Vidta svarsåtgärder på en enhet

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Svara snabbt på identifierade attacker genom att isolera enheter eller samla in ett undersökningspaket. När du har vidtar åtgärder på enheter kan du kontrollera aktivitetsinformation i Åtgärdscenter.

Svarsåtgärder löper högst upp på en specifik enhet och omfattar:

  • Hantera taggar
  • Initiera automatisk undersökning
  • Starta Live Response-session
  • Samla in undersökningspaket
  • Kör antivirusgenomsökning
  • Begränsa körning av program
  • Identifiera enhet
  • Konsultera en hotexpert
  • Åtgärdscenter

Bild på svarsåtgärder.

Du hittar enhetssidor från någon av följande vyer:

  • Instrumentpanel för säkerhetsåtgärder – Välj ett enhetsnamn på enheterna på riskkortet.
  • Aviseringskö – Välj enhetsnamnet bredvid enhetsikonen i aviseringskön.
  • Listan Enheter – Välj rubriken för enhetsnamnet i listan över enheter.
  • Sökrutan – Välj enhet i den nedrullningsbara menyn och ange enhetsnamnet.

Viktigt

  • De här svarsåtgärderna är endast tillgängliga för enheter med Windows 10, version 1703 eller senare, Windows 11, Windows Server 2019 och Windows Server 2022.
  • För icke-Windows-plattformar är svarsfunktioner (till exempel enhetsisolering) beroende av tredjepartsfunktionerna.
  • För Microsofts agenter från första part går du till länken "mer information" under varje funktion för minimikraven för operativsystem.

Hantera taggar

Lägg till eller hantera taggar för att skapa en logisk grupp samarbete. Enhetstaggar stöder korrekt mappning av nätverket, så att du kan bifoga olika taggar för att fånga kontext och aktivera dynamiskt listskapande som en del av en incident.

Mer information om enhetstaggar finns i Skapa och hantera enhetstaggar.

Initiera automatisk undersökning

Du kan starta en ny, allmän, automatisk undersökning på enheten om det behövs. Medan en undersökning körs läggs alla andra aviseringar som genereras från enheten till i en pågående automatiserad undersökning tills undersökningen har slutförts. Om samma hot visas på andra enheter läggs dessa enheter dessutom till i undersökningen.

Mer information om automatiserade undersökningar finns i Översikt över automatiserade undersökningar.

Starta svarssession med live-svar

Live response är en funktion som ger dig omedelbar åtkomst till en enhet med hjälp av en anslutning för fjärrgränssnitt. Det ger dig möjlighet att göra djupgående arbete och vidta omedelbart åtgärder för att snabbt identifiera hot i realtid.

Med live-svar kan du förbättra undersökningar genom att samla in tekniska data, köra skript, skicka misstänkta enheter för analys, åtgärda hot och proaktivt leta efter nya hot.

Mer information om livesvar finns i Undersöka enheter på enheter som använder live-svar.

Samla in undersökningspaket från enheter

Som en del av undersökningen eller svarsprocessen kan du samla in ett undersökningspaket från en enhet. Genom att samla in undersökningspaketet kan du identifiera enhetens aktuella status och ytterligare förstå de verktyg och tekniker som används av attacken.

Viktigt

Dessa åtgärder stöds för närvarande inte för macOS och Linux. Använd live-svar för att köra åtgärden. Mer information om livesvar finns i Undersöka enheter på enheter med live-svar

Ladda ned paketet (Zip-filen) och undersök händelser som inträffade på en enhet

  1. Välj Samla in undersökningspaket från raden med svarsåtgärder högst upp på sidan enhet.
  2. Ange i textrutan varför du vill utföra den här åtgärden. Välj Bekräfta.
  3. ZIP-filen laddas ned

Alternativt sätt:

  1. Välj Åtgärdscenter i avsnittet svarsåtgärder på sidan Enhet.

    Bild på knappen åtgärdscenter.

  2. I åtgärdscenter väljer du Paketsamlingspaket som är tillgängligt för att ladda ned ZIP-filen.

    Bild av knappen för nedladdningspaket.

Paketet innehåller följande mappar:



Mapp Beskrivning
Autoruns Innehåller en uppsättning filer som var och en representerar innehållet i registret för en känd automatisk startpunkt (ASEP) för att identifiera attackers beständiga plats på enheten.

