Åtgärdscentret
Viktigt
Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.
Gäller för:
- Microsoft 365 Defender
Åtgärdscenter ger en "enda fönsterruta" för incidenter och aviseringsuppgifter som:
- Godkänna väntande åtgärder.
- Visa en granskningslogg över redan godkända åtgärdsåtgärder.
- Granska slutförda åtgärder.
Eftersom Åtgärdscenter ger en omfattande vy av Microsoft 365 Defender på jobbet kan ditt team för säkerhetsåtgärder fungera effektivare och effektivare.
Det enhetliga åtgärdscentret
I det enhetliga åtgärdscentret () visas väntande och slutförda åtgärdsåtgärder för dina enheter, e-& och samarbetsinnehåll och https://security.microsoft.com/action-center identiteter på en och samma plats.
Till exempel:
- Om du tidigare har använt säkerhets- Office 365 säkerhets- & ( ) kan du prova det enhetliga https://protection.office.com åtgärdscentret i Microsoft 365 Defender portalen https://security.microsoft.com/action-center ().
- Om du använder Åtgärdscenter i Microsoft Defender Säkerhetscenter () kan du prova det enhetliga https://securitycenter.windows.com/action-center åtgärdscentret i Microsoft 365 Defender https://security.microsoft.com/action-center ().
- Om du redan använder Microsoft 365 Defender https://security.microsoft.com () ser du flera förbättringar i Åtgärdscenter ( https://security.microsoft.com/action-center ).
I det enhetliga åtgärdscentret samlas åtgärdsåtgärder i Defender för Endpoint och Defender för Office 365. Den definierar ett gemensamt språk för alla åtgärder och ger en enhetlig undersökningsupplevelse. Ditt säkerhetsteam har en "enda fönsterruta av glas" för att visa och hantera åtgärder.
Du kan använda det enhetliga åtgärdscentret om du har rätt behörigheter och en eller flera av följande prenumerationer:
Tips
Mer information finns i Krav.
Använda Åtgärdscenter
- Gå till https://security.microsoft.com och logga in.
- Välj Åtgärdscenter i navigeringsfönstret.
När du besöker Åtgärdscenter visas två flikar: Väntande åtgärder och Historik. I följande tabell sammanfattas det du ser på varje flik:
| Tabb | Beskrivning |
|---|---|
| Väntande | Visar en lista över åtgärder som kräver uppmärksamhet. Du kan godkänna eller avvisa åtgärder en i taget eller markera flera åtgärder om de har samma typ av åtgärd (till exempel karantänfil). TIPS: Se till att granska och godkänna (eller avvisa) väntande åtgärder så snart som möjligt så att automatiserade undersökningar kan slutföras i tid. |
| Historik | Fungerar som en granskningslogg för åtgärder som har vidtagits, till exempel: - Åtgärdsåtgärder som har vidtagits genom automatiska undersökningar – Åtgärdsåtgärder som har vidtagits för misstänkta eller skadliga e-postmeddelanden, filer eller URL-adresser - Åtgärdsåtgärder som har godkänts av teamet för säkerhetsåtgärder - Kommandon som körts och åtgärdsåtgärder som tillämpats under Live Response-sessioner - Åtgärdsåtgärder som har vidtagits av ditt antivirusprogram Gör det enkelt att ångra vissa åtgärder (se Ångra slutförda åtgärder). |
Du kan anpassa, sortera, filtrera och exportera data i Åtgärdscenter.
- Välj en kolumnrubrik om du vill sortera posterna i stigande eller fallande ordning.
- Använd filtret för tidsperiod för att visa data för den senaste dagen, veckan, 30 dagar eller 6 månader.
- Välj de kolumner som du vill visa.
- Ange hur många objekt som ska ingå på varje sida med data.
- Använd filter för att visa endast de objekt som du vill se.
- Välj Exportera om du vill exportera resultaten till en .csv fil.
Åtgärder spårade i Åtgärdscenter
Alla åtgärder, oavsett om de väntar på godkännande eller redan har vidtagits, spåras i Åtgärdscenter. Bland de tillgängliga åtgärderna finns följande:
- Samla in undersökningspaket
- Isolera enhet (den här åtgärden kan ångras)
- Avregistrera maskin
- Körning av släppkod
- Släpp från karantän
- Exempel på förfrågan
- Begränsa körning av kod (den här åtgärden kan ångras)
- Kör antivirusgenomsökning
- Stoppa och sätta i karantän
Förutom åtgärder som vidtas automatiskt som ett resultat av automatiska undersökningar följer åtgärdscentret även åtgärder som säkerhetsgruppen har vidtagit för att hantera identifierade hot och åtgärder som har vidtagits som ett resultat av skyddsfunktioner för hot i Microsoft 365 Defender. Mer information om automatiska och manuella åtgärdsåtgärder finns i Åtgärder.
