Åtgärdscentret
Gäller för:
- Microsoft Defender XDR
Åtgärdscentret tillhandahåller en "enda fönsterruta" för incident- och aviseringsuppgifter som:
- Godkänna väntande reparationsåtgärder.
- Visa en granskningslogg med redan godkända reparationsåtgärder.
- Granska slutförda reparationsåtgärder.
Eftersom Åtgärdscenter ger en omfattande vy över Microsoft Defender XDR på jobbet kan ditt säkerhetsteam arbeta mer effektivt och effektivt.
Det enhetliga åtgärdscentret
Det enhetliga åtgärdscentret (https://security.microsoft.com/action-center) visar väntande och slutförda reparationsåtgärder för dina enheter, e-post & samarbetsinnehåll och identiteter på en plats.
Till exempel:
- Om du använde Åtgärdscenter i Microsoft Defender Säkerhetscenter (https://securitycenter.windows.com/action-center) kan du prova det enhetliga åtgärdscentret i Microsoft Defender-portalen.
- Om du redan använder Microsoft Defender-portalen visas flera förbättringar i Åtgärdscenter (https://security.microsoft.com/action-center).
Det enhetliga åtgärdscentret samlar reparationsåtgärder i Defender för Endpoint och Defender för Office 365. Det definierar ett gemensamt språk för alla reparationsåtgärder och ger en enhetlig undersökningsupplevelse. Ditt säkerhetsteam har en "enda fönsterruta" för att visa och hantera reparationsåtgärder.
Du kan använda det enhetliga åtgärdscentret om du har rätt behörigheter och en eller flera av följande prenumerationer:
- Defender för Endpoint
- [Defender för Office 365]/defender-office-365/mdo-about
- Microsoft Defender XDR
Tips
Mer information finns i Krav.
Du kan navigera till listan över åtgärder som väntar på godkännande på två olika sätt:
- Gå till https://security.microsoft.com/action-center; eller
- I Microsoft Defender-portalen (https://security.microsoft.com) går du till svarskortet Automatiserad undersökning & och väljer Godkänn i Åtgärdscenter.
Använda Åtgärdscenter
Gå till Microsoft Defender-portalen och logga in.
I navigeringsfönstret under Åtgärder och inlämningar väljer du Åtgärdscenter. Du kan också välja Godkänn i Åtgärdscenter i svarskortet Automatiserad undersökning &.
Använd flikarna Väntande åtgärder och historik . I följande tabell sammanfattas det du ser på varje flik:
Tabb Beskrivning Väntande Visar en lista över åtgärder som kräver uppmärksamhet. Du kan godkänna eller avvisa åtgärder en i taget, eller välja flera åtgärder om de har samma typ av åtgärd (till exempel Karantänfil).
Se till att granska och godkänna (eller avvisa) väntande åtgärder så snart som möjligt så att dina automatiserade undersökningar kan slutföras i tid.Historik Fungerar som en granskningslogg för åtgärder som har vidtagits, till exempel:
– Åtgärder som har vidtagits till följd av automatiserade undersökningar
– Åtgärder som har vidtagits för misstänkta eller skadliga e-postmeddelanden, filer eller URL:er
– Åtgärdsåtgärder som har godkänts av ditt säkerhetsåtgärdsteam
- Kommandon som kördes och reparationsåtgärder som tillämpades under livesvarssessioner
– Åtgärder som har vidtagits av ditt antivirusskydd
Ger ett sätt att ångra vissa åtgärder (se Ångra slutförda åtgärder).Du kan anpassa, sortera, filtrera och exportera data i Åtgärdscenter.
- Välj en kolumnrubrik för att sortera objekt i stigande eller fallande ordning.
- Använd tidsintervallfiltret för att visa data för de senaste dagarna, veckan, 30 dagarna eller 6 månaderna.
- Välj de kolumner som du vill visa.
- Ange hur många objekt som ska inkluderas på varje datasida.
- Använd filter för att visa bara de objekt som du vill se.
- Välj Exportera för att exportera resultat till en .csv fil.
Åtgärder som spåras i Åtgärdscenter
Alla åtgärder, oavsett om de väntar på godkännande eller redan har vidtagits, spåras i Åtgärdscenter. Tillgängliga åtgärder omfattar följande:
- Samla in undersökningspaket
- Isolera enhet (den här åtgärden kan ångras)
- Avregistrera maskin
- Versionskodkörning
- Frisläpp från karantän
- Exempel på begäran
- Begränsa kodkörning (den här åtgärden kan ångras)
- Kör antivirusgenomsökning
- Stoppa och placera i karantän
- Innehålla enheter från nätverket
Förutom åtgärder som vidtas automatiskt till följd av automatiserade undersökningar spårar Åtgärdscenter även åtgärder som ditt säkerhetsteam har vidtagit för att åtgärda identifierade hot och åtgärder som har vidtagits till följd av hotskyddsfunktioner i Microsoft Defender XDR. Mer information om automatiska och manuella åtgärder finns i Reparationsåtgärder.