OBS! Om registernyckeln inte hittas innehåller filen följande meddelande: "FEL: Det gick inte att hitta den angivna registernyckeln eller värdet."
Installerade program Den .CSV filen innehåller en lista över installerade program som kan hjälpa dig att identifiera vad som är installerat på enheten. Mer information finns i Win32_Product klass.
Nätverksanslutningar Den här mappen innehåller en uppsättning datapunkter som är relaterade till anslutningsinformation och som kan hjälpa dig att identifiera anslutning till misstänkta URL:er, attackers infrastruktur för kommando och kontroll (C&C), alla förflyttningar eller fjärranslutningar.
  • ActiveNetConnections.txt: Visar protokollstatistik och aktuella TCP/IP-nätverksanslutningar. Ger möjlighet att leta efter misstänkta anslutningar som har gjorts av en process.
  • Arp.txt: Visar den aktuella ARP-cachetabellen (Address Resolution Protocol) för alla gränssnitt. ARP-cache kan visa andra värdar i ett nätverk som har komprometterats eller misstänkta system i nätverket som kan ha använts för att köra en intern attack.
  • DnsCache.txt: Visar innehållet i DNS-klientens resolvercache, som innehåller både poster som är förinstallerade från den lokala värdfilen och senast använda resursposter för namnfrågor som lösts av datorn. På så sätt kan du identifiera misstänkta anslutningar.
  • IpConfig.txt: Visar hela TCP/IP-konfigurationen för alla adaptrar. Adaptrar kan representera fysiska gränssnitt, till exempel installerade nätverkskort eller logiska gränssnitt, till exempel fjärranslutningar.
  • FirewallExecutionLog.txt och pfirewall.log

OBS! Filen pfirewall.log måste finnas i %windir%\system32\logfiles\firewall\pfirewall.log, så den inkluderas i undersökningspaketet. Mer information om hur du skapar brandväggsloggfilen finns i Konfigurera Windows Defender-brandväggen med avancerad säkerhetslogg
Prefetch-filer Windows prefetch-filer är utformade för att snabba upp processen vid programstart. Den kan användas för att spåra alla filer som nyligen använts i systemet och hitta spårningar för program som kan ha tagits bort men fortfarande finns i förfilslistan.
  • Prefetch-mapp: Innehåller en kopia av förmappsfilerna från %SystemRoot%\Prefetch. Obs! Du rekommenderas att ladda ned ett förinladdat filvisningsprogram för att visa förindejfilerna.
  • PrefetchFilesList.txt: Innehåller listan över alla kopierade filer som kan användas för att spåra om det har misslyckats med kopieringen av förmappen.
Processer Innehåller en .CSV med en lista över pågående processer och möjlighet att identifiera aktuella processer som körs på enheten. Det kan vara användbart när du identifierar en misstänkt process och dess status.
Schemalagda aktiviteter Innehåller en .CSV med en lista över schemalagda aktiviteter, som kan användas för att identifiera rutiner som utförs automatiskt på en vald enhet för att leta efter misstänkt kod som ställts in att köras automatiskt.
Säkerhetshändelselogg Innehåller säkerhetshändelseloggen, som innehåller poster med inloggnings- eller utloggningsaktivitet eller andra säkerhetsrelaterade händelser som anges av systemets granskningsprincip.

OBS! Öppna händelseloggfilen i loggboken.
Tjänster Innehåller en .CSV fil som visar tjänster och deras tillstånd.
Windows SMB-sessioner (Server Message Block) Här listas delad åtkomst till filer, skrivare och serieportar samt övrig kommunikation mellan noder i ett nätverk. Det kan hjälpa dig att identifiera exfiltrering eller rörelser.

Innehåller filer för SMBInboundSessions och SMBOutboundSession.

OBS! Om det inte finns några sessioner (inkommande eller utgående) visas en textfil där det står att det inte finns några SMB-sessioner hittades.
Systeminformation Innehåller en SystemInformation.txt som listar systeminformation, till exempel OS-version och nätverkskort.
Temp-kataloger Innehåller en uppsättning textfiler med en lista över de filer som finns i %Temp% för varje användare i systemet.

