Действия по исправлению в Microsoft 365 DefenderRemediation actions in Microsoft 365 Defender

Важно!

Доступен улучшенный Центр безопасности Microsoft 365.The improved Microsoft 365 security center is now available. Этот новый интерфейс Центра безопасности Microsoft 365 объединяет Defender для конечной точки, Defender для Office 365, Microsoft 365 Defender и другие решения.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Узнайте о новых возможностях.Learn what's new.

Область применения:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender

Во время и после автоматического расследования в Microsoft 365 Defender выявляются действия по исправлению вредоносных или подозрительных элементов.During and after an automated investigation in Microsoft 365 Defender, remediation actions are identified for malicious or suspicious items. На устройствах принимаются некоторые действия по исправлению, которые также называют конечными точками.Some kinds of remediation actions are taken on devices, also referred to as endpoints. Другие действия по исправлению принимаются в отношении контента электронной почты.Other remediation actions are taken on email content. Автоматические расследования завершались после выполнения действий по исправлению, утверждения или отказа.Automated investigations complete after remediation actions are taken, approved, or rejected.

Важно!

Независимо от того, принимаются ли действия по исправлению автоматически или только после утверждения, зависит от определенных параметров, например от уровня автоматизации.Whether remediation actions are taken automatically or only upon approval depends on certain settings, such as how automation levels. Дополнительные статьи см. в следующих статьях:To learn more, see the following articles:

В следующей таблице подводятся итоги действий по исправлению, которые в настоящее время поддерживаются в Microsoft 365 Defender.The following table summarizes remediation actions that are currently supported in Microsoft 365 Defender.

Действия по исправлению устройства (конечной точки)Device (endpoint) remediation actions Действия по исправления для электронной почтыEmail remediation actions
- Сбор пакета расследований- Collect investigation package
- Изолировать устройство (это действие можно отменить)- Isolate device (this action can be undone)
- Offboard machine- Offboard machine
- Выполнение кода выпуска- Release code execution
- Освобождение от карантина- Release from quarantine
- Пример запроса- Request sample
- Ограничение выполнения кода (это действие можно отменить)- Restrict code execution (this action can be undone)
- Запуск антивирусного сканирования- Run antivirus scan
- Остановка и карантин- Stop and quarantine
- Блокировка URL-адреса (время щелчка мыши)- Block URL (time-of-click)
- Мягкое удаление сообщений электронной почты или кластеров- Soft delete email messages or clusters
- Электронная почта карантина- Quarantine email
- Карантин вложения электронной почты- Quarantine an email attachment
- Отключение внешней пересылаемой почты- Turn off external mail forwarding

Действия по исправлению, ожидающих утверждения или уже завершенных, можно просмотреть в Центре действий.Remediation actions, whether pending approval or already complete, can be viewed in the Action Center.

Действия по исправлению, которые следуют автоматическим расследованиямRemediation actions that follow automated investigations

По завершению автоматического расследования выносим вердикт по каждому доказательству.When an automated investigation completes, a verdict is reached for every piece of evidence involved. В зависимости от вердикта выявляются действия по исправлению.Depending on the verdict, remediation actions are identified. В некоторых случаях действия по исправлению выполняются автоматически. В других случаях действия по исправлению ожидают утверждения.In some cases, remediation actions are taken automatically; in other cases, remediation actions await approval. Все зависит от настройки автоматического расследованияи ответа.It all depends on how automated investigation and response is configured.

В таблице ниже перечислены возможные заключения и результаты.The following table lists possible verdicts and outcomes:

ЗаключениеVerdict Затронутые сущностиAffected entities РезультатыOutcomes
ВредоносныеMalicious Устройства (конечные точки)Devices (endpoints) Действия по исправлению принимаются автоматически (при условии, что группы устройств вашей организации настроены на полное устранение угроз автоматически)Remediation actions are taken automatically (assuming your organization's device groups are set to Full - remediate threats automatically)
ВредоносныеMalicious Содержимое электронной почты (URL-адреса или вложения)Email content (URLs or attachments) Рекомендуемые действия по исправлению ожидают утвержденияRecommended remediation actions are pending approval
ПодозрительныеSuspicious Устройства или содержимое электронной почтыDevices or email content Рекомендуемые действия по исправлению ожидают утвержденияRecommended remediation actions are pending approval
Угрозы не найденыNo threats found Устройства или содержимое электронной почтыDevices or email content Действия по исправлению не требуютсяNo remediation actions are needed

Действия по исправлению, которые принимаются вручнуюRemediation actions that are taken manually

Помимо действий по исправлению последствий, которые следуют автоматическим расследованиям, группа операций безопасности может выполнять определенные действия по исправлению вручную.In addition to remediation actions that follow automated investigations, your security operations team can take certain remediation actions manually. К ним относятся:These include the following:

  • Действие ручного устройства, например изоляция устройства или карантин файловManual device action, such as device isolation or file quarantine
  • Ручное действие электронной почты, например мягкие удаления сообщений электронной почтыManual email action, such as soft-deleting email messages
  • Расширенные действия по охоте на устройствах или электронной почтеAdvanced hunting action on devices or email
  • Действия проводника по контенту электронной почты, такие как перенос электронной почты на нежелательное, электронное сообщение с мягким удалением или жесткое удаление электронной почты.Explorer action on email content, such as moving email to junk, soft-deleting email, or hard-deleting email
  • Действие живого ответа вручную, например удаление файла, остановка процесса и удаление запланированной задачиManual live response action, such as deleting a file, stopping a process, and removing a scheduled task
  • Live response action with Microsoft Defender for Endpoint API, such as isolating a device, running an antivirus scan, and getting information about a fileLive response action with Microsoft Defender for Endpoint APIs, such as isolating a device, running an antivirus scan, and getting information about a file

Дальнейшие действияNext steps