對高級搜尋查詢結果採取動作

重要

改良的 Microsoft 365 安全性中心現在可用。 這個新的體驗會將適用於端點的 Defender、適用於 Office 365 的 Defender、Microsoft 365 Defender 和更多功能帶到 Microsoft 365 安全性中心。 了解新功能

適用於:

  • Microsoft 365 Defender
  • 適用於端點的 Microsoft Defender

重要

部分資訊與發行前版本產品有關,在正式發行之前可能會實質上進行修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。

您可以使用強大且全面的動作選項,快速包含威脅或使用您在 高級搜尋 中所發現的受損資產。 使用這些選項,您可以:

  • 在裝置上執行各種動作
  • 隔離檔

必要權限

若要能夠透過「高級搜尋」採取行動,您必須在 Microsoft Defender for Endpoint 中有一個角色,具有 在裝置上提交修正動作的許可權。 如果您無法採取行動,請洽詢全域管理員以取得下列許可權:

> 威脅及弱點管理修正處理的使用中修復動作

在裝置上執行各種動作

您可以在查詢結果中對欄所識別的裝置採取下列動作 DeviceId

  • 隔離受影響的裝置以包含感染或防止攻擊移動橫向
  • 收集調查套件以取得更多鑒證資訊
  • 執行防病毒掃描,以利用最新的安全性情報更新來尋找並移除威脅
  • 啟動自動調查以檢查和修正裝置上的威脅,以及可能受影響的裝置
  • 將應用程式執行限制為僅限 Microsoft 簽署的可執行檔,以透過惡意程式碼或其他不可信的可執行檔進行後續的威脅

若要深入瞭解如何透過 Microsoft Defender for Endpoint 執行這些回應動作,請 閱讀裝置上的回應動作

隔離檔

您可以在檔案上部署 隔離 動作,使其在遇到時自動隔離。 選取此動作時,您可以選擇下列各欄,以識別要隔離的查詢結果中的檔案:

  • SHA1 —在大多數高級搜尋表格中,這是受錄製動作所影響的檔案 SHA-1。 例如,如果複製檔案,這會是複製的檔案。
  • InitiatingProcessSHA1 —在大多數高級搜尋表格中,這是負責初始化錄製的動作的檔案。 例如,如果子流程已啟動,這會是父進程。
  • SHA256 -這是欄所識別之檔案的 SHA-256 對等專案 SHA1
  • InitiatingProcessSHA256 -這是欄所識別之檔案的 SHA-256 對等專案 InitiatingProcessSHA1

若要深入瞭解如何採取隔離動作和還原檔案,請 參閱檔案的回應動作

注意

若要尋找並隔離檔案,查詢結果也應包含 DeviceId 設備識別碼的值。

採取行動

若要採取任何說明的動作,請在查詢結果中選取一或多筆記錄,然後選取 [ 採取動作]。 嚮導會引導您完成選取及提交您偏好動作的程式。

具有檢查記錄之面板之選取記錄的圖像。

審閱採取的動作

每個動作會個別記錄在「動作中心」的「動作中心」下的「動作 中心」 > (security.microsoft.com/action-center/history) 。 移至 [行動中心],檢查每個動作的狀態。

注意

本文中的部分表格可能無法在 Microsoft Defender for Endpoint 中使用。 使用更多資料來源開啟 Microsoft 365 Defender以尋找威脅。 您可以遵循從 microsoft defender for endpoint 遷移 advanced 搜尋查詢中的步驟,將您的高級搜尋工作流程從 microsoft defender for endpoint 移至 Microsoft 365 Defender。