Granska reparationsåtgärder efter en automatiserad undersökning
Gäller för:
Reparationsåtgärder
När en automatiserad undersökning körs genereras en dom för varje bevis som undersöks. Domar kan vara skadliga, misstänkta eller inga hot som hittas.
Beroende på
- typen av hot,
- den resulterande domen, och
- hur organisationens enhetsgrupper är konfigurerade,
reparationsåtgärder kan utföras automatiskt eller endast efter godkännande av organisationens säkerhetsåtgärdsteam.
Obs!
Skapande av enhetsgrupp stöds i Defender för Endpoint Plan 1 och Plan 2.
Här är några exempel:
Exempel 1: Fabrikams enhetsgrupper är inställda på Fullständig – åtgärda hot automatiskt (den rekommenderade inställningen). I det här fallet vidtas reparationsåtgärder automatiskt för artefakter som anses vara skadliga efter en automatiserad undersökning (se Granska slutförda åtgärder).
Exempel 2: Contosos enheter ingår i en enhetsgrupp som har angetts för Semi – kräver godkännande för eventuella åtgärder. I det här fallet måste Contosos säkerhetsåtgärdsteam granska och godkänna alla reparationsåtgärder efter en automatiserad undersökning (se Granska väntande åtgärder).
Exempel 3: Tailspin Toys har sina enhetsgrupper inställda på Inget automatiserat svar (rekommenderas inte). I det här fallet sker inte automatiserade undersökningar. Inga åtgärder vidtas eller väntar och inga åtgärder loggas i åtgärdscentret för deras enheter (se Hantera enhetsgrupper).
Oavsett om de vidtas automatiskt eller vid godkännande kan en automatiserad undersökning och reparation resultera i en eller flera av reparationsåtgärderna:
- Placera en fil i karantän
- Ta bort en registernyckel
- Avsluta en process
- Stoppa en tjänst
- Inaktivera en drivrutin
- Ta bort en schemalagd aktivitet
Granska väntande åtgärder
Gå till Microsoft Defender-portalen och logga in.
I navigeringsfönstret väljer du Åtgärdscenter.
Granska objekten på fliken Väntar .
Välj en åtgärd för att öppna dess utfällbara fönster.
Granska informationen i det utfällbara fönstret och utför sedan något av följande steg:
- Välj Öppna undersökningssida om du vill visa mer information om undersökningen.
- Välj Godkänn för att initiera en väntande åtgärd.
- Välj Avvisa för att förhindra att en väntande åtgärd vidtas.
- Välj Go hunt (Gå jakt) för att gå till Avancerad jakt.
Godkänna eller avvisa reparationsåtgärder
För incidenter med reparationsstatusen Väntar på godkännande kan du även godkänna eller avvisa en åtgärd inifrån incidenten.
- I navigeringsfönstret går du till Incidenter & aviseringar>Incidenter.
- Filtrera på Väntande åtgärd för tillståndet Automatiserad undersökning (valfritt).
- Välj ett incidentnamn för att öppna sammanfattningssidan.
- Välj fliken Bevis och svar .
- Välj ett objekt i listan för att öppna dess utfällbara fönster.
- Granska informationen och utför sedan något av följande steg:
- Välj alternativet Godkänn väntande åtgärd för att initiera en väntande åtgärd.
- Välj alternativet Avvisa väntande åtgärd för att förhindra att en väntande åtgärd vidtas.
Granska slutförda åtgärder
Gå till Microsoft Defender-portalen och logga in.
I navigeringsfönstret väljer du Åtgärdscenter.
Granska objekten på fliken Historik .
Välj ett objekt om du vill visa mer information om reparationsåtgärden.
Ångra slutförda åtgärder
Om du har fastställt att en enhet eller fil inte är ett hot kan du ångra åtgärder som har vidtagits, oavsett om dessa åtgärder har vidtagits automatiskt eller manuellt. På fliken Historik i Åtgärdscenter kan du ångra någon av följande åtgärder:
| Åtgärdskälla | Åtgärder som stöds |
|---|---|
|
|
Obs!
Defender för Endpoint Plan 1 och Microsoft Defender för företag endast innehålla följande manuella svarsåtgärder:
- Kör antivirusgenomsökning
- Isolera enhet
- Stoppa och placera en fil i karantän
- Lägga till en indikator för att blockera eller tillåta en fil
Ångra flera åtgärder samtidigt
Gå till Åtgärdscenter (https://security.microsoft.com/action-center) och logga in.
