重要訊息中心
適用於:
- Microsoft Defender XDR
控制中心提供事件和警示工作的「單一視窗」體驗,例如:
- 核准擱置的補救動作。
- 檢視已核准補救動作的稽核記錄。
- 檢閱已完成的補救動作。
因為控制中心提供工作 Microsoft Defender 全面偵測回應 的完整檢視,所以您的安全性作業小組可以更有效率且有效率地運作。
統一的控制中心
統一的控制中心 () https://security.microsoft.com/action-center 列出裝置、電子郵件 & 共同作業內容,以及單一位置的身分識別的擱置和已完成補救動作。
例如:
- 如果您在 Microsoft Defender 資訊安全中心 (https://securitycenter.windows.com/action-center) 中使用控制中心,請在 Microsoft Defender 入口網站中嘗試整合控制中心。
- 如果您已經使用 Microsoft Defender 入口網站,您會在控制中心 () https://security.microsoft.com/action-center 中看到數個改善。
統一的控制中心會將適用於端點的Defender和 適用於 Office 365 的 Defender的補救動作結合在一起。 它會定義所有補救動作的通用語言,並提供統一的調查體驗。 您的安全性作業小組有「單一視窗」體驗,可檢視和管理補救動作。
如果您有適當的許可權和下列一或多個訂用帳戶,可以使用統一的控制中心:
- 適用於端點的 Defender
- [適用於 Office 365 的 Defender]/defender-office-365/mdo-about
- Microsoft Defender XDR
提示
若要深入瞭解,請參閱 需求。
您可以使用兩種不同的方式瀏覽至擱置核准的動作清單:
- 移至 https://security.microsoft.com/action-center; 或
- 在 Microsoft Defender 入口網站 () https://security.microsoft.com ,在 [自動化調查 & 回應卡中,選取 [在控制中心核准]。
使用控制中心
移至 Microsoft Defender 入口網站並登入。
在 [ 動作和提交] 底下的瀏覽窗格中,選擇 [ 動作中心]。 或者,在 [自動化調查 & 回應卡中,選取 [ 在控制中心核准]。
使用 [ 擱置動作 ] 和 [ 歷程記錄] 索引標籤。 下表摘要說明您會在每個索引標籤上看到的內容:
索引標籤 描述 擱置 顯示需要注意的動作清單。 您可以一次核准或拒絕一個動作,或選取多個動作,如果動作類型相同, (例如隔離檔案) 。
請務必儘快檢閱並核准 (或拒絕) 暫止動作,讓您的自動化調查能夠及時完成。歷程記錄 作為已採取之動作的稽核記錄檔,例如:
- 自動化調查所採取的補救動作
- 針對可疑或惡意電子郵件訊息、檔案或URL所採取的補救動作
- 安全性作業小組核准的補救動作
- 在即時回應會話期間所執行的命令和已套用的補救動作
- 防病毒軟體保護所採取的補救動作
提供復原特定動作的方法 (請參閱復 原已完成的動作) 。您可以在控制中心自定義、排序、篩選和匯出數據。
- 選取數據行標題,以遞增或遞減順序排序專案。
- 使用時間週期篩選來檢視過去一天、一周、30 天或 6 個月的數據。
- 選擇您想要檢視的數據行。
- 指定要在每個數據頁面上包含多少個專案。
- 使用篩選來只檢視您想要查看的專案。
- 選 取 [匯 出] 將結果匯出至 .csv 檔。
在控制中心追蹤的動作
所有動作 (無論是等候核准或已執行) 都會在控制中心中追蹤。 可用的動作包括下列各項:
- 收集調查套件
- 隔離裝置 (此動作可以復原)
- 使電腦下線
- 釋出程式碼執行
- 從隔離釋出
- 要求範例
- 限制程式代碼執行 (可以復原此動作)
- 執行防毒掃描
- 停止並隔離
- 包含網路中的裝置與
除了因自動化調查而自動採取的補救動作之外,控制中心也會追蹤您的安全性小組為了解決偵測到的威脅所採取的動作,以及因 Microsoft Defender 全面偵測回應 中的威脅防護功能而採取的動作。 如需自動和手動補救動作的詳細資訊,請參閱 補救動作。
