Åtgärdscentret
Gäller för:
- Microsoft Defender XDR
Åtgärdscentret tillhandahåller en "enda fönsterruta" för incident- och aviseringsuppgifter som:
- Godkänna väntande reparationsåtgärder.
- Visa en granskningslogg med redan godkända reparationsåtgärder.
- Granska slutförda reparationsåtgärder.
Eftersom Åtgärdscenter ger en omfattande vy över Microsoft Defender XDR på jobbet kan ditt säkerhetsteam arbeta mer effektivt och effektivt.
Det enhetliga åtgärdscentret
Det enhetliga åtgärdscentret (https://security.microsoft.com/action-center) visar väntande och slutförda reparationsåtgärder för dina enheter, e-post & samarbetsinnehåll och identiteter på en plats.
Till exempel:
- Om du använde Åtgärdscenter i Microsoft Defender Säkerhetscenter (https://securitycenter.windows.com/action-center) kan du prova det enhetliga åtgärdscentret i Microsoft Defender-portalen.
- Om du redan använder Microsoft Defender-portalen visas flera förbättringar i Åtgärdscenter (https://security.microsoft.com/action-center).
Det enhetliga åtgärdscentret samlar reparationsåtgärder i Microsoft Defender för Endpoint och Microsoft Defender för Office 365. Det definierar ett gemensamt språk för alla reparationsåtgärder och ger en enhetlig undersökningsupplevelse. Ditt säkerhetsteam har en "enda fönsterruta" för att visa och hantera reparationsåtgärder.
Du kan använda det enhetliga åtgärdscentret om du har rätt behörigheter och en eller flera av följande prenumerationer:
Tips
Mer information finns i Krav.
Du kan navigera till listan över åtgärder som väntar på godkännande på två olika sätt:
- Gå till https://security.microsoft.com/action-center; eller
- I Microsoft Defender-portalen (https://security.microsoft.com) går du till svarskortet Automatiserad undersökning & och väljer Godkänn i Åtgärdscenter.
Använda Åtgärdscenter
Gå till Microsoft Defender-portalen och logga in.
I navigeringsfönstret under Åtgärder och inlämningar väljer du Åtgärdscenter. Du kan också välja Godkänn i Åtgärdscenter i svarskortet Automatiserad undersökning &.
Använd flikarna Väntande åtgärder och historik . I följande tabell sammanfattas det du ser på varje flik:
Tabb Beskrivning Väntande Visar en lista över åtgärder som kräver uppmärksamhet. Du kan godkänna eller avvisa åtgärder en i taget, eller välja flera åtgärder om de har samma typ av åtgärd (till exempel Karantänfil).
Se till att granska och godkänna (eller avvisa) väntande åtgärder så snart som möjligt så att dina automatiserade undersökningar kan slutföras i tid.Historik Fungerar som en granskningslogg för åtgärder som har vidtagits, till exempel: - >Åtgärdsåtgärder som har vidtagits till följd av automatiserade undersökningar
- Åtgärder som har vidtagits för misstänkta eller skadliga e-postmeddelanden, filer eller URL:er
- Åtgärdsåtgärder som har godkänts av ditt säkerhetsåtgärdsteam
- Kommandon som kördes och reparationsåtgärder som tillämpades under livesvarssessioner
- Åtgärdsåtgärder som har vidtagits av ditt antivirusskydd
Ger ett sätt att ångra vissa åtgärder (se Ångra slutförda åtgärder).Du kan anpassa, sortera, filtrera och exportera data i Åtgärdscenter.
- Välj en kolumnrubrik för att sortera objekt i stigande eller fallande ordning.
- Använd tidsintervallfiltret för att visa data för de senaste dagarna, veckan, 30 dagarna eller 6 månaderna.
- Välj de kolumner som du vill visa.
- Ange hur många objekt som ska inkluderas på varje datasida.
- Använd filter för att visa bara de objekt som du vill se.
- Välj Exportera för att exportera resultat till en .csv fil.
Åtgärder som spåras i Åtgärdscenter
Alla åtgärder, oavsett om de väntar på godkännande eller redan har vidtagits, spåras i Åtgärdscenter. Tillgängliga åtgärder omfattar följande:
- Samla in undersökningspaket
- Isolera enhet (den här åtgärden kan ångras)
- Avregistrera maskin
- Versionskodkörning
- Frisläpp från karantän
- Exempel på begäran
- Begränsa kodkörning (den här åtgärden kan ångras)
- Kör antivirusgenomsökning
- Stoppa och placera i karantän
- Innehålla enheter från nätverket
Förutom åtgärder som vidtas automatiskt till följd av automatiserade undersökningar spårar Åtgärdscenter även åtgärder som ditt säkerhetsteam har vidtagit för att åtgärda identifierade hot och åtgärder som har vidtagits till följd av hotskyddsfunktioner i Microsoft Defender XDR. Mer information om automatiska och manuella åtgärder finns i Reparationsåtgärder.