På fliken Historik väljer du de åtgärder som du vill ångra. Se till att välja objekt som har samma åtgärdstyp. Ett utfällt fönster öppnas.
I den utfällbara rutan väljer du Ångra.
Ta bort en fil från karantänen på flera enheter
Gå till Åtgärdscenter (https://security.microsoft.com/action-center) och logga in.
På fliken Historik väljer du ett objekt som har åtgärdstypen Karantänfil.
I den utfällbara rutan väljer du Använd för X fler instanser av den här filen och väljer sedan Ångra.
Automatiseringsnivåer, automatiserade undersökningsresultat och resulterande åtgärder
Automatiseringsnivåer påverkar om vissa reparationsåtgärder vidtas automatiskt eller endast vid godkännande. Ibland har ditt säkerhetsteam fler åtgärder att vidta, beroende på resultatet av en automatiserad undersökning. I följande tabell sammanfattas automatiseringsnivåer, resultat av automatiserade undersökningar och vad du ska göra i varje enskilt fall.
| Inställning för enhetsgrupp | Automatiserade undersökningsresultat | Lämplig åtgärd |
|---|---|---|
| Fullständig – åtgärda hot automatiskt (rekommenderas) |
En dom om skadlig nås för ett bevis. Lämpliga åtgärder vidtas automatiskt. |
Granska slutförda åtgärder |
| Semi – kräver godkännande för eventuella åtgärder | En bedömning av antingen skadlig eller misstänkt har nåtts för ett bevis. Reparationsåtgärder väntar på godkännande för att fortsätta. |
Godkänn (eller avvisa) väntande åtgärder |
| Semi – kräver godkännande för reparation av kärnmappar | En dom om skadlig nås för ett bevis. Om artefakten är en fil eller körbar fil och finns i en operativsystemkatalog, till exempel Windows-mappen eller mappen Programfiler, väntar reparationsåtgärder på godkännande. Om artefakten inte finns i en operativsystemkatalog vidtas reparationsåtgärder automatiskt. |
|
| Semi – kräver godkännande för reparation av kärnmappar | En dom om misstänkt har nåtts för ett bevismaterial. Reparationsåtgärder väntar på godkännande. |
Godkänn (eller avvisa) väntande åtgärder. |
| Semi – kräver godkännande för reparation av icke-temporära mappar | En dom om skadlig nås för ett bevis. Om artefakten är en fil eller körbar fil som inte finns i en tillfällig mapp, till exempel användarens mapp för nedladdningar eller temp-mappen, väntar reparationsåtgärder på godkännande. Om artefakten är en fil eller körbar fil som finns i en tillfällig mapp vidtas reparationsåtgärder automatiskt. |
|
| Semi – kräver godkännande för reparation av icke-temporära mappar | En dom om misstänkt har nåtts för ett bevismaterial. Reparationsåtgärder väntar på godkännande. |
Godkänn (eller avvisa) väntande åtgärder |
| Någon av automatiseringsnivåerna Full eller Semi | En dom om inga hot hittas nås för ett bevismaterial. Inga åtgärder vidtas och inga åtgärder väntar på godkännande. |
Visa detaljer och resultat av automatiserade undersökningar |
| Inget automatiserat svar (rekommenderas inte) | Inga automatiserade undersökningar körs, så inga domar nås och inga åtgärder vidtas eller väntar på godkännande. | Överväg att konfigurera eller ändra dina enhetsgrupper så att de använder fullständig automatisering eller halvautomatisering |
Alla domar spåras i Åtgärdscenter.
Obs!
I Defender för företag är funktionerna för automatiserad undersökning och reparation förinställda för att använda Fullständig – åtgärda hot automatiskt. Dessa funktioner tillämpas som standard på alla enheter.
Nästa steg
- Lär dig mer om funktioner för livesvar
- Proaktiv jakt på hot med avancerad jakt
- Åtgärda falska positiva/negativa i Microsoft Defender för Endpoint
Se även
Tips
Vill du veta mer? Interagera med Microsoft Security-communityn i vår Tech Community: Microsoft Defender för Endpoint Tech Community.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för