İşlem merkezi
Şunlar için geçerlidir:
- Microsoft Defender XDR
İşlem merkezi, olay ve uyarı görevleri için aşağıdakiler gibi "tek bir cam bölmesi" deneyimi sağlar:
- Bekleyen düzeltme eylemlerini onaylama.
- Zaten onaylanmış düzeltme eylemlerinin denetim günlüğünü görüntüleme.
- Tamamlanan düzeltme eylemleri gözden geçirilir.
İşlem merkezi, iş yerindeki Microsoft Defender XDR kapsamlı bir görünüm sağladığından, güvenlik operasyonları ekibiniz daha etkin ve verimli bir şekilde çalışabilir.
Birleşik İşlem merkezi
Birleşik İşlem merkezi (https://security.microsoft.com/action-center) cihazlarınız için bekleyen ve tamamlanan düzeltme eylemlerini, e-posta & işbirliği içeriğini ve kimlikleri tek bir konumda listeler.
Örneğin:
- Microsoft Defender Güvenlik Merkezi()https://securitycenter.windows.com/action-center içinde İşlem merkezini kullanıyorsanız, Microsoft Defender portalında birleşik İşlem merkezini deneyin.
- zaten Microsoft Defender portalını kullanıyorsanız İşlem merkezinde (https://security.microsoft.com/action-center) çeşitli geliştirmeler görürsünüz.
Birleşik İşlem merkezi, Uç Nokta için Microsoft Defender ve Office 365 için Microsoft Defender genelinde düzeltme eylemlerini bir araya getirir. Tüm düzeltme eylemleri için ortak bir dil tanımlar ve birleşik bir araştırma deneyimi sağlar. Güvenlik operasyonları ekibinizin düzeltme eylemlerini görüntülemek ve yönetmek için "tek bir cam bölmesi" deneyimi vardır.
Uygun izinlere ve aşağıdaki aboneliklerden birine veya daha fazlasına sahipseniz birleşik İşlem merkezini kullanabilirsiniz:
İpucu
Daha fazla bilgi için bkz . Gereksinimler.
Onay bekleyen eylemler listesine iki farklı yolla gidebilirsiniz:
- https://security.microsoft.com/action-centeradresine gidin veya
- Microsoft Defender portalında (https://security.microsoft.com), Otomatik araştırma & yanıt kartında İşlem Merkezi'nde Onayla'yı seçin.
İşlem merkezini kullanma
Microsoft Defender portalına gidin ve oturum açın.
Gezinti bölmesinde, Eylemler ve gönderimler'in altında İşlem merkezi'ni seçin. Alternatif olarak, Otomatik araştırma & yanıt kartında İşlem Merkezi'nde Onayla'yı seçin.
Bekleyen eylemler ve Geçmiş sekmelerini kullanın. Aşağıdaki tabloda, her sekmede görecekleri özetlemektedir:
Sekme Açıklama Bekleyen Dikkat gerektiren eylemlerin listesini görüntüler. Eylemleri birer birer onaylayabilir veya reddedebilir ya da aynı eylem türüne sahipse (Karantina dosyası gibi) birden çok eylem seçebilirsiniz.
Otomatik araştırmalarınızın zamanında tamamlayabilmesi için bekleyen eylemleri en kısa sürede gözden geçirip onayladığınızdan (veya reddettiğinizden) emin olun.Geçmiş Aşağıdakiler gibi gerçekleştirilen eylemler için bir denetim günlüğü görevi görür: - >Otomatik araştırmalar sonucunda gerçekleştirilen düzeltme eylemleri
- Şüpheli veya kötü amaçlı e-posta iletilerinde, dosyalarda veya URL'lerde gerçekleştirilen düzeltme eylemleri
- Güvenlik operasyonları ekibiniz tarafından onaylanan düzeltme eylemleri
- Canlı Yanıt oturumları sırasında uygulanan çalıştırılan komutlar ve düzeltme eylemleri
- Virüsten korumanız tarafından gerçekleştirilen düzeltme eylemleri
Belirli eylemleri geri almak için bir yol sağlar (bkz. Tamamlanan eylemleri geri alma).İşlem merkezinde verileri özelleştirebilir, sıralayabilir, filtreleyebilir ve dışarı aktarabilirsiniz.