Det kan hjälpa dig att spåra misstänkta filer som en attackerare kan ha släppt i systemet.

OBS! Om filen innehåller följande meddelande: "Systemet kan inte hitta den angivna sökvägen", innebär det att det inte finns någon tillfällig katalog för den här användaren och kan också vara på att användaren inte loggade in i systemet.
Användare och grupper Innehåller en lista över filer som var och en representerar en grupp och dess medlemmar.
WdSupportLogs Ger MpCmdRunLog.txt och MPSupportFiles.cab

OBS! Den här mappen skapas bara Windows 10, version 1709 eller senare med samlad uppdatering i februari 2020 eller senare:
  • Win10 1709 (RS3) Version 16299.1717: KB4537816
  • Win10 1803 (RS4) Version 17134.1345: KB4537795
  • Win10 1809 (RS5) version 17763.1075: KB4537818
  • Win10 1903/1909 (19h1/19h2) version 18362.693 och 18363.693: KB4535996
CollectionSummaryReport.xls Den här filen är en sammanfattning av samlingen av undersökningspaket, den innehåller listan med datapunkter, kommandot som används för att extrahera data, körningsstatus och felkoden om det uppstår fel. Du kan använda den här rapporten för att spåra om paketet innehåller alla förväntade data och identifiera om det finns fel.

Kör Microsoft Defender Antivirus sökning på enheter

Som en del av undersökningen eller svarsprocessen kan du via fjärren starta en antivirussökning för att hjälpa till att identifiera och åtgärda skadlig programvara som kan finnas på en komprometterad enhet.

Viktigt

  • Den här åtgärden stöds för närvarande inte för macOS och Linux. Använd live-svar för att köra åtgärden. Mer information om livesvar finns i Undersöka enheter på enheter med live-svar
  • En Microsoft Defender Antivirus (Microsoft Defender AV) kan köras tillsammans med andra antivirusprogram, oavsett om Microsoft Defender AV är den aktiva antiviruslösningen eller inte. Microsoft Defender AV kan vara i passivt läge. Mer information finns i Microsoft Defender Antivirus kompatibilitet.

En som du har valt Kör antivirussökning, välj den skanningstyp som du vill köra (snabb eller fullständig) och lägg till en kommentar innan du bekräftar skanningen.

Bild av meddelande för att välja snabbsökning eller fullständig genomsökning och lägga till kommentar.

Åtgärdscenter kommer att visa genomsökningsinformationen och enhetens tidslinje kommer att innehålla en ny händelse, vilket återspeglar att en genomsökningsåtgärd har skickats in på enheten. Microsoft Defender AV-aviseringar visar alla identifieringar som upptäckts under genomsökningen.

Anteckning

När en genomsökning utlöses med Defender för slutpunktssvarsåtgärd gäller fortfarande värdet ScanAvgCPULoadFactor för Microsoft Defender antivirus (GenomsökningAvgCPULoadFactor) och begränsar genomsökningens CPU-påverkan.

Om ScanAvgCPULoadFactor inte har konfigurerats är standardvärdet en gräns på 50 % maximal CPU-belastning vid en genomsökning.

Mer information finns i configure-advanced-scan-types-microsoft-defender-antivirus.

Begränsa körning av program

Förutom att stoppa skadliga processer som innehåller en attack kan du låsa en enhet och förhindra att efterföljande försök till potentiellt skadliga program körs.

Viktigt

  • Den här åtgärden är tillgänglig för enheter Windows 10, version 1709 eller senare, Windows 11 och Windows Server 2016.
  • Den här funktionen är tillgänglig om din organisation använder Microsoft Defender Antivirus.
  • Den här åtgärden måste uppfylla Windows Defender programkontrollens policyformat för kodintegritet och signeringskrav. Mer information finns i Format för kodintegritetsprincip och signering).

För att hindra ett program från att köras tillämpas en kodintegritetsprincip som bara tillåter att filer körs om de är signerade av ett certifikat utfärdat av Microsoft. Den här begränsningsmetoden kan förhindra att en attack kontrollerar komprometterade enheter och utför ytterligare skadliga aktiviteter.

Anteckning

Du kan när som helst ångra begränsningen av program från att köras. Knappen på sidan enhet ändras till Ta bort appbegränsningar och du gör sedan samma steg som när du begränsar programkörningen.

