите столбцы, которые необходимо просмотреть.
  • Укажите, сколько элементов необходимо включить на каждой странице данных.
  • Используйте фильтры для просмотра только элементов, которые необходимо просмотреть.
  • Выберите экспорт для экспорта результатов в .csv файл.

Действия, отслеживаемые в центре действий

В Центре уведомлений отслеживаются все действия — как ожидающие утверждения, так и уже утвержденные. Доступные действия включают следующие действия:

  • Сбор пакета исследования
  • Изолировать устройство (это действие можно отменить)
  • Отключение компьютера
  • Отмена блокировки выполнения кода
  • Отмена размещения в карантине
  • Запрос примера
  • Ограничение выполнения кода (это действие можно отменить)
  • Запуск проверки на вирусы
  • Останов и помещение в карантин

Помимо действий по исправлению, которые автоматически принимаются в результате автоматических расследований, Центр действий также отслеживает действия, принятые вашей командой безопасности для устранения обнаруженных угроз, и действия, принятые в результате функций защиты от угроз в Microsoft 365 Defender. Дополнительные сведения об автоматических и ручных действиях по исправлению см. в дополнительных сведениях о действиях по исправлению.

Просмотр сведений о источнике действия

(NEW!) В центре улучшенных действий теперь содержится столбец Источник действий , в котором рассказывается, откуда пришло каждое действие. В следующей таблице описываются возможные исходные значения action :

Значение источника действия Описание
Действие ручного устройства Ручное действие, принятое на устройстве. Примеры включают изолирование устройств или карантин файлов.
Действие электронной почты вручную Ручное действие, принятое по электронной почте. Пример включает в себя мягкое удаление сообщений электронной почты или исправление сообщения электронной почты.
Автоматическое действие устройства Автоматические действия, принятые в отношении объекта, например файла или процесса. Примеры автоматизированных действий включают отправку файла на карантин, остановку процесса и удаление ключа реестра. (См. действия по исправлению в Microsoft Defender для конечной точки.)
Автоматическое действие электронной почты Автоматические действия, принятые в отношении контента электронной почты, например сообщения электронной почты, вложения или URL-адреса. Примеры автоматизированных действий включают мягкое удаление сообщений электронной почты, блокировку URL-адресов и отключение внешней пересылаемой почты. (См. действия по исправлению в Microsoft Defender для Office 365.)
Расширенные действия охоты Действия, принятые на устройствах или электронной почте с расширенным поиском.
Действие Explorer Действия, принятые в отношении контента электронной почты с помощью Explorer.
Ручное действие живого ответа Действия, принятые на устройстве с живой реакцией. Примеры включают удаление файла, остановку процесса и удаление запланированной задачи.
Действие live response Действия, принятые на устройстве с Microsoft Defender для конечной точки API. Примеры действий включают изолирование устройства, запуск антивирусного сканирования и получение сведений о файле.

Обязательные разрешения для задач центра уведомлений

Для выполнения задач, таких как одобрение или отклонение ожидающих действий в Центре действий, необходимо иметь разрешения, указанные в следующей таблице:

Действие по исправлению Обязательные роли и разрешения
Microsoft Defender для конечной точки (устройства) Роль администратора безопасности, назначенная в Azure Active Directory (Azure AD) или https://portal.azure.com Центр администрирования Microsoft 365 (https://admin.microsoft.com)
--- или ---
Роль активных действий по исправлению, назначенная в Microsoft Defender для конечной точки

Для получения дополнительных сведений ознакомьтесь с приведенными ниже ресурсами.
- Роли, встроенные в Azure AD
- Создание ролей для управления доступом на основе ролей (Microsoft Defender для конечной точки)
Microsoft Defender для Office 365 исправлений (Office контента и электронной почты) Роль администратора безопасности, назначенная в Azure AD (https://portal.azure.com) или Центр администрирования Microsoft 365 (https://admin.microsoft.com)
--- и ---
Роль поиска и очистки , назначенная в Центре & безопасности (https://protection.office.com)

ВАЖНО. Если роль администратора безопасности назначена только в центре Office 365 безопасности & (https://protection.office.com), вы не сможете получить доступ к центру действий или Microsoft 365 Defender возможностям. Роль администратора безопасности должна быть назначена в Azure AD или Центр администрирования Microsoft 365.

Для получения дополнительных сведений ознакомьтесь с приведенными ниже ресурсами.
- Роли, встроенные в Azure AD
- Разрешения в Центре & безопасности

Совет

Пользователи, которым назначена роль глобального администратора в Azure AD, могут одобрить или отклонить любое ожидающих действий в центре действий. Однако в качестве наилучшей практики организация должна ограничить число людей, которым назначена роль глобального администратора. Рекомендуется использовать роли администратора безопасности, активные действия по исправлению и роли поиска и очистки, перечисленные в предыдущей таблице разрешений центра действий.

Следующее действие