- Öğeleri artan veya azalan düzende sıralamak için bir sütun başlığı seçin.
- Geçen gün, hafta, 30 gün veya 6 aya ait verileri görüntülemek için zaman aralığı filtresini kullanın.
- Görüntülemek istediğiniz sütunları seçin.
- Her veri sayfasına eklenecek öğe sayısını belirtin.
- Yalnızca görmek istediğiniz öğeleri görüntülemek için filtreleri kullanın.
- Sonuçları bir .csv dosyasına aktarmak için Dışarı Aktar'ı seçin.
İşlem merkezinde izlenen eylemler
Onay bekleyen veya önceden gerçekleştirilen tüm eylemler İşlem merkezinde izlenir. Kullanılabilir eylemler şunlardır:
- Soruşturma paketini toplayın
- Cihazı yalıtma (bu eylem geri alınabilir)
- Offboard makine
- Sürüm kodu yürütme
- Karantinadan serbest bırakma
- İstek örneği
- Kod yürütmeyi kısıtla (bu eylem geri alınabilir)
- Antivirüs taraması başlat
- Durdurma ve karantinaya al
- Ağdaki cihazları içerin
İşlem merkezi, otomatik araştırmaların sonucu olarak otomatik olarak gerçekleştirilen düzeltme eylemlerine ek olarak, güvenlik ekibinizin algılanan tehditleri ve Microsoft Defender XDR tehdit koruması özelliklerinin bir sonucu olarak gerçekleştirilen eylemleri de izler. Otomatik ve el ile düzeltme eylemleri hakkında daha fazla bilgi için bkz. Düzeltme eylemleri.
Eylem kaynağı ayrıntılarını görüntüleme
Geliştirilmiş İşlem merkezi, her eylemin nereden geldiğini bildiren bir Eylem kaynağı sütunu içerir. Aşağıdaki tabloda olası Eylem kaynağı değerleri açıklanmaktadır:
| Eylem kaynağı değeri | Açıklama |
|---|---|
| El ile cihaz eylemi | Bir cihazda el ile gerçekleştirilen eylem. Örnek olarak cihaz yalıtımı veya dosya karantinası verilebilir. |
| El ile e-posta eylemi | E-postada el ile gerçekleştirilen bir eylem. Örneğin, e-posta iletilerini geçici olarak silme veya e-posta iletisini düzeltme. |
| Otomatik cihaz eylemi | Dosya veya işlem gibi bir varlık üzerinde gerçekleştirilen otomatik bir eylem. Karantinaya dosya gönderme, işlemi durdurma ve kayıt defteri anahtarını kaldırma gibi otomatik eylemlere örnek olarak verilebilir. (Bkz. Uç Nokta için Microsoft Defender düzeltme eylemleri.) |
| Otomatik e-posta eylemi | E-posta iletisi, ek veya URL gibi e-posta içeriğinde gerçekleştirilen otomatik bir eylem. E-posta iletilerini geçici silme, URL'leri engelleme ve dış posta iletmeyi kapatma gibi otomatik eylemlere örnek olarak verilebilir. (Bkz. Office 365 için Microsoft Defender düzeltme eylemleri.) |
| Gelişmiş avcılık eylemi | Gelişmiş avcılık özelliğine sahip cihazlarda veya e-postada gerçekleştirilen eylemler. |
| Gezgin eylemi | Explorer ile e-posta içeriğinde gerçekleştirilen eylemler. |
| El ile canlı yanıt eylemi | Canlı yanıt içeren bir cihazda gerçekleştirilen eylemler. Örnek olarak dosya silme, işlemi durdurma ve zamanlanmış görevi kaldırma verilebilir. |
| Canlı yanıt eylemi | Uç Nokta için Microsoft Defender API'leri olan bir cihazda gerçekleştirilen eylemler. Bir cihazı yalıtma, virüsten koruma taraması çalıştırma ve dosya hakkında bilgi alma gibi eylemlere örnek olarak verilebilir. |
İşlem merkezi görevleri için gerekli izinler
İşlem merkezinde bekleyen eylemleri onaylama veya reddetme gibi görevleri gerçekleştirmek için belirli izinlere ihtiyacınız vardır. Aşağıdaki seçeneklere sahipsiniz:
Microsoft Entra izinleri: Bu rollere üyelik, kullanıcılara Microsoft 365'teki diğer özellikler için gerekli izinleri ve izinleri verir:
Uç Nokta için Microsoft Defender düzeltme (cihazlar): Güvenlik Yöneticisi rolü üyeliği.