När du har valt Begränsa appkörning på sidan Enhet skriver du en kommentar och väljer Bekräfta. Åtgärdscenter visar genomsökningsinformationen och enhetens tidslinje kommer att innehålla en ny händelse.

Bild av avisering om appbegränsning.

Meddelande på enhetsanvändare

När en app är begränsad visas följande meddelande för att informera användaren om att en app är begränsad från att köras:

Bild av appbegränsning.

Anteckning

Meddelandet är inte tillgängligt på Windows Server 2016 och Windows Server 2012 R2.

Isolera enheter från nätverket

Beroende på hur allvarlig attacken är och enhetens känslighet kan du behöva isolera enheten från nätverket. Den här åtgärden kan förhindra att attackeraren kontrollerar den komprometterade enheten och utför ytterligare aktiviteter, t.ex. att föra in data och röra sig fritt.

Viktigt

  • Den här åtgärden stöds för närvarande inte för macOS och Linux. Använd live-svar för att köra åtgärden. Mer information om livesvar finns i Undersöka enheter på enheter med live-svar
  • Fullständig avgränsning är tillgängligt för enheter med Windows 10, version 1703, Windows 11, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 och Windows Server 2022.
  • Selektiv avgränsning är tillgängligt för enheter Windows 10, version 1709 eller senare och Windows 11.
  • När en enhet isoleras tillåts bara vissa processer och destinationer. Därför kan inte enheter som ligger bakom en fullständig VPN-tunnel nå Microsoft Defender för Slutpunkt-molntjänsten efter att enheten isolerats. Vi rekommenderar att du använder ett VPN för delade tunnlar för Microsoft Defender för Endpoint Microsoft Defender Antivirus att använda molnbaserade skyddsrelaterade trafik.

Den här enhetsisolering kopplar bort den komprometterade enheten från nätverket samtidigt som anslutningen till Defender för slutpunktstjänsten bibehålls, som fortsätter att övervaka enheten.

I Windows 10 version 1709 eller senare har du större kontroll över nätverkisolering. Du kan också välja att Outlook, Microsoft Teams och Skype för företag (kallas även selektiv avgränsning).

Anteckning

Du kan när som helst återansluta enheten till nätverket. Knappen på sidan enhet ändras till Släpp från avgränsning och sedan gör du på samma sätt som när du isolerar enheten.

När du har valt Identifiera enhet på enhetens sida skriver du en kommentar och väljer Bekräfta. Åtgärdscenter visar genomsökningsinformationen och enhetens tidslinje kommer att innehålla en ny händelse.

Bild av identifierad enhet.

Anteckning

Enheten förblir ansluten till Defender för slutpunktstjänsten även om den är isolerad från nätverket. Om du har valt att aktivera Outlook och Skype för företag kommunikation kommer du att kunna kommunicera till användaren medan enheten isoleras.

Meddelande på enhetsanvändare

När en enhet isoleras visas följande meddelande för att informera användaren om att enheten isoleras från nätverket:

Bild av ingen nätverksanslutning.

Konsultera en hotexpert

Du kan kontakta en Microsoft-expert för att få mer information om en potentiellt komprometterad enhet eller redan komprometterade enheter. Microsoft Hotexperter kan vara direkt engagerade i mötet via Microsoft 365 Defender för att få korrekta och korrekta svar. Experter ger insikter inte bara om en potentiellt komprometterad enhet, utan även för att bättre förstå komplexa hot, riktade attackmeddelanden som du får eller om du behöver mer information om aviseringar eller ett informationssammanhang för hot som visas på din portalinstrumentpanel.

Mer information finns i Kontakta en Microsoft Threat Expert .

Kontrollera aktivitetsinformation i Åtgärdscenter

I Åtgärdscenter finns information om åtgärder som har vidtagits på en enhet eller fil. Du kommer då att kunna se följande information:

  • Samling av undersökningspaket
  • Antivirussökning
  • Appbegränsning
  • Enhetsisolering

All annan relaterad information visas också, till exempel datum/tid för inskickning, skickande användare och om åtgärden lyckades eller misslyckades.

Bild på åtgärdscenter med information.

Se även