操作中心

适用于:

  • Microsoft Defender XDR

操作中心为事件和警报任务提供“单一窗格”体验,例如:

  • 批准挂起的修正操作。
  • 查看已批准的修正操作的审核日志。
  • 查看已完成的修正操作。

由于操作中心提供了工作Microsoft Defender XDR的综合视图,因此安全运营团队可以更高效地运营。

统一操作中心

统一的操作中心 (https://security.microsoft.com/action-center) 一个位置列出设备、电子邮件 & 协作内容和标识的挂起和已完成的修正操作。

Microsoft Defender门户中的统一操作中心。

例如:

统一的操作中心汇集了跨Microsoft Defender for Endpoint和Microsoft Defender for Office 365的修正操作。 它为所有修正操作定义了通用语言,并提供统一的调查体验。 安全运营团队具有“单一管理平台”体验来查看和管理修正操作。

如果你有适当的权限以及以下一个或多个订阅,则可以使用统一操作中心:

提示

若要了解详细信息,请参阅 要求

可以通过两种不同的方式导航到待批准的操作列表:

使用操作中心

  1. 转到Microsoft Defender门户并登录。

  2. 在导航窗格中 的“操作和提交”下,选择 “操作中心”。 或者,在“自动调查 & 响应卡,选择”在操作中心批准”。

  3. 使用 “挂起的操作 ”和“ 历史记录 ”选项卡。 下表汇总了每个选项卡上将看到的内容:

    Tab 说明
    Pending 显示需要注意的操作列表。 可以一次批准或拒绝一个操作,或者选择多个操作(如果操作具有相同类型的操作 (,例如隔离文件) )。

    确保审查和批准 (或尽快拒绝) 挂起的操作,以便自动调查能够及时完成。
    历史记录 用作已执行的操作的审核日志,例如:
    • >由于自动调查而采取的修正操作
    • 对可疑或恶意电子邮件、文件或 URL 采取的修正操作
    • 安全运营团队批准的修正操作
    • 在实时响应会话期间运行的命令和修正操作
    • 防病毒保护采取的修正操作


    提供了撤消某些操作的方法, (请参阅撤消 已完成的操作) 。
  4. 可以在操作中心自定义、排序、筛选和导出数据。

    显示操作中心的排序、筛选和自定义功能的屏幕截图。

    • 选择列标题以按升序或降序对项目进行排序。
    • 使用时间段筛选器可以查看过去一天、一周、30 天或 6 个月的数据。
    • 选择要查看的列。
    • 指定要在每个数据页上包含的项数。
    • 使用筛选器仅查看想要查看的项目。
    • 选择“ 导出 ”将结果导出到 .csv 文件。

在操作中心跟踪的操作

所有修正操作(无论是待批准还是已批准的操作)都可在操作中心跟踪。 可用操作包括:

  • 收集调查程序包
  • 隔离设备 (此操作可以撤消)
  • 卸载计算机
  • 释放代码执行
  • 从隔离区中释放
  • 请求示例
  • 限制代码执行 (可以撤消此操作)
  • 运行防病毒扫描
  • 停止和隔离
  • 包含来自网络的设备

除了自动调查后自动采取的修正操作外,操作中心还跟踪安全团队为解决检测到的威胁而采取的操作,以及由于Microsoft Defender XDR中威胁防护功能而执行的操作。 有关自动和手动修正操作的详细信息,请参阅 修正操作

查看操作源详细信息

改进的操作中心包括一个 操作源 列,用于告知每个操作的来源。 下表描述了可能的 Action 源 值:

操作源值 说明
手动设备操作 在设备上执行的手动操作。 示例包括 设备隔离文件隔离
手动电子邮件操作 对电子邮件执行的手动操作。 示例包括软删除电子邮件或 修正电子邮件
自动化设备操作 对实体(例如文件或进程)执行的自动操作。 自动操作的示例包括将文件发送到隔离区、停止进程和删除注册表项。 (请参阅 Microsoft Defender for Endpoint.) 中的修正操作
自动电子邮件操作 对电子邮件内容(如电子邮件、附件或 URL)执行的自动操作。 自动操作的示例包括软删除电子邮件、阻止 URL 和关闭外部邮件转发。 (请参阅 Microsoft Defender for Office 365.) 中的修正操作
高级搜寻操作 在具有 高级搜寻功能的设备或电子邮件上执行的操作。
资源管理器操作 使用 资源管理器对电子邮件内容执行的操作。
手动实时响应操作 在具有 实时响应的设备上执行的操作。 示例包括删除文件、停止进程和删除计划任务。
实时响应操作 在具有Microsoft Defender for Endpoint API 的设备上执行的操作。 操作示例包括隔离设备、运行防病毒扫描以及获取有关文件的信息。

操作中心任务所需的权限

若要执行任务(例如在操作中心批准或拒绝挂起的操作),需要特定权限。 可以选择下列选项:

  • Microsoft Entra权限:这些角色的成员身份为用户提供 Microsoft 365 中其他功能所需的权限权限:

    • Microsoft Defender for Endpoint修正 (设备) 安全管理员角色的成员身份。

    • Microsoft Defender for Office 365修正 (Office 内容和电子邮件)

      • 安全管理员角色的成员身份。

      • 角色组中的成员身份Email &分配了搜索和清除角色的协作权限。 默认情况下,此角色仅分配给Email &协作权限中的数据调查员和组织管理角色组。 可以将用户添加到这些角色组,也可以在分配了“搜索”和“清除”角色的协作权限Email &中创建新的角色组,并将用户添加到自定义角色组。
  • Email & Microsoft Defender门户中的协作权限

    • Microsoft Defender for Office 365修正 (Office 内容和电子邮件)

      • 安全管理员角色组中的成员身份

      • 角色组中的成员身份Email &分配了搜索和清除角色的协作权限。 默认情况下,此角色仅分配给Email &协作权限中的数据调查员和组织管理角色组。 可以将用户添加到这些角色组,也可以在分配了“搜索”和“清除”角色的协作权限Email &中创建新的角色组,并将用户添加到自定义角色组。
  • Microsoft Defender XDR基于角色的统一访问控制 (RBAC)

    • Microsoft Defender for Endpoint修正安全操作 \ 安全数据 \ 响应 (管理)
    • 如果Email &协作>Defender for Office 365权限为活动, (Office 内容和电子邮件Microsoft Defender for Office 365修正。仅影响 Defender 门户,而不会影响 PowerShell) :
      • 电子邮件和 Teams 邮件头的读取访问权限安全操作/原始数据 (电子邮件 & 协作) /Email &协作元数据 (读取)
      • 修正恶意电子邮件安全操作/安全数据/Email &协作高级操作 (管理)

    提示

    安全管理员角色组中的成员身份Email &协作权限不会授予对操作中心或Microsoft Defender XDR功能的访问权限。 对于这些角色,你需要是Microsoft Entra权限安全管理员角色的成员。

  • Defender for Endpoint 权限

    • Microsoft Defender for Endpoint修正 (设备) “活动修正操作”角色的成员身份。

提示

Microsoft Entra ID中全局管理员角色的成员可以在操作中心批准或拒绝任何挂起的操作。 但是,作为最佳做法,应限制 全局管理员 角色的成员。 建议使用替代角色和角色组,如前面的操作中心权限列表中所述。

后续步骤

提示

想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender XDR技术社区