Vysvětlení akcí zařízení
Při zkoumání zařízení můžete provádět akce, shromažďovat data nebo vzdáleně přistupovat k počítači. Defender for Endpoint poskytuje požadovaný ovládací prvek zařízení.
Můžete provést následující akce zahrnutí:
Izolovat zařízení
Omezení spouštění aplikací
Spuštění antivirové kontroly
Můžete provést následující akce šetření:
Zahájení automatizovaného vyšetřování
Shromažďování balíčku pro šetření
Zahájení živé relace odezvy
Centrum akcí poskytuje informace o akcích provedených v zařízení nebo souboru.
Izolace zařízení od sítí
V závislosti na závažnosti útoku a citlivosti zařízení můžete chtít zařízení izolovat od sítě. Tato akce může útočníkovi zabránit v řízení napadeného zařízení a provádění dalších aktivit, jako je exfiltrace dat a laterální pohyb.
Tato funkce izolace zařízení odpojí ohrožené zařízení od sítě a zachová připojení ke službě Defender for Endpoint, která zařízení nadále monitoruje.
Ve Windows 10 verze 1709 nebo novější budete mít další kontrolu nad úrovní izolace sítě. Můžete také povolit připojení k Outlooku, Microsoft Teams a Skype pro firmy (tj. selektivní izolace).
Jakmile na stránce zařízení vyberete Izolovat zařízení, zadejte komentář a vyberte Potvrdit. Centrum akcí zobrazí informace o kontrole a časová osa zařízení bude obsahovat novou událost.
Když je zařízení izolované, zobrazí se oznámení, které uživatele informuje, že zařízení je izolované od sítě.
Omezení spouštění aplikací
Kromě útoku zastavením škodlivýchprocesůch
Důležité
Tato akce je dostupná pro zařízení s Windows 10 verze 1709 nebo novější. Tato funkce je dostupná, pokud vaše organizace používá Antivirová ochrana v programu Microsoft Defender. Tato akce musí splňovat formáty zásad integrity kódu v programu Windows Defender a požadavky na podepisování. Pokud chcete aplikaci omezit na spuštění, použije se zásada integrity kódu, která umožňuje spustit pouze soubory, pokud jsou podepsané certifikátem vydaným Microsoftem. Tato metoda omezení může útočníkovi zabránit v řízení ohrožených zařízení a provádění dalších škodlivých aktivit.
Omezení aplikací budete moct kdykoli vrátit zpět. Tlačítko na stránce zařízení se změní tak, aby bylo uvedeno Odebrat omezení aplikace, a pak provedete stejné kroky jako omezení provádění aplikace.
Jakmile na stránce zařízení vyberete Možnost Omezit spuštění aplikace, zadejte komentář a vyberte Potvrdit. Centrum akcí zobrazí informace o kontrole a časová osa zařízení bude obsahovat novou událost.
Když je aplikace omezená, zobrazí se oznámení, které uživatele informuje, že aplikace není spuštěná.