Visa information om åtgärdskällan
(NY!) Det förbättrade åtgärdscentret innehåller nu en kolumn för åtgärdskälla som anger var varje åtgärd kommer ifrån. I följande tabell beskrivs möjliga värden för åtgärdskälla :
Värde för åtgärdskälla | Beskrivning |
---|---|
Manuell enhetsåtgärd | En manuell åtgärd som vidtas på en enhet. Exempel är enhetsisolering eller filkarantän. |
Manuell e-poståtgärd | En manuell åtgärd som vidtas via e-post. Ett exempel omfattar mjuk borttagning av e-postmeddelanden eller reparation av ett e-postmeddelande. |
Automatiserad enhetsåtgärd | En automatiserad åtgärd som vidtas på en entitet, till exempel en fil eller process. Exempel på automatiserade åtgärder är att skicka en fil i karantän, stoppa en process och ta bort en registernyckel. (Se Reparationsåtgärder i Microsoft Defender för Endpoint.) |
Automatisk e-poståtgärd | En automatiserad åtgärd som vidtas för e-postinnehåll, till exempel ett e-postmeddelande, en bifogad fil eller en URL. Exempel på automatiserade åtgärder är mjuk borttagning av e-postmeddelanden, blockering av URL:er och avstängning av extern vidarebefordran av e-post. (Se Reparationsåtgärder i Microsoft Defender för Office 365.) |
Avancerad jaktåtgärd | Åtgärder som vidtas på enheter eller e-post med avancerad jakt. |
Explorer-åtgärd | Åtgärder som vidtas för e-postinnehåll med Explorer. |
Manuell direktsvarsåtgärd | Åtgärder som vidtas på en enhet med livesvar. Exempel är att ta bort en fil, stoppa en process och ta bort en schemalagd aktivitet. |
Åtgärd för livesvar | Åtgärder som vidtas på en enhet med Microsoft Defender för Endpoint-API:er. Exempel på åtgärder är att isolera en enhet, köra en antivirusgenomsökning och hämta information om en fil. |
Behörigheter som krävs för Åtgärdscenter-uppgifter
Om du vill utföra uppgifter, till exempel att godkänna eller avvisa väntande åtgärder i åtgärdscentret, måste du ha behörigheter som anges i följande tabell:
Åtgärd för reparation | Nödvändiga roller och behörigheter |
---|---|
Microsoft Defender för Endpoint reparation (enheter) | Rollen säkerhetsadministratör tilldelad i antingen Microsoft Entra ID (https://portal.azure.com) eller Administrationscenter för Microsoft 365 (https://admin.microsoft.com) ---Eller--- Roll för aktiva reparationsåtgärder som tilldelats i Microsoft Defender för Endpoint Mer information finns i följande resurser: - Microsoft Entra inbyggda roller - Skapa och hantera roller för rollbaserad åtkomstkontroll (Microsoft Defender för Endpoint) |
Microsoft Defender för Office 365 reparation (Office-innehåll och e-post) | Rollen säkerhetsadministratör tilldelad i antingen Microsoft Entra ID (https://portal.azure.com) eller Administrationscenter för Microsoft 365 (https://admin.microsoft.com) ---Och--- Search- och rensningsrollen som tilldelats i samarbetsrollerna Microsoft Defender XDR Email &> VIKTIGT! Om du bara har rollen Säkerhetsadministratör tilldelad i Microsoft Defender XDR Email & >samarbetsroller kommer du inte att kunna komma åt funktionerna i Åtgärdscenter eller Microsoft Defender XDR. Du måste ha rollen Säkerhetsadministratör tilldelad i Microsoft Entra ID eller Administrationscenter för Microsoft 365. Mer information finns i följande resurser: - Microsoft Entra inbyggda roller - Behörigheter i Säkerhets- & Efterlevnadscenter |
Tips
Användare som har tilldelats rollen Global administratör i Microsoft Entra ID kan godkänna eller avvisa väntande åtgärder i Åtgärdscenter. Men som bästa praxis bör din organisation begränsa antalet personer som har tilldelats rollen Global administratör . Vi rekommenderar att du använder säkerhetsadministratören, aktiva reparationsåtgärder och Search- och rensningsrollerna som anges i föregående tabell för Behörigheter för Åtgärdscenter.
Nästa steg
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för