Принять меры по расширенным результатам запроса на охоту

Важно!

Улучшенный Центр безопасности Microsoft 365 теперь доступен в общедоступной предварительной версии. Этот новый интерфейс Центра безопасности Microsoft 365 объединяет Defender для конечной точки, Defender для Office 365, Microsoft 365 Defender и другие решения. Узнайте о новых возможностях.

Область применения:

  • Microsoft 365 Defender
  • Microsoft Defender для конечной точки

Важно!

Некоторые сведения относятся к предварительным выпускам продуктов, которые могут быть существенно изменены до коммерческого выпуска. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.

Вы можете быстро содержать угрозы или обращаться к скомпрометированным активам, которые находятся в продвинутой охоте с помощью мощных и комплексных вариантов действий. С помощью этих параметров можно:

  • Различные действия на устройствах
  • Файлы карантина

Необходимые разрешения

Чтобы иметь возможность действовать с помощью продвинутой охоты, вам потребуется роль в Microsoft Defender для конечной точки с разрешениями на отправку действий по исправлению на устройствах. Если вы не можете принять меры, обратитесь к глобальному администратору, чтобы получить следующее разрешение:

Активные действия по исправлению > и управление уязвимостями - обработка исправлений

Различные действия на устройствах

Вы можете принять следующие действия на устройствах, идентифицированных DeviceId столбцом в результатах запроса:

  • Изолировать затронутые устройства для сдерживания инфекции или предотвращения атак с последующим перемещением
  • Сбор пакета расследований для получения дополнительных сведений судебной экспертизы
  • Запустите антивирусное сканирование, чтобы найти и удалить угрозы с помощью последних обновлений разведки безопасности
  • Инициировать автоматическое расследование для проверки и устранения угроз на устройстве и, возможно, других затронутых устройствах.
  • Ограничить выполнение приложений только исполняемыми файлами, подписанными Корпорацией Майкрософт, предотвращая последующие действия с помощью вредоносных программ или других ненарушаемых исполняемых файлов.

Дополнительные данные о том, как эти действия реагирования выполняются с помощью Microsoft Defender для конечной точки, ознакомьтесь с действиями реагирования на устройствах.

Файлы карантина

Вы можете развернуть действие карантина в файлах, чтобы они автоматически были на карантине при встрече. При выборе этого действия можно выбрать между следующими столбцами, чтобы определить, какие файлы в результатах запроса будут карантином:

  • SHA1 — В большинстве расширенных таблиц охоты это SHA-1 файла, на который повлияло записанное действие. Например, если файл был скопирован, это будет скопирован файл.
  • InitiatingProcessSHA1 — В большинстве расширенных таблиц охоты это файл, ответственный за инициирование записанного действия. Например, если запущен детский процесс, это будет родительский процесс.
  • SHA256 — Это эквивалент SHA-256 файла, идентифицированного SHA1 столбцом.
  • InitiatingProcessSHA256 — Это эквивалент SHA-256 файла, идентифицированного InitiatingProcessSHA1 столбцом.

Дополнительные данные о том, как принимаются карантиные действия и как можно восстановить файлы, см. в материале о действиях реагирования на файлы.

Примечание

Для обнаружения файлов и их карантина результаты запроса должны также включать значения DeviceId в качестве идентификаторов устройств.

Действия

Чтобы принять любое из описанных действий, выберите одну или несколько записей в результатах запроса и выберите Действие. Мастер поможет вам в процессе выбора и отправки предпочтительных действий.

Изображение выбранной записи с панелью для проверки записи.

Проверка принятых действий

Каждое действие индивидуально записывают в центре действий в статье История центра действий > (security.microsoft.com/action-center/history). Перейдите в центр действий, чтобы проверить состояние каждого действия.

Примечание

Некоторые таблицы в этой статье могут быть недоступны в Microsoft Defender для конечной точки. Включаем Microsoft 365 Defender для охоты на угрозы с помощью дополнительных источников данных. Вы можете переместить расширенные процессы охоты из Microsoft Defender для конечной точки в Microsoft 365 Defender, следуя шагам в миграции расширенных запросов охоты из Microsoft Defender для конечной точки.