Центр уведомлений

Область применения:

• Microsoft Defender XDR

Центр уведомлений предоставляет "единую панель окна" для задач инцидентов и оповещений, таких как:

• Утверждение ожидающих действий по исправлению.
• Просмотр журнала аудита уже утвержденных действий по исправлению.
• проверка выполненных действий по исправлению.

Так как центр уведомлений предоставляет комплексное представление Microsoft Defender XDR на работе, ваша команда по операциям с безопасностью может работать более эффективно и эффективно.

Единый центр уведомлений

Единый центр уведомлений (https://security.microsoft.com/action-center) перечисляет ожидающие и завершенные действия по исправлению для ваших устройств, электронную почту & содержимое совместной работы и удостоверения в одном расположении.

Например:

• Если вы использовали центр уведомлений в Центр безопасности в Microsoft Defender (https://securitycenter.windows.com/action-center), попробуйте единый центр уведомлений на портале Microsoft Defender.
• Если вы уже использовали портал Microsoft Defender, вы увидите несколько улучшений в центре уведомлений (https://security.microsoft.com/action-center).

Единый центр уведомлений объединяет действия по исправлению в Defender для конечной точки и Defender для Office 365. Он определяет общий язык для всех действий по исправлению и предоставляет единый опыт исследования. Ваша команда по операциям безопасности имеет "единую панель стекла" для просмотра действий по исправлению и управления ими.

Единый центр уведомлений можно использовать при наличии соответствующих разрешений и одной или нескольких из следующих подписок:

• Defender для конечной точки
• Defender для Office 365
• Microsoft Defender XDR

Совет

Дополнительные сведения см. в разделе Требования.

Вы можете перейти к списку действий, ожидающих утверждения, двумя разными способами:

• Перейдите к https://security.microsoft.com/action-center; или
• На портале Microsoft Defender (https://security.microsoft.com) в карта ответ автоматизированного исследования & выберите Утвердить в центре уведомлений.

Использование центра уведомлений

1. Перейдите на портал Microsoft Defender и выполните вход.

2. В области навигации в разделе Действия и отправки выберите Центр уведомлений. Или в карта ответа автоматизированного исследования & выберите Утвердить в центре уведомлений.

3. Используйте вкладки Ожидающие действия и Журнал . В следующей таблице приведены сведения о том, что вы увидите на каждой вкладке.

   Вкладка	Описание
   Pending	Отображает список действий, требующих внимания. Вы можете утвердить или отклонить действия по одному за раз или выбрать несколько действий, если они имеют одинаковый тип действия (например, файл карантина). Не забудьте как можно скорее проверить и утвердить (или отклонить) ожидающие действия, чтобы автоматизированные исследования могли завершиться своевременно.
   Журнал	Служит журналом аудита для выполненных действий, таких как: — действия по исправлению, предпринятые в результате автоматизированных исследований. — действия по исправлению подозрительных или вредоносных сообщений электронной почты, файлов или URL-адресов. — Действия по исправлению, утвержденные группой по операциям безопасности. — команды, которые выполнялись, и действия по исправлению, примененные во время сеансов динамического ответа. — Действия по исправлению, предпринятые антивирусной защитой Предоставляет способ отмены определенных действий (см . раздел Отмена завершенных действий).

4. Вы можете настраивать, сортировать, фильтровать и экспортировать данные в центре уведомлений.

   

   • Выберите заголовок столбца для сортировки элементов по возрастанию или убыванию.
   • Используйте фильтр периода времени для просмотра данных за последний день, неделю, 30 дней или 6 месяцев.
   • Выберите столбцы, которые нужно просмотреть.
   • Укажите, сколько элементов следует включить на каждой странице данных.
   • Используйте фильтры для просмотра только элементов, которые вы хотите просмотреть.
   • Выберите Экспорт , чтобы экспортировать результаты в файл .csv.

Действия, отслеживаемые в центре уведомлений

В Центре уведомлений отслеживаются все действия — как ожидающие утверждения, так и уже утвержденные. Доступны следующие действия:

• Сбор пакета исследования
• Изоляция устройства (это действие можно отменить)
• Отключение компьютера
• Отмена блокировки выполнения кода
• Отмена размещения в карантине
• Запрос примера
• Ограничение выполнения кода (это действие можно отменить)
• Запуск проверки на вирусы
• Останов и помещение в карантин
• Содержатся устройства от сети

Помимо действий по исправлению, которые выполняются автоматически в результате автоматизированных исследований, Центр уведомлений также отслеживает действия, предпринятые группой безопасности для устранения обнаруженных угроз, а также действия, предпринятые в результате использования функций защиты от угроз в Microsoft Defender XDR. Дополнительные сведения об автоматических и ручных действиях по исправлению см. в разделе Действия по исправлению.

