Vidta åtgärder för avancerade frågeresultat för sökning
Viktigt
Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.
Gäller för:
- Microsoft 365 Defender
- Microsoft Defender för Endpoint
Viktigt
En del information gäller förinstallerad produkt som kan ha ändrats mycket innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.
Du kan snabbt innehålla hot eller adresser komprometterade tillgångar som du hittar i avancerad sökning med hjälp av kraftfulla och omfattande åtgärdsalternativ. Med de här alternativen kan du:
- Vidta olika åtgärder på enheter
- Sätt filer i karantän
Behörighet som krävs
Om du vill vidta åtgärder under avancerad sökning behöver du en roll i Microsoft Defender för Endpoint med behörighet att skicka åtgärder för enheter. Om du inte kan vidta någon åtgärd kontaktar du en global administratör för att få följande behörighet:
Aktiva åtgärdsåtgärder > hot och hantering av säkerhetsrisker – åtgärdshantering
Vidta olika åtgärder på enheter
Du kan vidta följande åtgärder på enheter som identifieras av DeviceId kolumnen i frågeresultatet:
- Isolera påverkade enheter för att isolera en smitta eller förhindra attacker från att röra sig fritt
- Samla in undersökningspaket för att få mer teknisk information
- Kör en antivirussökning för att hitta och ta bort hot med de senaste säkerhetsintelligensuppdateringarna
- Initiera en automatiserad undersökning för att kontrollera och åtgärda hot på enheten och eventuellt andra enheter som påverkas
- Begränsa programkörningen till endast Microsoft-signerade körbara filer, förhindra efterföljande aktivitet med hot genom skadlig programvara eller andra körbara filer som inte är betrodda
Mer information om hur de här svarsåtgärderna utförs via Microsoft Defender för Slutpunkt finns i om svarsåtgärder på enheter.
Sätt filer i karantän
Du kan distribuera karantänåtgärden på filer så att de automatiskt sätts i karantän när de påträffas. När du väljer den här åtgärden kan du välja mellan följande kolumner för att identifiera vilka filer i frågan som ska sätts i karantän:
SHA1— I de flesta avancerade tabeller för sökning är det SHA-1 i filen som påverkades av den inspelade åtgärden. Om en fil till exempel kopierades är det den kopierade filen.InitiatingProcessSHA1— I de flesta avancerade söktabeller är det här filen som ansvarar för att initiera den registrerade åtgärden. Om till exempel en underordnad process startades skulle det här vara den överordnade processen.SHA256— Det här är SHA-256-motsvarigheten till filen som identifieras avSHA1kolumnen.InitiatingProcessSHA256— Det här är SHA-256-motsvarigheten till filen som identifieras avInitiatingProcessSHA1kolumnen.
Mer information om hur åtgärder i karantän vidtas och hur filer kan återställas finns i svarsåtgärder på filer.
Anteckning
För att hitta filer och sätta dem i karantän bör frågeresultatet även DeviceId innehålla värden som enhetsidentifierare.
Vidta åtgärder
Om du vill utföra någon av de åtgärder som beskrivs markerar du en eller flera poster i frågeresultatet och väljer sedan Vidta åtgärder. En guide vägleder dig genom processen med att välja och sedan skicka dina föredragna åtgärder.

Granska åtgärder som har vidtagits
Varje åtgärd registreras individuellt i åtgärdscenter under Historik för > åtgärdscenter (security.microsoft.com/action-center/history). Gå till åtgärdscenter för att kontrollera status för varje åtgärd.
Anteckning
Vissa tabeller i den här artikeln kanske inte är tillgängliga i Microsoft Defender för Endpoint. Aktivera Microsoft 365 Defender för att leta efter hot med hjälp av fler datakällor. Du kan flytta dina avancerade arbetsflöden för sökning från Microsoft Defender för Endpoint till Microsoft 365 Defender genom att följa stegen i Migrera avancerade sökfrågor från Microsoft Defender för Slutpunkt.