Visa information om åtgärdskälla
(NYTT!) Det förbättrade åtgärdscentret innehåller nu kolumnen Åtgärdskälla som visar var varje åtgärd kom från. I följande tabell beskrivs möjliga värden i åtgärdskällor:
| Värdet för åtgärdskälla | Beskrivning |
|---|---|
| Manuell enhetsåtgärd | En manuell åtgärd som vidtas på en enhet. Exempel är enhetsisolering eller karantänen för filer. |
| Manuell e-poståtgärd | En manuell åtgärd för e-post. Ett exempel omfattar mjuk borttagning av e-postmeddelanden eller åtgärdar ett e-postmeddelande. |
| Automatiserad enhetsåtgärd | En automatiserad åtgärd som vidtas på en enhet, till exempel en fil eller en process. Exempel på automatiserade åtgärder är att skicka en fil till karantän, stoppa en process och ta bort en registernyckel. (Se Åtgärder för åtgärder i Microsoft Defender för Slutpunkt.) |
| Automatiserad e-poståtgärd | En automatiserad åtgärd för e-postinnehåll, till exempel ett e-postmeddelande, en bifogad fil eller en URL. Exempel på automatiserade åtgärder är mjuk borttagning av e-postmeddelanden, blockering av URL-adresser och inaktiverar vidarebefordran av extern e-post. (Se Åtgärder för åtgärder i Microsoft Defender för Office 365.) |
| Avancerad sökåtgärd | Åtgärder som vidtas på enheter eller e-post med avancerad sökning. |
| Åtgärden Utforskaren | Åtgärder som vidtas på e-postinnehåll med Utforskaren. |
| Manuell svarsåtgärd | Åtgärder som vidtas på en enhet med live-svar. Några exempel är att ta bort en fil, stoppa en process och ta bort en schemalagd aktivitet. |
| Live response-åtgärd | Åtgärder som vidtas på en enhet med Microsoft Defender för slutpunkts-API:er. Exempel på åtgärder är att isolera en enhet, köra en antivirussökning och hämta information om en fil. |
Behörighet som krävs för uppgifter i Åtgärdscenter
Om du vill utföra uppgifter, till exempel godkänna eller avvisa väntande åtgärder i Åtgärdscenter, måste du ha tilldelats behörigheter enligt följande tabell:
| Åtgärdsåtgärd | Roller och behörigheter som krävs |
|---|---|
| Microsoft Defender för åtgärd av slutpunkt (enheter) | Säkerhetsadministratörsroll som tilldelats i antingen Azure Active Directory (Azure AD) ( https://portal.azure.com ) eller Administrationscenter för Microsoft 365 ( https://admin.microsoft.com ) --- eller --- Rollen Aktiva åtgärdsåtgärder tilldelad i Microsoft Defender för Slutpunkt Mer information finns i följande resurser: - Inbyggda Azure AD-roller - Skapa och hantera roller för rollbaserad åtkomstkontroll (Microsoft Defender för slutpunkt) |
| Microsoft Defender för Office 365 (för Office och e-post) | Säkerhetsadministratörsroll som tilldelats i antingen Azure AD ( https://portal.azure.com ) eller Administrationscenter för Microsoft 365 ( https://admin.microsoft.com ) --- och --- Rollen Sök och rensning i Säkerhets- och & https://protection.office.com () VIKTIGT: Om du bara har tilldelats rollen säkerhetsadministratör i kompatibilitetscentret för Office 365 & ( ) kan du inte komma åt Åtgärdscenter https://protection.office.com Microsoft 365 Defender säkerhetsfunktionerna. Du måste ha rollen Säkerhetsadministratör tilldelad i Azure AD eller Administrationscenter för Microsoft 365. Mer information finns i följande resurser: - Inbyggda Azure AD-roller - Behörigheter i Säkerhets- & Efterlevnadscenter |
Tips
Användare som har rollen Global administratör tilldelad i Azure AD kan godkänna eller avvisa eventuella väntande åtgärder i Åtgärdscenter. Men det bästa är att organisationen bör begränsa antalet personer som har tilldelats rollen global administratör. Vi rekommenderar att du använder rollerna Säkerhetsadministratör, Aktiva åtgärder och Sök och rensning som visas i föregående tabell för behörigheter i Åtgärdscenter.