Granska åtgärdsåtgärder efter en automatiserad undersökning
Gäller för:
Reparationsåtgärder
När en automatiserad undersökning körs genereras en bedömning för varje bevis som undersöks. Omdömen kan vara skadliga, misstänkta eller inga hot hittades.
Beroende på
- typen av hot,
- den resulterande bedömningen och
- hur din organisations enhetsgrupper konfigureras
Åtgärdsåtgärder kan ske automatiskt eller bara om godkännande har godkänts av organisationens team för säkerhetsåtgärder.
Här är några exempel:
Exempel 1: Fabrikams enhetsgrupper är inställda på Fullständiga – åtgärda hot automatiskt (den rekommenderade inställningen). I det här fallet vidtas åtgärder automatiskt för artefakter som anses vara skadliga efter en automatiserad undersökning (se Granska slutförda åtgärder).
Exempel 2: Contosos enheter ingår i en enhetsgrupp som är inställd på Semi – kräver godkännande för alla åtgärder. I det här fallet måste Contosos säkerhetsoperationsteam granska och godkänna alla åtgärder efter en automatiserad undersökning (se Granska väntande åtgärder).
Exempel 3: Tailspin Toys har sina enhetsgrupper inställda på Inget automatiskt svar (rekommenderas inte). I det här fallet förekommer inte automatiska undersökningar. Inga åtgärder vidtas eller väntar och inga åtgärder loggas i Åtgärdscenter för sina enheter (se Hantera enhetsgrupper).
Oavsett om en automatisk undersökning vidtas automatiskt eller efter godkännande kan en automatiserad undersökning resultera i en eller flera av åtgärderna:
- Sätt en fil i karantän
- Ta bort en registernyckel
- "Kill a process"
- Stoppa en tjänst
- Inaktivera en drivrutin
- Ta bort en schemalagd aktivitet
Granska väntande åtgärder
- Gå till Microsoft 365 Defender och logga in.
- Välj Åtgärdscenter i navigeringsfönstret.
- Granska objekten på fliken Väntande.
- Välj en åtgärd för att öppna det utfällade fönstret.
- Granska informationen i den utfällade fönsterrutan och gör sedan något av följande:
- Välj Sidan Öppna undersökning om du vill visa mer information om undersökningen.
- Välj Godkänn för att påbörja en väntande åtgärd.
- Välj Avvisa för att förhindra att en väntande åtgärd vidtas.
- Välj Sök för att gå till Avancerad sökning.
Granska slutförda åtgärder
- Gå till Microsoft 365 Defender och logga in.
- Välj Åtgärdscenter i navigeringsfönstret.
- Granska objekten på fliken Historik.
- Markera ett objekt om du vill visa mer information om åtgärdsåtgärden.
Ångra slutförda åtgärder
Om du har fastställt att en enhet eller en fil inte är ett hot kan du ångra åtgärder som har vidtagits, oavsett om dessa åtgärder har vidtagits automatiskt eller manuellt. På fliken Historik i Åtgärdscenter kan du ångra något av följande:
| Åtgärdskälla | Åtgärder som stöds |
|---|---|
|
|
Ångra flera åtgärder samtidigt
- Gå till Åtgärdscenter ( https://security.microsoft.com/action-center ) och logga in.
- Markera de åtgärder du vill ångra på fliken Historik. Se till att markera objekt som har samma åtgärdstyp. Ett utfällt fönster öppnas.
- Välj Ångra i den utfällade rutan.
Ta bort en fil från karantän på flera enheter
- Gå till Åtgärdscenter ( https://security.microsoft.com/action-center ) och logga in.
- På fliken Historik väljer du ett objekt som har karantänfilen Åtgärdstyp.
- Välj Använd på X fler instanser av den här filen i det utfällade fönstret och välj sedan Ångra.
Automatiseringsnivåer, automatiska undersökningsresultat och resulterande åtgärder
Automatiseringsnivåer påverkar om vissa åtgärder vidtas automatiskt eller bara vid godkännande. Ibland har säkerhetsoperationsteamet fler åtgärder att vidta, beroende på resultatet av en automatiserad undersökning. I följande tabell sammanfattas automationsnivåer, resultaten från automatiserade undersökningar och vad du ska göra i varje fall.
| Enhetsgruppinställning | Resultat från automatiserad undersökning | Lämplig åtgärd |
|---|---|---|
| Full – åtgärda hot automatiskt (den rekommenderade inställningen) | En bedömning av skadlig är uppnådd för ett bevis. Lämpliga åtgärder vidtas automatiskt. |
Granska slutförda åtgärder |
| Full – åtgärda hot automatiskt | En bedömning av misstänkt resultat har uppnåtts om det finns bevis för det. Åtgärdsåtgärder väntar på godkännande för att fortsätta. |
Godkänna (eller avvisa) väntande åtgärder |
| Semi – kräv godkännande för åtgärd | En bedömning av antingen Skadlig eller Misstänkt har nåtts som bevis. Åtgärdsåtgärder väntar på godkännande för att fortsätta. |
Godkänna (eller avvisa) väntande åtgärder |
| Semi – kräver godkännande för åtgärd av basmappar | En bedömning av skadlig är uppnådd för ett bevis. Om artefakten är en fil eller körbar och finns i en operativsystemkatalog, till exempel mappen Windows eller mappen Programfiler, väntar åtgärder på att godkännas. Om artefakten inte finns i en katalog i operativsystemet vidtas åtgärder automatiskt. |
|
| Semi – kräver godkännande för åtgärd av basmappar | En bedömning av misstänkt resultat har uppnåtts om det finns bevis för det. Åtgärdsåtgärder väntar på godkännande. |
Godkänna (eller avvisa) väntande åtgärder. |
| Semi – kräver godkännande för åtgärder som inte är tillfälliga mappar | En bedömning av skadlig är uppnådd för ett bevis. Om artefakten är en fil eller körbar som inte finns i en tillfällig mapp, till exempel användarens mapp för nedladdningar eller tillfällig mapp, väntar åtgärder på att godkännas. Om artefakten är en fil eller körbar som finns i en tillfällig mapp vidtas åtgärder automatiskt. |
|
| Semi – kräver godkännande för åtgärder som inte är tillfälliga mappar | En bedömning av misstänkt resultat har uppnåtts om det finns bevis för det. Åtgärdsåtgärder väntar på godkännande. |
Godkänna (eller avvisa) väntande åtgärder |
| Alla automationsnivåer med helt eller semi | En bedömning av Inga hot hittades som bevis. Inga åtgärdsåtgärder vidtas och inga åtgärder väntar på att godkännas. |
Visa detaljer och resultat av automatiserade undersökningar |
| Inget automatiskt svar (rekommenderas inte) | Ingen automatiserad undersökning körs, så inga bedömningar har uppnåtts och inga åtgärder vidtas eller väntar på godkännande. | Överväg att konfigurera eller ändra enhetsgrupper så att fullständig eller semi-automation används |
I Microsoft Defender för Endpoint spåras alla beslut i Åtgärdscenter.
Nästa steg
- Läs mer om funktioner för livesvar
- Proaktiv sökning efter hot med avancerad sökning
- Åtgärda falska positiva/negativa i Microsoft Defender för Endpoint