Просмотр сведений об источнике действия

(НОВОЕ!) Улучшенный центр уведомлений теперь содержит столбец источника действия , в котором показано, откуда поступило каждое действие. В следующей таблице описаны возможные исходные значения action :

Значение источника действия	Описание
Действие устройства вручную	Действие, выполняемое вручную на устройстве. Примеры включают изоляцию устройства или карантин файлов.
Действие электронной почты вручную	Действие, выполняемое вручную по электронной почте. Пример включает обратимое удаление сообщений электронной почты или исправление сообщения электронной почты.
Автоматическое действие устройства	Автоматическое действие, выполняемое с сущностью, например файлом или процессом. Примеры автоматизированных действий включают отправку файла в карантин, остановку процесса и удаление раздела реестра. (См. раздел Действия по исправлению в Microsoft Defender для конечной точки.)
Автоматическое действие электронной почты	Автоматическое действие, выполняемое с содержимым электронной почты, например с сообщением электронной почты, вложением или URL-адресом. Примерами автоматизированных действий являются обратимое удаление сообщений электронной почты, блокировка URL-адресов и отключение внешней пересылки почты. (См. раздел Действия по исправлению в Microsoft Defender для Office 365.)
Расширенное действие охоты	Действия, выполняемые с устройствами или электронной почтой с расширенной охотой.
действие Обозреватель	Действия, выполняемые с содержимым электронной почты с помощью Обозреватель.
Действие ответа в режиме реального времени вручную	Действия, выполняемые на устройстве с динамическим откликом. Примеры включают удаление файла, остановку процесса и удаление запланированной задачи.
Действие динамического реагирования	Действия, выполняемые на устройстве с Microsoft Defender для конечной точки API. Примеры действий включают изоляцию устройства, запуск антивирусной проверки и получение сведений о файле.

Обязательные разрешения для задач центра уведомлений

Для выполнения таких задач, как утверждение или отклонение ожидающих действий в центре уведомлений, необходимо иметь назначенные разрешения, как указано в следующей таблице:

Действие по исправлению	Обязательные роли и разрешения
исправление Microsoft Defender для конечной точки (устройства)	Роль администратора безопасности, назначенная в Microsoft Entra ID (https://portal.azure.com) или Центр администрирования Microsoft 365 (https://admin.microsoft.com) --- или --- Роль активных действий по исправлению, назначенная в Microsoft Defender для конечной точки Для получения дополнительных сведений ознакомьтесь с приведенными ниже ресурсами. - Microsoft Entra встроенные роли - Создание ролей и управление ими для управления доступом на основе ролей (Microsoft Defender для конечной точки)
исправление Microsoft Defender для Office 365 (содержимое Office и электронная почта)	Роль администратора безопасности, назначенная в Microsoft Entra ID (https://portal.azure.com) или Центр администрирования Microsoft 365 (https://admin.microsoft.com) --- и --- роль Поиск и очистка, назначенные в Microsoft Defender XDR >Email & ролей совместной работы ВАЖНО! Если вам назначена роль администратора безопасности только в Microsoft Defender XDR >Email & ролей совместной работы, вы не сможете получить доступ к центру уведомлений или Microsoft Defender XDR возможностям. Вам должна быть назначена роль администратора безопасности в Microsoft Entra ID или Центр администрирования Microsoft 365. Для получения дополнительных сведений ознакомьтесь с приведенными ниже ресурсами. - Microsoft Entra встроенные роли - Разрешения в Центре соответствия требованиям & безопасности

Совет

Пользователи, которым назначена роль глобального администратора в Microsoft Entra ID, могут утвердить или отклонить любое ожидающее действие в центре уведомлений. Однако рекомендуется ограничить число пользователей, которым назначена роль глобального администратора . Для разрешений центра уведомлений рекомендуется использовать администратор безопасности, активные действия по исправлению, а также роли Поиск и Purge, перечисленные в предыдущей таблице.

Следующее действие

• Просмотр действий по исправлению и управление ими

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.