Åtgärdsåtgärder i Microsoft 365 Defender

Viktigt

Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.

Gäller för:

  • Microsoft 365 Defender

Under och efter en automatiserad undersökning i Microsoft 365 Defender identifieras åtgärdsåtgärder för skadliga eller misstänkta objekt. Vissa typer av åtgärdsåtgärder vidtas på enheter, även kallade slutpunkter. Andra åtgärder vidtas på e-postinnehåll. Automatiserade undersökningar slutförs efter att åtgärder har vidtagits, godkänts eller avvisats.

Viktigt

Om åtgärder vidtas automatiskt eller bara på godkännande beror på vissa inställningar, till exempel hur automatiseringsnivåer används. Mer information finns i följande artiklar:

I följande tabell sammanfattas de åtgärder som stöds för närvarande i Microsoft 365 Defender.

Åtgärdsåtgärder för enhet (slutpunkt) Åtgärder för e-postreparation
- Paket för insamling av undersökning
- Isolera enhet (den här åtgärden kan ångras)
- Offboard-dator
- Körning av släppkod
- Släpp från karantän
- Exempel på förfrågan
– Begränsa körning av kod (den här åtgärden kan ångras)
- Kör antivirussökning
- Stopp och karantän
- Blockera URL (tid för klickning)
- Mjuk borttagning av e-postmeddelanden eller kluster
- Sätt e-post i karantän
– sätt i karantän för en e-postbilaga
- Inaktivera vidarebefordran av extern e-post

Åtgärdsåtgärder, oavsett om de väntar på godkännande eller redan har slutförts, kan visas i Åtgärdscenter.

Åtgärdsåtgärder som följer automatiska undersökningar

När en automatiserad undersökning har slutförts nås en bedömning för alla bevis som ingår. Beroende på omdömet identifieras åtgärdsåtgärder. I vissa fall vidtas åtgärder automatiskt. i andra fall väntar åtgärder på godkännande. Det beror på hur automatisk undersökning och svar har konfigurerats.

I följande tabell visas möjliga bedömningar och resultat:

Bedömning Enheter som påverkas Resultat
Skadlig Enheter (slutpunkter) Åtgärdsåtgärder vidtas automatiskt (under förutsättning att din organisations enhetsgrupper är inställda på Fullständiga - åtgärda hot automatiskt)
Skadlig E-postinnehåll (URL:er eller bifogade filer) Rekommenderade åtgärdsåtgärder väntar på godkännande
Misstänkt Enheter eller e-postinnehåll Rekommenderade åtgärdsåtgärder väntar på godkännande
Inga hot hittades Enheter eller e-postinnehåll Inga åtgärder krävs

Åtgärder som vidtas manuellt

Förutom åtgärder som följer på automatiska undersökningar kan säkerhetsoperationsteamet vidta vissa åtgärder manuellt. Det kan till exempel vara:

  • Manuell enhetsåtgärd, till exempel enhetsisolering eller karantänen för filer
  • Manuell e-poståtgärd, till exempel mjuk borttagning av e-postmeddelanden
  • Avancerad sökåtgärd på enheter eller e-post
  • Åtgärden i Utforskaren för e-postinnehåll, t.ex. flytta e-post till skräppost, mjuk borttagning av e-post eller borttagning av e-post
  • Manuell svarsåtgärd, till exempel ta bort en fil, stoppa en process och ta bort en schemalagd aktivitet
  • Live-svarsåtgärd med Microsoft Defender för slutpunktS-API:er,t.ex. isolera en enhet, köra en antivirussökning och hämta information om en fil

Nästa steg