Проверка действий по исправлению после автоматического расследованияReview remediation actions following an automated investigation

Действия по исправлениюRemediation actions

При запуске автоматического расследования для каждого исследуемого доказательства создается вердикт.When an automated investigation runs, a verdict is generated for each piece of evidence investigated. Вердикты могут быть вредоносными, подозрительными или не найдены угрозы.Verdicts can be Malicious, Suspicious, or No threats found.

В зависимости отDepending on

  • тип угрозы,the type of threat,
  • итоговом вердикте иthe resulting verdict, and
  • настройка групп устройств организации,how your organization's device groups are configured,

Действия по исправлению могут происходить автоматически или только после утверждения командой операций безопасности организации.remediation actions can occur automatically or only upon approval by your organization’s security operations team.

Вот несколько примеров:Here are a few examples:

  • Пример 1. Группы устройств Fabrikam настроены на полное устранение угроз автоматически (рекомендуемый параметр).Example 1: Fabrikam's device groups are set to Full - remediate threats automatically (the recommended setting). В этом случае действия по исправлению автоматически принимаются для артефактов, которые считаются вредоносными после автоматического расследования (см. обзор завершенных действий).In this case, remediation actions are taken automatically for artifacts that are considered to be malicious following an automated investigation (see Review completed actions).

  • Пример 2. Устройства Contoso включены в группу устройств, задаемую для Semi, - требуется утверждение для любого восстановления.Example 2: Contoso's devices are included in a device group that is set for Semi - require approval for any remediation. В этом случае группа операций безопасности Contoso должна проанализировать и утвердить все действия по исправлению после автоматического расследования (см. обзор ожидающих действий).In this case, Contoso's security operations team must review and approve all remediation actions following an automated investigation (see Review pending actions).

  • Пример 3. Для групп устройств Tailspin Toys установлено отсутствие автоматического ответа (не рекомендуется).Example 3: Tailspin Toys has their device groups set to No automated response (not recommended). В этом случае автоматические расследования не проводятся.In this case, automated investigations do not occur. Никакие действия по исправлению не принимаются и не ожидаются, и никакие действия не регистрируются в центре действий для их устройств (см. управление группами устройств).No remediation actions are taken or pending, and no actions are logged in the Action center for their devices (see Manage device groups).

Независимо от того, принимаются ли автоматически или после утверждения, автоматическое расследование может привести к одному или несколько действий по исправлению:Whether taken automatically or upon approval, an automated investigation can result in one or more of the remediation actions:

  • Карантин файлаQuarantine a file
  • Удаление ключа реестраRemove a registry key
  • Убить процессKill a process
  • Остановка службыStop a service
  • Отключение драйвераDisable a driver
  • Удаление запланированной задачиRemove a scheduled task

Просмотр ожидающих действийReview pending actions

  1. Перейдите в центр Microsoft 365 безопасности https://security.microsoft.com () и войдите.Go to the Microsoft 365 security center (https://security.microsoft.com) and sign in.
  2. В панели навигации щелкните Центр уведомлений.In the navigation pane, choose Action center.
  3. Просмотрите элементы на вкладке "Ожидание".Review the items on the Pending tab.
  4. Выберите действие для открытия области вылетов.Select an action to open its flyout pane.
  5. В области вылетов просмотрите сведения и примите один из следующих действий:In the flyout pane, review the information, and then take one of the following steps:
    • Выберите страницу Open investigation, чтобы просмотреть дополнительные сведения о расследовании.Select Open investigation page to view more details about the investigation.
    • Выберите Утверждение, чтобы инициировать ожидающих действий.Select Approve to initiate a pending action.
    • Выберите Отклонение, чтобы предотвратить ожидающих действий.Select Reject to prevent a pending action from being taken.
    • Выберите go hunt, чтобы перейти в расширенный поиск.Select Go hunt to go into Advanced hunting.