Office 365 için Microsoft Defender düzeltme (Office içeriği ve e-posta):
- Güvenlik Yöneticisi rolü üyeliği.
Ve
- Arama ve Temizleme rolü atanmış Email & işbirliği izinlerinde rol grubu üyeliği. Varsayılan olarak, bu rol yalnızca Email & işbirliği izinlerindeki Veri Araştırmacısı ve Kuruluş Yönetimi rol gruplarına atanır. Bu rol gruplarına kullanıcı ekleyebilir veya arama ve temizleme rolü atanmış Email & işbirliği izinlerinde yeni bir rol grubu oluşturabilir ve kullanıcıları özel rol grubuna ekleyebilirsiniz.
Microsoft Defender portalında işbirliği izinlerini Email &:
Office 365 için Microsoft Defender düzeltme (Office içeriği ve e-posta):
- Güvenlik Yöneticisi rol grubu üyeliği
Ve
- Arama ve Temizleme rolü atanmış Email & işbirliği izinlerinde rol grubu üyeliği. Varsayılan olarak, bu rol yalnızca Email & işbirliği izinlerindeki Veri Araştırmacısı ve Kuruluş Yönetimi rol gruplarına atanır. Bu rol gruplarına kullanıcı ekleyebilir veya arama ve temizleme rolü atanmış Email & işbirliği izinlerinde yeni bir rol grubu oluşturabilir ve kullanıcıları özel rol grubuna ekleyebilirsiniz.
Microsoft Defender XDR Birleştirilmiş rol tabanlı erişim denetimi (RBAC)
- Uç Nokta için Microsoft Defender düzeltme: Güvenlik işlemleri \ Güvenlik verileri \ Yanıt (yönet).
- Office 365 için Microsoft Defender düzeltme (işbirliği Email &> Office içeriği ve e-postası Office 365 için Defender izinleri etkindir
. Yalnızca Defender portalını etkiler, PowerShell'i etkilemez:- E-posta ve Teams ileti üst bilgileri için okuma erişimi: Güvenlik işlemleri/Ham veriler (e-posta & işbirliği)/Email & işbirliği meta verileri (okuma).
- Kötü amaçlı e-postayı düzeltme: Güvenlik işlemleri/Güvenlik verileri/Email & işbirliği gelişmiş eylemleri (yönetme).
İpucu
Güvenlik Yöneticisi rol grubu üyeliği Email & işbirliği izinleri, İşlem merkezi veya Microsoft Defender XDR özelliklerine erişim izni vermez. Bunlar için, Microsoft Entra izinlerdeGüvenlik Yöneticisi rolünün üyesi olmanız gerekir.
Uç Nokta için Defender izinleri:
- Uç Nokta için Microsoft Defender düzeltme (cihazlar): Etkin düzeltme eylemleri rolündeki üyelik.
İpucu
Microsoft Entra ID'deki Genel Yönetici rolünün üyeleri, İşlem merkezindeki bekleyen eylemleri onaylayabilir veya reddedebilir. Ancak, en iyi uygulama olarak Genel Yönetici rolünün üyelerini sınırlamanız gerekir. İşlem merkezi izinleri için önceki listede açıklandığı gibi alternatif rolleri ve rol gruplarını kullanmanızı öneririz.
Sonraki adım
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin