Granska åtgärdsåtgärder efter en automatiserad undersökning

Gäller för:

Reparationsåtgärder

När en automatiserad undersökning körs genereras en bedömning för varje bevis som undersöks. Omdömen kan vara skadliga, misstänkta eller inga hot hittades.

Beroende på

  • typen av hot,
  • den resulterande bedömningen och
  • hur din organisations enhetsgrupper konfigureras

Åtgärdsåtgärder kan ske automatiskt eller bara om godkännande har godkänts av organisationens team för säkerhetsåtgärder.

Här är några exempel:

  • Exempel 1: Fabrikams enhetsgrupper är inställda på Fullständiga – åtgärda hot automatiskt (den rekommenderade inställningen). I det här fallet vidtas åtgärder automatiskt för artefakter som anses vara skadliga efter en automatiserad undersökning (se Granska slutförda åtgärder).

  • Exempel 2: Contosos enheter ingår i en enhetsgrupp som är inställd på Semi – kräver godkännande för alla åtgärder. I det här fallet måste Contosos säkerhetsoperationsteam granska och godkänna alla åtgärder efter en automatiserad undersökning (se Granska väntande åtgärder).

  • Exempel 3: Tailspin Toys har sina enhetsgrupper inställda på Inget automatiskt svar (rekommenderas inte). I det här fallet förekommer inte automatiska undersökningar. Inga åtgärder vidtas eller väntar och inga åtgärder loggas i Åtgärdscenter för sina enheter (se Hantera enhetsgrupper).

Oavsett om en automatisk undersökning vidtas automatiskt eller efter godkännande kan en automatiserad undersökning resultera i en eller flera av åtgärderna:

  • Sätt en fil i karantän
  • Ta bort en registernyckel
  • "Kill a process"
  • Stoppa en tjänst
  • Inaktivera en drivrutin
  • Ta bort en schemalagd aktivitet

Granska väntande åtgärder

  1. Gå till Microsoft 365 Defender och logga in.
  2. Välj Åtgärdscenter i navigeringsfönstret.
  3. Granska objekten på fliken Väntande.
  4. Välj en åtgärd för att öppna det utfällade fönstret.
  5. Granska informationen i den utfällade fönsterrutan och gör sedan något av följande:
    • Välj Sidan Öppna undersökning om du vill visa mer information om undersökningen.
    • Välj Godkänn för att påbörja en väntande åtgärd.
    • Välj Avvisa för att förhindra att en väntande åtgärd vidtas.
    • Välj Sök för att gå till Avancerad sökning.

Granska slutförda åtgärder

  1. Gå till Microsoft 365 Defender och logga in.
  2. Välj Åtgärdscenter i navigeringsfönstret.
  3. Granska objekten på fliken Historik.
  4. Markera ett objekt om du vill visa mer information om åtgärdsåtgärden.

Ångra slutförda åtgärder

Om du har fastställt att en enhet eller en fil inte är ett hot kan du ångra åtgärder som har vidtagits, oavsett om dessa åtgärder har vidtagits automatiskt eller manuellt. På fliken Historik i Åtgärdscenter kan du ångra något av följande:



Åtgärdskälla Åtgärder som stöds
  • Automatiserad undersökning
  • Microsoft Defender Antivirus
  • Manuella svarsåtgärder
  • Identifiera enhet
  • Begränsa kodkörning
  • Sätt en fil i karantän
  • Ta bort en registernyckel
  • Stoppa en tjänst
  • Inaktivera en drivrutin
  • Ta bort en schemalagd aktivitet

Ångra flera åtgärder samtidigt

  1. Gå till Åtgärdscenter ( https://security.microsoft.com/action-center ) och logga in.
  2. Markera de åtgärder du vill ångra på fliken Historik. Se till att markera objekt som har samma åtgärdstyp. Ett utfällt fönster öppnas.
  3. Välj Ångra i den utfällade rutan.

Ta bort en fil från karantän på flera enheter

  1. Gå till Åtgärdscenter ( https://security.microsoft.com/action-center ) och logga in.
  2. På fliken Historik väljer du ett objekt som har karantänfilen Åtgärdstyp.
  3. Välj Använd på X fler instanser av den här filen i det utfällade fönstret och välj sedan Ångra.

Automatiseringsnivåer, automatiska undersökningsresultat och resulterande åtgärder

Automatiseringsnivåer påverkar om vissa åtgärder vidtas automatiskt eller bara vid godkännande. Ibland har säkerhetsoperationsteamet fler åtgärder att vidta, beroende på resultatet av en automatiserad undersökning. I följande tabell sammanfattas automationsnivåer, resultaten från automatiserade undersökningar och vad du ska göra i varje fall.



Enhetsgruppinställning Resultat från automatiserad undersökning Lämplig åtgärd
Full – åtgärda hot automatiskt (den rekommenderade inställningen) En bedömning av skadlig är uppnådd för ett bevis.

Lämpliga åtgärder vidtas automatiskt.

Granska slutförda åtgärder
Full – åtgärda hot automatiskt En bedömning av misstänkt resultat har uppnåtts om det finns bevis för det.

Åtgärdsåtgärder väntar på godkännande för att fortsätta.

Godkänna (eller avvisa) väntande åtgärder
Semi – kräv godkännande för åtgärd En bedömning av antingen Skadlig eller Misstänkt har nåtts som bevis.

Åtgärdsåtgärder väntar på godkännande för att fortsätta.

Godkänna (eller avvisa) väntande åtgärder
Semi – kräver godkännande för åtgärd av basmappar En bedömning av skadlig är uppnådd för ett bevis.

Om artefakten är en fil eller körbar och finns i en operativsystemkatalog, till exempel mappen Windows eller mappen Programfiler, väntar åtgärder på att godkännas.

Om artefakten inte finns i en katalog i operativsystemet vidtas åtgärder automatiskt.

  1. Godkänna (eller avvisa) väntande åtgärder
  2. Granska slutförda åtgärder
Semi – kräver godkännande för åtgärd av basmappar En bedömning av misstänkt resultat har uppnåtts om det finns bevis för det.

Åtgärdsåtgärder väntar på godkännande.

Godkänna (eller avvisa) väntande åtgärder.
Semi – kräver godkännande för åtgärder som inte är tillfälliga mappar En bedömning av skadlig är uppnådd för ett bevis.

Om artefakten är en fil eller körbar som inte finns i en tillfällig mapp, till exempel användarens mapp för nedladdningar eller tillfällig mapp, väntar åtgärder på att godkännas.

Om artefakten är en fil eller körbar som finns i en tillfällig mapp vidtas åtgärder automatiskt.

  1. Godkänna (eller avvisa) väntande åtgärder
  2. Granska slutförda åtgärder
Semi – kräver godkännande för åtgärder som inte är tillfälliga mappar En bedömning av misstänkt resultat har uppnåtts om det finns bevis för det.

Åtgärdsåtgärder väntar på godkännande.

Godkänna (eller avvisa) väntande åtgärder
Alla automationsnivåer med helt eller semi En bedömning av Inga hot hittades som bevis.

Inga åtgärdsåtgärder vidtas och inga åtgärder väntar på att godkännas.

Visa detaljer och resultat av automatiserade undersökningar
Inget automatiskt svar (rekommenderas inte) Ingen automatiserad undersökning körs, så inga bedömningar har uppnåtts och inga åtgärder vidtas eller väntar på godkännande. Överväg att konfigurera eller ändra enhetsgrupper så att fullständig eller semi-automation används

I Microsoft Defender för Endpoint spåras alla beslut i Åtgärdscenter.

Nästa steg

Se även