Visa information om åtgärdskällan
Det förbättrade åtgärdscentret innehåller en kolumn för åtgärdskälla som anger var varje åtgärd kommer ifrån. I följande tabell beskrivs möjliga värden för åtgärdskälla :
| Värde för åtgärdskälla | Beskrivning |
|---|---|
| Manuell enhetsåtgärd | En manuell åtgärd som vidtas på en enhet. Exempel är enhetsisolering eller filkarantän. |
| Manuell e-poståtgärd | En manuell åtgärd som vidtas via e-post. Ett exempel omfattar mjuk borttagning av e-postmeddelanden eller reparation av ett e-postmeddelande. |
| Automatiserad enhetsåtgärd | En automatiserad åtgärd som vidtas på en entitet, till exempel en fil eller process. Exempel på automatiserade åtgärder är att skicka en fil i karantän, stoppa en process och ta bort en registernyckel. (Se Reparationsåtgärder i Microsoft Defender för Endpoint.) |
| Automatisk e-poståtgärd | En automatiserad åtgärd som vidtas för e-postinnehåll, till exempel ett e-postmeddelande, en bifogad fil eller en URL. Exempel på automatiserade åtgärder är mjuk borttagning av e-postmeddelanden, blockering av URL:er och avstängning av extern vidarebefordran av e-post. (Se Reparationsåtgärder i Microsoft Defender för Office 365.) |
| Avancerad jaktåtgärd | Åtgärder som vidtas på enheter eller e-post med avancerad jakt. |
| Explorer-åtgärd | Åtgärder som vidtas för e-postinnehåll med Explorer. |
| Manuell direktsvarsåtgärd | Åtgärder som vidtas på en enhet med livesvar. Exempel är att ta bort en fil, stoppa en process och ta bort en schemalagd aktivitet. |
| Åtgärd för livesvar | Åtgärder som vidtas på en enhet med Microsoft Defender för Endpoint-API:er. Exempel på åtgärder är att isolera en enhet, köra en antivirusgenomsökning och hämta information om en fil. |
Behörigheter som krävs för Åtgärdscenter-uppgifter
För att utföra uppgifter, till exempel att godkänna eller avvisa väntande åtgärder i Åtgärdscenter, behöver du specifika behörigheter. Du har följande alternativ:
Microsoft Entra behörigheter: Medlemskap i dessa roller ger användarna de behörigheter och behörigheter som krävs för andra funktioner i Microsoft 365:
Microsoft Defender för Endpoint reparation (enheter): Medlemskap i rollen Säkerhetsadministratör.
Microsoft Defender för Office 365 reparation (Office-innehåll och e-post):
- Medlemskap i rollen Säkerhetsadministratör .
och
- Medlemskap i en rollgrupp i Email & samarbetsbehörigheter med rollen Sök och Rensa tilldelad. Som standard tilldelas den här rollen endast till rollgrupperna Datadetektiv och Organisationshantering i Email & samarbetsbehörigheter. Du kan lägga till användare i dessa rollgrupper eller skapa en ny rollgrupp i Email & samarbetsbehörigheter med rollen Sök och Rensa tilldelad och lägga till användarna i den anpassade rollgruppen.
Email & samarbetsbehörigheter i Microsoft Defender-portalen:
Microsoft Defender för Office 365 reparation (Office-innehåll och e-post):
- Medlemskap i rollgruppen Säkerhetsadministratör
och
- Medlemskap i en rollgrupp i Email & samarbetsbehörigheter med rollen Sök och Rensa tilldelad. Som standard tilldelas den här rollen endast till rollgrupperna Datadetektiv och Organisationshantering i Email & samarbetsbehörigheter. Du kan lägga till användare i dessa rollgrupper eller skapa en ny rollgrupp i Email & samarbetsbehörigheter med rollen Sök och Rensa tilldelad och lägga till användarna i den anpassade rollgruppen.
Microsoft Defender XDR enhetlig rollbaserad åtkomstkontroll (RBAC)
- Microsoft Defender för Endpoint reparation: Säkerhetsåtgärder \ Säkerhetsdata \ Svar (hantera).
- Microsoft Defender för Office 365 reparation (Office-innehåll och e-post, om Email & samarbete>Defender för Office 365 behörigheter är
Aktiva. Påverkar endast Defender-portalen, inte PowerShell):- Läsåtkomst för e-post och Teams-meddelandehuvuden: Säkerhetsåtgärder/Rådata (e-post & samarbete)/Email & samarbetsmetadata (läs).
- Åtgärda skadlig e-post: Säkerhetsåtgärder/Säkerhetsdata/Email & avancerade åtgärder för samarbete (hantera)..
Tips
Medlemskap i rollgruppen Säkerhetsadministratör Email & samarbetsbehörigheter ger inte åtkomst till åtgärdscentret eller Microsoft Defender XDR funktioner. För dessa måste du vara medlem i rollen Säkerhetsadministratör i Microsoft Entra behörigheter.
Behörigheter för Defender för Endpoint:
- Microsoft Defender för Endpoint reparation (enheter): Medlemskap i rollen Aktiva reparationsåtgärder.
Tips
Medlemmar i rollen Global administratör i Microsoft Entra ID kan godkänna eller avvisa väntande åtgärder i Åtgärdscenter. Men som bästa praxis bör du begränsa medlemmarna i rollen Global administratör . Vi rekommenderar att du använder alternativa roller och rollgrupper enligt beskrivningen i föregående lista för Behörigheter för Åtgärdscenter.
Nästa steg
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för