Просмотр завершенных действийReview completed actions

  1. Перейдите в центр Microsoft 365 безопасности https://security.microsoft.com () и войдите.Go to the Microsoft 365 security center (https://security.microsoft.com) and sign in.
  2. В панели навигации щелкните Центр уведомлений.In the navigation pane, choose Action center.
  3. Просмотрите элементы на вкладке История.Review the items on the History tab.
  4. Выберите элемент, чтобы просмотреть дополнительные сведения об этом действии по исправлению.Select an item to view more details about that remediation action.

Отмена завершенных действийUndo completed actions

Если установлено, что устройство или файл не представляют угрозы, можно отменить принятые действия по исправлению, независимо от того, были ли эти действия приняты автоматически или вручную.If you’ve determined that a device or a file is not a threat, you can undo remediation actions that were taken, whether those actions were taken automatically or manually. В центре действий на вкладке История можно отменить любое из следующих действий:In the Action center, on the History tab, you can undo any of the following actions:

Источник действийAction source Поддерживаемые действияSupported Actions
- Автоматическое расследование- Automated investigation
- антивирусная программа в Microsoft Defender- Microsoft Defender Antivirus
- Действия ручного ответа- Manual response actions
- Изолировать устройство- Isolate device
- Ограничение выполнения кода- Restrict code execution
- Карантин файла- Quarantine a file
- Удаление ключа реестра- Remove a registry key
- Остановка службы- Stop a service
- Отключить драйвер- Disable a driver
- Удаление запланированной задачи- Remove a scheduled task

Одновременное отменить несколько действийTo undo multiple actions at one time

  1. Перейдите в центр действий https://security.microsoft.com/action-center () и войдите.Go to the Action center (https://security.microsoft.com/action-center) and sign in.
  2. На вкладке История выберите действия, которые необходимо отменить.On the History tab, select the actions that you want to undo. Убедитесь, что выберите элементы с одинаковым типом действия.Make sure to select items that have the same Action type. Открывается поле для вылетов.A flyout pane opens.
  3. В области вылетов выберите Отмена.In the flyout pane, select Undo.

Удаление файла из карантина на нескольких устройствахTo remove a file from quarantine across multiple devices

  1. Перейдите в центр действий https://security.microsoft.com/action-center () и войдите.Go to the Action center (https://security.microsoft.com/action-center) and sign in.
  2. На вкладке История выберите элемент с карантиным файлом типа Action.On the History tab, select an item that has the Action type Quarantine file.
  3. В области вылетов выберите Применить к X больше экземпляров этого файла, а затем отменить.In the flyout pane, select Apply to X more instances of this file, and then select Undo.

Уровни автоматизации, автоматизированные результаты расследования и полученные действияAutomation levels, automated investigation results, and resulting actions

Уровни автоматизации влияют на то, будут ли определенные действия по исправлению приниматься автоматически или только после утверждения.Automation levels affect whether certain remediation actions are taken automatically or only upon approval. Иногда группе операций безопасности необходимо предпринять больше действий в зависимости от результатов автоматического расследования.Sometimes your security operations team has more steps to take, depending on the results of an automated investigation. В следующей таблице подводятся итоги уровней автоматизации, результатов автоматических расследований и действий в каждом случае.The following table summarizes automation levels, results of automated investigations, and what to do in each case.

Параметр группы устройствDevice group setting Результаты автоматического расследованияAutomated investigation results ДействияWhat to do
Полное устранение угроз автоматически (рекомендуемый параметр)Full - remediate threats automatically (the recommended setting) Для части доказательств будет вынесен приговор вредоносным.A verdict of Malicious is reached for a piece of evidence.

Соответствующие действия по исправлению принимаются автоматически.Appropriate remediation actions are taken automatically.
Просмотр завершенных действийReview completed actions
Full — автоматически устраняет угрозыFull - remediate threats automatically Для доказательства можно вынесения вердикта о подозрении.A verdict of Suspicious is reached for a piece of evidence.