檢視動作來源詳細數據
(新功能!) 改善的控制中心現在包含一個 [ 動作來源 ] 數據行,告訴您每個動作的來源。 下表描述可能 的動作來源 值:
| 動作來源值 | 描述 |
|---|---|
| 手動裝置動作 | 在裝置上採取的手動動作。 範例包括 裝置隔離 或 檔案隔離。 |
| 手動電子郵件動作 | 在電子郵件上採取的手動動作。 範例包括虛刪除電子郵件訊息或 修復電子郵件訊息。 |
| 自動化裝置動作 | 對實體所採取的自動化動作,例如檔案或進程。 自動化動作的範例包括將檔案傳送至隔離區、停止進程,以及移除登錄機碼。 (請參閱 適用於端點的 Microsoft Defender.) 中的補救動作 |
| 自動化電子郵件動作 | 對電子郵件內容採取的自動化動作,例如電子郵件訊息、附件或URL。 自動化動作的範例包括虛刪除電子郵件訊息、封鎖 URL,以及關閉外部郵件轉寄。 (請參閱 適用於 Office 365 的 Microsoft Defender.) 中的補救動作 |
| 進階搜捕動作 | 對具有 進階搜捕的裝置或電子郵件採取的動作。 |
| 總管動作 | 使用 Explorer 對電子郵件內容採取的動作。 |
| 手動即時回應動作 | 在具有即時回應的裝置上採取 的動作。 範例包括刪除檔案、停止進程,以及移除排程的工作。 |
| 即時回應動作 | 在具有 適用於端點的 Microsoft Defender API 的裝置上採取的動作。 動作範例包括隔離裝置、執行防病毒軟體掃描,以及取得檔案的相關信息。 |
重要訊息中心的必要權限
若要執行工作,例如核准或拒絕控制中心的擱置動作,您必須獲指派許可權,如下表所列:
| 補救動作 | 必要角色和權限 |
|---|---|
| 適用於端點的 Microsoft Defender裝置 (補救) | 在 Microsoft Entra ID () 或 Microsoft 365 系統管理中心 (https://portal.azure.com) 中指派的安全性系統管理員https://admin.microsoft.com角色 --- 或 --- 在 適用於端點的 Microsoft Defender 中指派的作用中補救動作角色 若要深入了解,請參閱下列資源: - Microsoft Entra 內建角色 - Create和管理角色型訪問控制 (適用於端點的 Microsoft Defender) |
| 適用於 Office 365 的 Microsoft Defender Office 內容和電子郵件 (補救) | 在 Microsoft Entra ID () 或 Microsoft 365 系統管理中心 (https://portal.azure.com) 中指派的安全性系統管理員https://admin.microsoft.com角色 --- 且 --- 在 Microsoft Defender 全面偵測回應 Email & 共同作業角色中指派的 搜尋 > 和清除角色 重要:如果您只在 Microsoft Defender 全面偵測回應 >Email & 共同作業角色中指派安全性系統管理員角色,您將無法存取控制中心或 Microsoft Defender 全面偵測回應 功能。 您必須在 Microsoft Entra ID 或 Microsoft 365 系統管理中心 中指派安全性系統管理員角色。 若要深入了解,請參閱下列資源: - Microsoft Entra 內建角色 - 安全性 & 合規性中心的許可權 |
提示
在 Microsoft Entra ID 中指派全域管理員角色的使用者,可以在控制中心核准或拒絕任何擱置中的動作。 不過,最佳做法是,您的組織應該限制獲派 全域管理員 角色的人員數目。 建議您使用安全性系統管理員、主動補救動作,以及 搜尋 和清除上表中所列的角色,以取得控制中心許可權。
下一步
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:Microsoft Defender 全面偵測回應 技術社群。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應