Granska åtgärdsåtgärder efter en automatiserad undersökningReview remediation actions following an automated investigation

ReparationsåtgärderRemediation actions

När en automatiserad undersökning körs genereras en bedömning för varje bevis som undersöks.When an automated investigation runs, a verdict is generated for each piece of evidence investigated. Omdömen kan vara skadliga, misstänkta eller inga hot hittades.Verdicts can be Malicious, Suspicious, or No threats found.

Beroende påDepending on

  • typen av hot,the type of threat,
  • den resulterande bedömningen ochthe resulting verdict, and
  • hur din organisations enhetsgrupper konfigurerashow your organization's device groups are configured,

Åtgärdsåtgärder kan ske automatiskt eller bara om godkännande har godkänts av organisationens team för säkerhetsåtgärder.remediation actions can occur automatically or only upon approval by your organization’s security operations team.

Här är några exempel:Here are a few examples:

  • Exempel 1: Fabrikams enhetsgrupper är inställda på Fullständiga – åtgärda hot automatiskt (den rekommenderade inställningen).Example 1: Fabrikam's device groups are set to Full - remediate threats automatically (the recommended setting). I det här fallet vidtas åtgärder automatiskt för artefakter som anses vara skadliga efter en automatiserad undersökning (se Granska slutförda åtgärder).In this case, remediation actions are taken automatically for artifacts that are considered to be malicious following an automated investigation (see Review completed actions).

  • Exempel 2: Contosos enheter ingår i en enhetsgrupp som är inställd på Semi – kräver godkännande för alla åtgärder.Example 2: Contoso's devices are included in a device group that is set for Semi - require approval for any remediation. I det här fallet måste Contosos säkerhetsoperationsteam granska och godkänna alla åtgärder efter en automatiserad undersökning (se Granska väntande åtgärder).In this case, Contoso's security operations team must review and approve all remediation actions following an automated investigation (see Review pending actions).

  • Exempel 3: Tailspin Toys har sina enhetsgrupper inställda på Inget automatiskt svar (rekommenderas inte).Example 3: Tailspin Toys has their device groups set to No automated response (not recommended). I det här fallet förekommer inte automatiska undersökningar.In this case, automated investigations do not occur. Inga åtgärder vidtas eller väntar och inga åtgärder loggas i Åtgärdscenter för sina enheter (se Hantera enhetsgrupper).No remediation actions are taken or pending, and no actions are logged in the Action center for their devices (see Manage device groups).

Oavsett om en automatisk undersökning vidtas automatiskt eller efter godkännande kan en automatiserad undersökning resultera i en eller flera av åtgärderna:Whether taken automatically or upon approval, an automated investigation can result in one or more of the remediation actions:

  • Sätt en fil i karantänQuarantine a file
  • Ta bort en registernyckelRemove a registry key
  • "Kill a process"Kill a process
  • Stoppa en tjänstStop a service
  • Inaktivera en drivrutinDisable a driver
  • Ta bort en schemalagd aktivitetRemove a scheduled task

Granska väntande åtgärderReview pending actions

  1. Gå till Microsoft 365 ( ) https://security.microsoft.com och logga in.Go to the Microsoft 365 security center (https://security.microsoft.com) and sign in.
  2. Välj Åtgärdscenter i navigeringsfönstret.In the navigation pane, choose Action center.
  3. Granska objekten på fliken Väntande.Review the items on the Pending tab.
  4. Välj en åtgärd för att öppna det utfällade fönstret.Select an action to open its flyout pane.
  5. Granska informationen i den utfällade fönsterrutan och gör sedan något av följande:In the flyout pane, review the information, and then take one of the following steps:
    • Välj Sidan Öppna undersökning om du vill visa mer information om undersökningen.Select Open investigation page to view more details about the investigation.
    • Välj Godkänn för att påbörja en väntande åtgärd.Select Approve to initiate a pending action.
    • Välj Avvisa för att förhindra att en väntande åtgärd vidtas.Select Reject to prevent a pending action from being taken.
    • Välj Sök för att gå till Avancerad sökning.Select Go hunt to go into Advanced hunting.

Granska slutförda åtgärderReview completed actions

  1. Gå till Microsoft 365 ( ) https://security.microsoft.com och logga in.Go to the Microsoft 365 security center (https://security.microsoft.com) and sign in.
  2. Välj Åtgärdscenter i navigeringsfönstret.In the navigation pane, choose Action center.
  3. Granska objekten på fliken Historik.Review the items on the History tab.
  4. Markera ett objekt om du vill visa mer information om den åtgärden.Select an item to view more details about that remediation action.

Ångra slutförda åtgärderUndo completed actions

Om du har fastställt att en enhet eller en fil inte är ett hot kan du ångra åtgärder som har vidtagits, oavsett om dessa åtgärder har vidtagits automatiskt eller manuellt.If you’ve determined that a device or a file is not a threat, you can undo remediation actions that were taken, whether those actions were taken automatically or manually. På fliken Historik i Åtgärdscenter kan du ångra något av följande:In the Action center, on the History tab, you can undo any of the following actions:

ÅtgärdskällaAction source Åtgärder som stödsSupported Actions
- Automatiserad undersökning- Automated investigation
- Microsoft Defender Antivirus- Microsoft Defender Antivirus
- Manuella svarsåtgärder- Manual response actions
- Isolera enhet- Isolate device
- Begränsa kodkörning- Restrict code execution
- Sätt en fil i karantän- Quarantine a file
- Ta bort en registernyckel- Remove a registry key
- Stoppa en tjänst- Stop a service
- Inaktivera en drivrutin- Disable a driver
- Ta bort en schemalagd aktivitet- Remove a scheduled task

Ångra flera åtgärder samtidigtTo undo multiple actions at one time

  1. Gå till Åtgärdscenter ( https://security.microsoft.com/action-center ) och logga in.Go to the Action center (https://security.microsoft.com/action-center) and sign in.
  2. Markera de åtgärder du vill ångra på fliken Historik.On the History tab, select the actions that you want to undo. Se till att markera objekt som har samma åtgärdstyp.Make sure to select items that have the same Action type. Ett utfällt fönster öppnas.A flyout pane opens.
  3. Välj Ångra i den utfällade rutan.In the flyout pane, select Undo.

Ta bort en fil från karantän på flera enheterTo remove a file from quarantine across multiple devices

  1. Gå till Åtgärdscenter ( https://security.microsoft.com/action-center ) och logga in.Go to the Action center (https://security.microsoft.com/action-center) and sign in.
  2. På fliken Historik väljer du ett objekt som har karantänfilen Åtgärdstyp.On the History tab, select an item that has the Action type Quarantine file.
  3. Välj Använd på X fler instanser av filen i det utfällade fönstret och välj sedan Ångra.In the flyout pane, select Apply to X more instances of this file, and then select Undo.

Automatiseringsnivåer, automatiska undersökningsresultat och resulterande åtgärderAutomation levels, automated investigation results, and resulting actions

Automatiseringsnivåer påverkar om vissa åtgärder vidtas automatiskt eller bara vid godkännande.Automation levels affect whether certain remediation actions are taken automatically or only upon approval. Ibland har säkerhetsoperationsteamet fler åtgärder att vidta, beroende på resultatet av en automatiserad undersökning.Sometimes your security operations team has more steps to take, depending on the results of an automated investigation. I följande tabell sammanfattas automationsnivåer, resultaten från automatiserade undersökningar och vad du ska göra i varje fall.The following table summarizes automation levels, results of automated investigations, and what to do in each case.

EnhetsgruppinställningDevice group setting Resultat från automatiserad undersökningAutomated investigation results Vad kan jag göra?What to do
Full – åtgärda hot automatiskt (den rekommenderade inställningen)Full - remediate threats automatically (the recommended setting) En bedömning av skadlig är uppnådd för ett bevis.A verdict of Malicious is reached for a piece of evidence.

Lämpliga åtgärder vidtas automatiskt.Appropriate remediation actions are taken automatically.
Granska slutförda åtgärderReview completed actions
Full – åtgärda hot automatisktFull - remediate threats automatically En bedömning av misstänkt resultat har uppnåtts om det finns bevis för det.A verdict of Suspicious is reached for a piece of evidence.

Åtgärdsåtgärder väntar på godkännande för att fortsätta.Remediation actions are pending approval to proceed.
Godkänna (eller avvisa) väntande åtgärderApprove (or reject) pending actions
Semi – kräv godkännande för åtgärdSemi - require approval for any remediation En bedömning av antingen Skadlig eller Misstänkt har nåtts som bevis.A verdict of either Malicious or Suspicious is reached for a piece of evidence.

Åtgärdsåtgärder väntar på godkännande för att fortsätta.Remediation actions are pending approval to proceed.
Godkänna (eller avvisa) väntande åtgärderApprove (or reject) pending actions
Semi – kräver godkännande för åtgärd av basmapparSemi - require approval for core folders remediation En bedömning av skadlig är uppnådd för ett bevis.A verdict of Malicious is reached for a piece of evidence.

Om artefakten är en fil eller körbar och finns i en operativsystemkatalog, till exempel mappen Windows eller mappen Programfiler, väntar åtgärder på att godkännas.If the artifact is a file or executable and is in an operating system directory, such as the Windows folder or the Program files folder, then remediation actions are pending approval.

Om artefakten inte finns i en katalog i operativsystemet vidtas åtgärder automatiskt.If the artifact is not in an operating system directory, remediation actions are taken automatically.
1. Godkänna (eller avvisa) väntande åtgärder1. Approve (or reject) pending actions

2. Granska slutförda åtgärder2. Review completed actions
Semi – kräver godkännande för åtgärd av basmapparSemi - require approval for core folders remediation En bedömning av misstänkt resultat har uppnåtts om det finns bevis för det.A verdict of Suspicious is reached for a piece of evidence.

Åtgärdsåtgärder väntar på godkännande.Remediation actions are pending approval.
Godkänna (eller avvisa) väntande åtgärder.Approve (or reject) pending actions.
Semi – kräver godkännande för åtgärder som inte är tillfälliga mapparSemi - require approval for non-temp folders remediation En bedömning av skadlig är uppnådd för ett bevis.A verdict of Malicious is reached for a piece of evidence.

Om artefakten är en fil eller körbar som inte finns i en tillfällig mapp, till exempel användarens mapp för nedladdningar eller tillfällig mapp, väntar åtgärder på att godkännas.If the artifact is a file or executable that is not in a temporary folder, such as the user's downloads folder or temp folder, remediation actions are pending approval.

Om artefakten är en fil eller körbar som finns i en tillfällig mapp vidtas åtgärder automatiskt.If the artifact is a file or executable that is in a temporary folder, remediation actions are taken automatically.
1. Godkänna (eller avvisa) väntande åtgärder1. Approve (or reject) pending actions

2. Granska slutförda åtgärder2. Review completed actions
Semi – kräver godkännande för åtgärder som inte är tillfälliga mapparSemi - require approval for non-temp folders remediation En bedömning av misstänkt resultat har uppnåtts om det finns bevis för det.A verdict of Suspicious is reached for a piece of evidence.

Åtgärdsåtgärder väntar på godkännande.Remediation actions are pending approval.
Godkänna (eller avvisa) väntande åtgärderApprove (or reject) pending actions
Alla automationsnivåer med helt eller semiAny of the Full or Semi automation levels En bedömning av Inga hot hittades som bevis.A verdict of No threats found is reached for a piece of evidence.

Inga åtgärdsåtgärder vidtas och inga åtgärder väntar på att godkännas.No remediation actions are taken, and no actions are pending approval.
Visa detaljer och resultat av automatiserade undersökningarView details and results of automated investigations
Inget automatiskt svar (rekommenderas inte)No automated response (not recommended) Ingen automatiserad undersökning körs, så inga bedömningar har uppnåtts och inga åtgärder vidtas eller väntar på godkännande.No automated investigations run, so no verdicts are reached, and no remediation actions are taken or awaiting approval. Överväg att konfigurera eller ändra enhetsgrupper så att fullständig eller semi-automation användsConsider setting up or changing your device groups to use Full or Semi automation

I Microsoft Defender för Endpoint spåras alla beslut i Åtgärdscenter.In Microsoft Defender for Endpoint, all verdicts are tracked in the Action center.

Nästa stegNext steps

Se ävenSee also