Действия по исправлению пока не утверждены.Remediation actions are pending approval to proceed.
Утверждение (или отклонение) ожидающих действийApprove (or reject) pending actions
Semi — требуется утверждение для любых исправленийSemi - require approval for any remediation Для части доказательств можно вынесения вердикта о вредоносных или подозрительных действиях.A verdict of either Malicious or Suspicious is reached for a piece of evidence.

Действия по исправлению пока не утверждены.Remediation actions are pending approval to proceed.
Утверждение (или отклонение) ожидающих действийApprove (or reject) pending actions
Semi — требуется утверждение для восстановления основных папокSemi - require approval for core folders remediation Для части доказательств будет вынесен приговор вредоносным.A verdict of Malicious is reached for a piece of evidence.

Если артефакт является файлом или исполняемым и находится в каталоге операционной системы, например в папке Windows или папке файлов программы, то действия по исправлению ожидают утверждения.If the artifact is a file or executable and is in an operating system directory, such as the Windows folder or the Program files folder, then remediation actions are pending approval.

Если артефакт не находится в каталоге операционной системы, действия по исправлению принимаются автоматически.If the artifact is not in an operating system directory, remediation actions are taken automatically.
1. Утверждение (или отклонение) ожидающих действий1. Approve (or reject) pending actions

2. Проверка завершенных действий2. Review completed actions
Semi — требуется утверждение для восстановления основных папокSemi - require approval for core folders remediation Для доказательства можно вынесения вердикта о подозрении.A verdict of Suspicious is reached for a piece of evidence.

Действия по исправлению ожидают утверждения.Remediation actions are pending approval.
Утверждение (или отклонение) ожидающих действий.Approve (or reject) pending actions.
Semi — требуется разрешение на исправление папок без tempSemi - require approval for non-temp folders remediation Для части доказательств будет вынесен приговор вредоносным.A verdict of Malicious is reached for a piece of evidence.

Если артефакт является файлом или исполняемым, который не находится во временной папке, например папке загрузки пользователя или папке temp, действия по исправлению ожидают утверждения.If the artifact is a file or executable that is not in a temporary folder, such as the user's downloads folder or temp folder, remediation actions are pending approval.

Если артефакт является файлом или исполняемым, который находится во временной папке, действия по исправлению выполняются автоматически.If the artifact is a file or executable that is in a temporary folder, remediation actions are taken automatically.
1. Утверждение (или отклонение) ожидающих действий1. Approve (or reject) pending actions

2. Проверка завершенных действий2. Review completed actions
Semi — требуется разрешение на исправление папок без tempSemi - require approval for non-temp folders remediation Для доказательства можно вынесения вердикта о подозрении.A verdict of Suspicious is reached for a piece of evidence.

Действия по исправлению ожидают утверждения.Remediation actions are pending approval.
Утверждение (или отклонение) ожидающих действийApprove (or reject) pending actions
Любой из уровней автоматизации Full или SemiAny of the Full or Semi automation levels Для доказательства будет вынесен вердикт об обнаружении угроз.A verdict of No threats found is reached for a piece of evidence.

Никакие действия по исправлению не принимаются и не ожидают утверждения.No remediation actions are taken, and no actions are pending approval.
Просмотр сведений и результатов автоматических исследованийView details and results of automated investigations
Нет автоматического ответа (не рекомендуется)No automated response (not recommended) Автоматические расследования не запускаются, поэтому вердикты не принимаются, а действия по исправлению не принимаются и не ожидают утверждения.No automated investigations run, so no verdicts are reached, and no remediation actions are taken or awaiting approval. Настройка или изменение групп устройств с использованием автоматизации Full или SemiConsider setting up or changing your device groups to use Full or Semi automation

В Microsoft Defender для конечной точки все вердикты отслеживаются в центре действий.In Microsoft Defender for Endpoint, all verdicts are tracked in the Action center.

Дальнейшие действияNext steps

См. такжеSee also